Introduktion
Kusto-frågespråk (KQL) är det frågespråk som används för att analysera data för att skapa analys, arbetsböcker och utföra jakt i Microsoft Sentinel. Att förstå hur du sammanfattar och visualiserar data med en KQL-instruktion utgör grunden för att skapa identifieringar i Microsoft Sentinel.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerar Microsoft Sentinel. Du ansvarar för att utföra loggdataanalys för att söka efter skadlig aktivitet, visa visualiseringar och utföra hotjakt. Om du vill köra frågor mot loggdata använder du Kusto-frågespråk (KQL). Du skriver KQL-instruktioner som aggregerar och korrelerar data som möjliggör mönsteridentifiering. En sådan aggregering kan vara antalet misslyckade inloggningar. Den här informationen, i kombination med ett förutbestämt tröskelvärde, kan användas för att generera en avisering för "Konto med över 10 misslyckade inloggningar under den senaste timmen" som exempel.
KQL-sammanfattningsoperatorn utför beräkningarna. Om du snabbt vill se ett mönster kan en analytiker visualisera resultatet i en graf. KQL-återgivningsoperatorn utför visualiseringen. Genom att kombinera sammanfattnings- och återgivningsoperatorerna finns grunden för avancerade visualiseringar, inklusive tids bucketing och tidsslicering.