Microsoft Sentinel veri gölünde KQL görevleri oluşturma

KQL işleri, Microsoft Sentinel veri gölündeki veriler üzerinde tek seferlik veya zamanlanmış KQL sorgularıdır. Aşağıdakiler gibi araştırma ve analiz senaryoları için işleri kullanın:

Olay araştırmaları ve olay yanıtı (IR) için uzun süre çalışan tek seferlik sorgular
Düşük uygunluk günlüklerini kullanarak zenginleştirme iş akışlarını destekleyen veri toplama görevleri
Geçmişe dönük analiz için geçmişe dönük tehdit bilgileri (TI) eşleştirme taramaları
Birden çok tablo genelinde olağan dışı desenleri tanımlayan anomali algılama taramaları

KQL işleri özellikle sorgular farklı veri kümelerinde birleşimleri veya birleşimleri kullandığında etkilidir.

Verileri data lake katmanından analiz katmanına yükseltmek için iş süreçlerini kullanın. Analiz katmanına girdikten sonra, verileri sorgulamak için gelişmiş avcılık KQL düzenleyicisini kullanın. Verileri analiz katmanına yükseltmenin avantajları şunlardır:

Verilerinizde gelişmiş analiz ve makine öğrenmesi modelleri çalıştırmak için analiz katmanındaki geçerli ve geçmiş verileri birleştirin.
Analiz katmanında sorgu çalıştırarak sorgu maliyetlerini azaltın.
Birden çok çalışma alanından alınan verileri analiz katmanındaki tek bir çalışma alanıyla birleştirin.
Veri kaynakları arasında gelişmiş analiz çalıştırmak için Analiz katmanında Microsoft Entra Id, Microsoft 365 ve Microsoft Resource Graph verilerini birleştirin.

Uyarı

Analiz katmanındaki depolama, data lake katmanına göre daha yüksek faturalama oranlarına neden olur. Maliyetleri azaltmak için yalnızca daha fazla analiz etmeniz gereken verileri yükseltin. Sorgunuzdaki KQL'yi kullanarak yalnızca ihtiyacınız olan sütunları yansıtın ve analiz katmanına yükseltilen veri miktarını azaltmak için verileri filtreleyin.

Verileri yeni bir tabloya yükseltebilir veya sonuçları analiz katmanındaki mevcut bir tabloya ekleyebilirsiniz. Yeni bir tablo oluştururken, tablonun bir KQL işi tarafından oluşturulduğunu belirtmek için tablo adına _KQL_CL sonuna eklenir.

Önkoşullar

Microsoft Sentinel veri gölünde KQL işleri oluşturmak ve yönetmek için aşağıdaki önkoşullara ihtiyacınız vardır.

Veri gölüne ekleme

Microsoft Sentinel veri gölünde KQL işleri oluşturmak ve yönetmek için önce veri gölüne katılmanız gerekir. Microsoft Sentinel veri gölüne uyum sağlama hakkında daha fazla bilgi için Microsoft Sentinel veri gölüne uyum sağlama bölümüne bakın.

İzinler

Microsoft Entra ID rolleri, veri gölündeki tüm çalışma alanları genelinde geniş erişim sağlar. Tüm çalışma alanlarında tabloları okumak, analiz katmanına yazmak ve KQL sorgularını kullanarak iş zamanlamak için desteklenen Microsoft Entra ID rollerinden birine sahip olmanız gerekir. Roller ve izinler hakkında daha fazla bilgi için bkz. Microsoft Sentinel data lake rolleri ve izinleri.

Analiz katmanında yeni özel tablolar oluşturmak için Log Analytics çalışma alanında Log Analytics Katılımcısı rolünü data lake yönetilen kimliğine atayın.

Rolü atamak için şu adımları izleyin:

Azure portalında, rolü atamak istediğiniz Log Analytics çalışma alanına gidin.
Sol gezinti bölmesinde Erişim denetimi (IAM) öğesini seçin.
Rol ataması ekle’yi seçin.
Rol tablosunda *Log Analytics Katkıda Bulunanı'nı ve ardından İleri'yi seçin.
Yönetilen kimlik'i ve ardından Üye seç'i seçin.
Veri gölü yönetilen kimliğiniz, msg-resources-<guid> adlı sistem tarafından atanan bir yönetilen kimliktir. Yönetilen kimliği ve ardından Seç'i seçin.
Gözden geçir ve ata seçin.

