Inleiding
Kusto-querytaal (KQL) is de querytaal die wordt gebruikt voor het uitvoeren van analyses, werkmappen en het uitvoeren van opsporing in Microsoft Sentinel. Informatie over het samenvatten en visualiseren van gegevens met een KQL-instructie biedt de basis voor het bouwen van detecties in Microsoft Sentinel.
U bent een Security Operations Analyst die werkt bij een bedrijf dat Microsoft Sentinel implementeert. U bent verantwoordelijk voor het uitvoeren van logboekgegevensanalyse voor het zoeken naar schadelijke activiteiten, het weergeven van visualisaties en het opsporen van bedreigingen. Als u logboekgegevens wilt opvragen, gebruikt u de Kusto-querytaal (KQL). U schrijft KQL-instructies die gegevens aggregeren en correleren waarmee patroondetectie mogelijk is. Een dergelijke aggregatie kan het aantal mislukte aanmeldingen zijn. Deze informatie, gecombineerd met een vooraf vastgestelde drempelwaarde, kan worden gebruikt om als voorbeeld een waarschuwing te genereren voor 'Account met meer dan 10 mislukte aanmeldingen in het afgelopen uur'.
De KQL-samenvattingsoperator voert de berekeningen uit. Een analist kan de resultaten in een grafiek visualiseren om snel een patroon te zien. De KQL-renderoperator voert de visualisatie uit. Het combineren van de operatoren voor samenvatten en renderen biedt de basis voor geavanceerde visualisaties, waaronder tijdsbucket en tijdslicing.