Inleiding
Kusto-querytaal (KQL) is de querytaal die wordt gebruikt voor het uitvoeren van analyses, werkmappen en het uitvoeren van opsporing in Microsoft Sentinel. Informatie over het correleren van gegevens uit verschillende tabellen met een KQL-instructie biedt de basis voor het bouwen van detecties in Microsoft Sentinel.
U bent een Security Operations Analyst die werkt bij een bedrijf dat Microsoft Sentinel implementeert. U bent verantwoordelijk voor het uitvoeren van logboekgegevensanalyse voor het zoeken naar schadelijke activiteiten, het weergeven van visualisaties en het opsporen van bedreigingen.
Als u logboekgegevens wilt opvragen, gebruikt u de Kusto-querytaal (KQL). Vaak moet een resultatenset van een KQL-instructie worden gecombineerd of samengevoegd met een andere resultatenset. U kunt de samenvoegoperator gebruiken om twee resultatensets te combineren. De join-operator voegt rijen samen op basis van een sleutelwaarde. U moet weten hoe de volgorde van een KQL-instructie van invloed is op de verwachte resultaten.