Yönetilen kimliklere rol atama hakkında daha fazla bilgi için bkz. Azure portalını kullanarak Azure rolleri atama.

İş oluşturma

Zamanlamaya göre veya tek seferlik çalışacak işler oluşturabilirsiniz. bir iş oluşturduğunuzda, sonuçlar için hedef çalışma alanını ve tabloyu belirtirsiniz. Sonuçları yeni bir tabloya yazabilir veya analiz katmanındaki mevcut bir tabloya ekleyebilirsiniz. Yeni bir KQL işi oluşturabilir veya sorgu ve iş ayarlarını içeren bir şablondan iş oluşturabilirsiniz. Daha fazla bilgi için bkz. Şablondan KQL işi oluşturma.

İş oluşturma işlemini KQL sorgu düzenleyicisinden veya iş yönetimi sayfasından başlatın.
1. KQL sorgu düzenleyicisinden iş oluşturmak için sorgu düzenleyicisinin sağ üst köşesindeki İş oluştur düğmesini seçin.
2. Bir görev oluşturmak için İşler yönetim sayfasından Microsoft Sentinel>Veri gölü keşfi>Görevler'i seçin ve ardından Görev oluştur düğmesine tıklayın.
bir İş adı girin. İş adı kiracı için benzersiz olmalıdır. İş adları en fazla 256 karakter içerebilir. İş adında # veya - kullanamazsınız.
İşin bağlamını ve amacını sağlayan bir İş Açıklaması girin.
Çalışma alanı seçin açılan listesinden hedef çalışma alanını seçin. Bu çalışma alanı, sorgu sonuçlarını yazmak istediğiniz analiz katmanındadır.
Hedef tabloyu seçin:
1. Yeni tablo oluşturmak için Yeni tablo oluştur'u seçin ve bir tablo adı girin. KQL işleri tarafından oluşturulan tablolarda, tablo adının sonuna _KQL_CL sonek eklenir.
2. Var olan bir tabloya eklemek için Var olan bir tabloya ekle'yi seçin ve açılan listeden tablo adını seçin. Varolan bir tabloya eklerken, sorgu sonuçlarının varolan tablonun şemasıyla eşleşmesi gerekir.
sonrakiseçin.
Sorguyu hazırlama panelinde sorgunuzu gözden geçirin veya yazın. Tarih aralığı sorguda belirtilmemişse, zaman seçicinin iş için gerekli zaman aralığına ayarlandığını denetleyin.
Sorgunun çalıştırılacağı çalışma alanlarını Seçili çalışma alanları açılır listesinden seçin. Bu çalışma alanları, tablolarını sorgulamak istediğiniz kaynak çalışma alanlarıdır. Seçtiğiniz çalışma alanları, sorgu için kullanılabilecek tabloları belirler. Seçili çalışma alanları, sorgu düzenleyicisindeki tüm sorgu sekmelerine uygulanır. Birden çok çalışma alanı kullanılırken, union() işleç varsayılan olarak farklı çalışma alanlarından aynı ada ve şemaya sahip tablolara uygulanır. workspace() Örneğinworkspace("MyWorkspace").AuditLogs, belirli bir çalışma alanından bir tabloyu sorgulamak için işlecini kullanın.

Uyarı

Var olan bir tabloya yazıyorsanız, sorgunun sonuçları hedef tablo şemasıyla eşleşen bir şemayla döndürmesi gerekir. Sorgu doğru şemayla sonuç döndürmezse, iş çalıştırıldığında başarısız olur.
sonrakiseçin.

Sorgu işini zamanla sayfasında, işi bir kez mi yoksa bir zamanlamaya göre mi çalıştırmak istediğinizi seçin. Bir defaya mahsus seçerseniz, iş tanımı tamamlanır tamamlanmaz iş yürütülür. Zamanla'yı seçerseniz, işin çalıştırılması için bir tarih ve saat belirtebilir veya işi yinelenen bir zamanlamaya göre çalıştırabilirsiniz.
Bir kerelik veya Zamanlanmış görev seçin.

