Eseguire query KQL nel data lake Microsoft Sentinel

L'esplorazione di Data Lake nel portale di Microsoft Defender offre un'interfaccia unificata per analizzare il data lake. Consente di eseguire query KQL (Linguaggio di query Kusto), creare processi e gestirle.

La pagina delle query KQL in Esplorazione data lake consente di modificare ed eseguire query KQL su risorse data lake e tabelle federate. Creare processi per alzare di livello i dati dal data lake al livello di analisi o creare tabelle di aggregazione nel livello data lake. Eseguire processi su richiesta o pianificarli. La pagina Processi consente di gestire i processi; abilitare, disabilitare, modificare o eliminare. Per altre informazioni, vedere Creare processi nel data lake Microsoft Sentinel.

Prerequisiti

I prerequisiti seguenti sono necessari per eseguire query KQL nel data lake Microsoft Sentinel.

Eseguire l'onboarding nel data lake

È possibile eseguire query KQL nel portale di Microsoft Defender dopo aver completato il processo di onboarding. Per altre informazioni sull'onboarding, vedere Onboarding in Microsoft Sentinel data lake.

Autorizzazioni

Microsoft Entra ID ruoli consentono di accedere a tutte le aree di lavoro nel data lake. In alternativa, è possibile concedere l'accesso a singole aree di lavoro usando Azure ruoli controllo degli accessi in base al ruolo. Gli utenti con autorizzazioni di controllo degli accessi in base al ruolo Azure per le aree di lavoro Microsoft Sentinel possono eseguire query KQL su tali aree di lavoro nel livello data lake. Per altre informazioni su ruoli e autorizzazioni, vedere Microsoft Sentinel i ruoli e le autorizzazioni del data lake.

Facoltativamente, Microsoft Sentinel ambito o controllo degli accessi in base al ruolo a livello di riga può essere configurato per limitare ulteriormente l'accesso ai dati all'interno di un'area di lavoro. Se abilitata, l'ambito a livello di riga limita i dati restituiti dalle query in base all'ambito assegnato dall'utente. Se l'ambito a livello di riga non è configurato, il modello di autorizzazione a livello di area di lavoro esistente viene applicato invariato. Configurare Microsoft Sentinel ambito (controllo degli accessi in base al ruolo a livello di riga) (anteprima).

Scrivere query KQL

La scrittura di query per il data lake è simile alla scrittura di query nell'esperienza di ricerca avanzata. È possibile usare la stessa sintassi E le stesse funzioni KQL. KQL supporta funzioni avanzate di analisi e machine learning. L'editor di query offre un'interfaccia per l'esecuzione di query KQL con funzionalità come IntelliSense e completamento automatico per semplificare la scrittura in modo efficiente. Per una panoramica dettagliata della sintassi E delle funzioni KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

Query KQL nel portale di Defender

Selezionare Nuova query per creare una nuova scheda query. Il portale salva l'ultima query in ogni scheda. Passare da una scheda all'altra per lavorare contemporaneamente su più query.

La scheda Cronologia query mostra un elenco delle query eseguite in precedenza, il tempo di elaborazione delle query e lo stato di completamento. È possibile aprire una query precedente in una nuova scheda selezionandola dall'elenco. Il portale salva la cronologia delle query per 30 giorni. Selezionare una query per modificarla o eseguirla di nuovo.

Screenshot della pagina query KQL nel portale di Defender.

Selezionare le aree di lavoro

È possibile eseguire query su una singola area di lavoro o su più aree di lavoro. Selezionare le aree di lavoro nell'angolo superiore destro dell'editor di query usando l'elenco a discesa Aree di lavoro selezionate . Le aree di lavoro selezionate determinano le tabelle disponibili per l'esecuzione di query. Le aree di lavoro selezionate si applicano a tutte le schede di query nell'editor di query. Quando si usano più aree di lavoro, l'operatore union() viene applicato per impostazione predefinita a tabelle con lo stesso nome e schema di aree di lavoro diverse. Usare l'operatore workspace() per eseguire query su una tabella da un'area di lavoro specifica, ad esempio workspace("MyWorkspace").AuditLogs.

Per eseguire query sulle tabelle federate, selezionare Tabelle di sistema quando si scelgono le aree di lavoro. Per altre informazioni sulle tabelle federate, vedere Uso di tabelle federate nel data lake Microsoft Sentinel.

Se si seleziona una singola area di lavoro vuota o un'area di lavoro durante il processo di onboarding, nel browser dello schema non vengono visualizzate tabelle.

Screenshot che mostra il pannello di selezione delle aree di lavoro.

Selezione intervallo di tempo

Usare la selezione ora sopra l'editor di query per selezionare l'intervallo di tempo per la query. Usando l'opzione Intervallo di tempo personalizzato , è possibile impostare un'ora di inizio e fine specifica. Gli intervalli di tempo possono avere una durata massima di 12 anni.

Screenshot che mostra il selettore dell'intervallo di tempo.

Importante

Il selettore dell'intervallo di tempo non funziona per le tabelle federate che non hanno una TimeGenerated colonna o in cui la TimeGenerated colonna non è nel formato corretto. Quando si eseguono query su queste tabelle, specificare l'intervallo di tempo nella query KQL usando la colonna appropriata per il filtro dell'ora.

È anche possibile specificare un intervallo di tempo nella sintassi di query KQL, ad esempio:

  • where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))
  • where TimeGenerated between(ago(180d)..ago(90d))

Nota

Le query sono limitate a 500.000 righe o a 64 MB di dati e timeout dopo 8 minuti. Quando si seleziona un intervallo di tempo ampio, la query potrebbe superare questi limiti. Prendere in considerazione l'uso di query asincrone per le query a esecuzione prolungata. Per altre informazioni, vedere Query asincrone.

Visualizzare le informazioni sullo schema

Il browser dello schema fornisce un elenco delle tabelle disponibili e delle relative colonne per le aree di lavoro selezionate, raggruppate per categoria. Le tabelle di sistema vengono visualizzate nella categoria Asset . Le tabelle personalizzate con _CL, _KQL_CL, _SPARKe _SPARK_CL vengono raggruppate nella categoria Log personalizzati . Usare il browser dello schema per esplorare i dati disponibili nel data lake e individuare tabelle e colonne. Usare la casella di ricerca per trovare rapidamente tabelle specifiche.

Screenshot che mostra il pannello del browser dello schema nell'editor KQL.

Finestra dei risultati

Nella finestra dei risultati vengono visualizzati i risultati della query. È possibile visualizzare i risultati in un formato di tabella ed è possibile esportare i risultati in un file CSV usando il pulsante Esporta nell'angolo superiore sinistro della finestra dei risultati. Attivare o disattivare la visibilità delle colonne vuote usando il pulsante Mostra colonne vuote . Il pulsante Personalizza colonne consente di selezionare le colonne da visualizzare nella finestra dei risultati.

È possibile eseguire ricerche nei risultati usando la casella di ricerca nell'angolo superiore destro della finestra dei risultati.

Screenshot che mostra la finestra dei risultati in un editor di query KQL.

Query predefinite

La scheda Query fornisce una raccolta di query KQL predefinite. Queste query riguardano scenari e casi d'uso comuni, ad esempio l'analisi degli eventi imprevisti di sicurezza e la ricerca delle minacce. È possibile usare queste query così come sono o modificarle in base alle esigenze specifiche.

Selezionare una query dall'elenco usando l'icona ... . È possibile aprirlo in una nuova scheda query per modificarlo o eseguirlo immediatamente.

Per altre informazioni sulle query di esempio, vedere Query KQL di esempio per Microsoft Sentinel data lake.

Screenshot della scheda Query di esempio nell'editor di query KQL.

Query asincrone

È possibile eseguire query a esecuzione prolungata in modo asincrono, in modo da continuare a funzionare mentre la query viene eseguita nel server. Per eseguire una query in modo asincrono, selezionare la freccia giù sul pulsante Esegui query e quindi selezionare Esegui query asincrona. Immettere un nome di query per identificare la query asincrona. Dopo aver inviato la query, è possibile monitorarne lo stato nella scheda Query asincrone . Al termine della query, è possibile visualizzare i risultati selezionando il nome della query dall'elenco.

Screenshot che mostra la scheda Query asincrone nell'editor di query KQL.

Se l'esecuzione di una query sincrona richiede più di 2 minuti, viene visualizzato un prompt che chiede se si vuole eseguire la query in modo asincrono. Selezionare Esegui asincrono per modificare la query da eseguire in modo asincrono.

Screenshot che mostra la richiesta di modificare una query a esecuzione prolungata in una query asincrona.

Recuperare i risultati delle query asincrone

Per visualizzare i risultati della query asincrona, selezionare la query asincrona completata nella scheda Query asincrone e selezionare Recupera risultati. La query viene visualizzata nei commenti nell'editor di query e i risultati vengono visualizzati nella scheda Risultati.

I risultati vengono archiviati per 24 ore e sono accessibili più volte. È possibile esportare i risultati in un file CSV usando il pulsante Esporta nell'angolo superiore sinistro della finestra dei risultati.

Screenshot che mostra i risultati di una query asincrona nell'editor di query KQL.

Parametri e limiti del servizio per le query asincrone KQL

La tabella seguente elenca i parametri e i limiti del servizio per le query asincrone KQL nel data lake Microsoft Sentinel.

Categoria Parametro/limite
Esecuzione simultanea per tenant (include l'esecuzione del processo) 3
Timeout di esecuzione di query asincrone 1 ora
Durata cache 24 ore
Numero di volte in cui gli utenti possono recuperare i risultati memorizzati nella cache Illimitati
Ambito query Più aree di lavoro
Intervallo di tempo della query Fino a 12 anni

Processi

I processi vengono usati per eseguire query KQL sui dati nel livello data lake e alzare di livello i risultati al livello di analisi. È possibile creare processi una tantum o pianificati ed è possibile abilitare, disabilitare, modificare o eliminare processi dalla pagina Processi . Per creare un processo basato sulla query corrente, selezionare il pulsante Crea processo . Per altre informazioni sulla creazione e la gestione dei processi, vedere Creare processi nel data lake Microsoft Sentinel.

Esplora dati di Azure

È possibile eseguire query KQL sul data lake Microsoft Sentinel usando Azure Esplora dati (ADX). ADX offre un potente motore di query e funzionalità di analisi avanzate. Per connettersi al data lake usando ADX, creare una nuova connessione usando l'URI seguente: https://api.securityplatform.microsoft.com/lake/kql

Quando si eseguono query sulle tabelle nel data lake usando ADX, è necessario usare la external_table() funzione per accedere ai dati. Ad esempio:

external_table("AADRiskyUsers")
| take 100

Considerazioni sulle query e limitazioni

  • L'esecuzione di query su tabelle legacy come AzureDiagnostics non è supportata.

  • Le tabelle vuote non vengono visualizzate nella visualizzazione schema e le query non sono supportate finché la tabella non contiene dati.

  • Le query vengono eseguite sulle aree di lavoro selezionate. Assicurarsi di selezionare le aree di lavoro corrette prima di eseguire una query.

  • L'esecuzione di query KQL nel data lake Microsoft Sentinel comporta addebiti in base ai contatori di fatturazione delle query. Per altre informazioni, vedere Pianificare i costi e comprendere Microsoft Sentinel prezzi e fatturazione.

  • Esaminare l'inserimento dei dati e i criteri di conservazione delle tabelle. Prima di impostare l'intervallo di tempo delle query, tenere presente la conservazione dei dati nelle tabelle data lake e verificare se i dati sono disponibili per l'intervallo di tempo selezionato. Per altre informazioni, vedere Gestire i livelli di dati e la conservazione nel portale di Microsoft Defender.

  • Le query KQL sul data lake sono meno efficienti rispetto alle query sul livello di analisi. Usare query KQL sul data lake solo quando si esplorano i dati cronologici o quando le tabelle vengono archiviate in modalità solo data lake.

  • I comandi di controllo KQL seguenti sono attualmente supportati:

    • .show version
    • .show databases
    • .show databases entities
    • .show database

  • Quando si usa il stored_query_results comando , specificare l'intervallo di tempo nella query KQL. Il selettore di ora sopra l'editor di query non funziona con questo comando.

  • L'uso di funzioni predefinite o personalizzate non è supportato nelle query KQL sul data lake.

  • La chiamata di dati esterni tramite query KQL sul data lake non è supportata.

  • Sono supportati tutti gli operatori E le funzioni KQL, ad eccezione dei seguenti:

    • adx()
    • arg()
    • externaldata()
    • ingestion_time()

  • Esiste una latenza di 15 minuti tra l'inserimento dei dati nel data lake o nelle tabelle federate e la disponibilità per l'esecuzione di query. Ciò significa che i dati appena inseriti potrebbero non essere immediatamente sottoponibili a query.

Parametri e limiti del servizio per le query KQL nel livello lake

Quando si scrivono query in Microsoft Sentinel data lake, si applicano le limitazioni dei parametri di servizio seguenti.

Categoria Parametro/limite
Query interattive simultanee 45 al minuto
Dati dei risultati della query 64 MB
Righe dei risultati della query 500.000 righe
Ambito query Più aree di lavoro
Timeout query 4 minuti
Intervallo di tempo queryable Fino a 12 anni, a seconda della conservazione dei dati.

Per la risoluzione dei problemi relativi alle query KQL, vedere Risolvere i problemi relativi alle query KQL nel data lake Microsoft Sentinel.

Contenuto correlato

  • Last updated on