Uyarı

Tek seferlik bir işin değiştirilmesi, onun hemen yürütülmesini tetikler.
Programla'yı seçtiyseniz aşağıdaki ayrıntıları girin:
1. Açılan listeden Yineleme sıklığını seçin. Dakika, Saatlik, Günlük, Haftalık veya Aylık'ı seçebilirsiniz.
2. İşin, seçilen sıklık doğrultusunda ne kadar sıklıkla çalışacağını belirlemek için Her tekrar süresini ayarlayın.
3. Zamanlama ayarla'nın altında Başlangıç tarihleri ve saati girin. Başlangıç alanındaki işin başlangıç saati, iş oluşturulduktan en az 30 dakika sonra başlamalıdır. İş, Her birini çalıştır açılan menüsündeki sıklık seçimine göre bu tarih ve saatten itibaren çalışır.
4. İş zamanlamasının ne zaman biteceğini belirtmek için Bitiş tarihi ve saatini seçin. Zamanlamanın süresiz olarak devam etmesi için İşi süresiz çalışacak şekilde ayarla'yı seçin.
kullanıcının yerel ayarı için iş başlangıç ve bitiş saatleri ayarlanır.

Uyarı

Bir işi, örneğin her 30 dakikada bir yüksek sıklıkta çalışacak şekilde zamanlarsanız, verilerin veri gölünde kullanılabilir duruma gelmesi için gereken süreyi dikkate almanız gerekir. Sorgu için yeni alınan veriler kullanılabilir duruma gelmeden önce genellikle 15 dakikaya kadar bir gecikme süresi vardır.
İş ayrıntılarını gözden geçirmek için İleri'yi seçin.
İşi oluşturmak için iş ayrıntılarını gözden geçirin ve Gönder'i seçin. İş tek seferlik bir işse, Gönder'i seçtikten sonra çalışır. İş zamanlanmışsa İşler sayfasındaki iş listesine eklenir ve başlangıç verilerine ve saatine göre çalışır.
İş zamanlandı ve aşağıdaki sayfa görüntülenir. Bağlantıyı seçerek işi görüntüleyebilirsiniz.

Şablondan iş oluşturma

Önceden tanımlanmış bir iş şablonundan KQL işi oluşturabilirsiniz. İş şablonları KQL sorgusunu ve hedef çalışma alanı ve tablo, zamanlama ve açıklama gibi iş ayarlarını içerir. Kendi iş şablonlarınızı oluşturabilir veya Microsoft tarafından sağlanan yerleşik şablonları kullanabilirsiniz.

Şablondan iş oluşturmak için şu adımları izleyin:

İşler sayfasından veya KQL sorgu düzenleyicisinden İş oluştur'u ve ardından Şablondan oluştur'u seçin.
İş şablonları sayfasında, kullanılabilir şablonlar listesinden kullanmak istediğiniz şablonu seçin.
Şablondan Açıklama ve KQL sorgusunu gözden geçirin.
Şablondan iş oluştur'u seçin.
İş oluşturma sihirbazı Yeni KQL işi oluştur sayfasıyla açılır. İş ayrıntıları, hedef çalışma alanı hariç, şablondan önceden doldurulmuş.
Çalışma alanı seçin açılan listesinden hedef çalışma alanını seçin .
İş ayrıntılarını gerektiği gibi gözden geçirin ve değiştirin, ardından İş oluşturma sihirbazında ilerlemek için İleri'yi seçin.
Kalan adımlar yeni bir iş oluşturmakla aynıdır. Alanlar şablondan önceden doldurulur ve gerektiğinde değiştirilebilir. Daha fazla bilgi için bkz. İş oluşturma.

Aşağıdaki şablonlar kullanılabilir:

Şablon adı	Kategori
Anormal oturum açma konumları artıyor Konum çeşitliliği eğilim çizgilerini hesaplayarak uygulamalar genelinde kullanıcıların olağan dışı konum değişikliklerini algılamak için Entra ID oturum açma günlüklerinin eğilim analizini analiz edin. Konum değişkenliğindeki en dik artışa sahip ilk üç hesabı vurgular ve 21 günlük pencereler içindeki ilişkili konumlarını listeler. Hedef tablo: UserAppSigninLocationTrend Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Konum değişikliklerine göre anormal oturum açma davranışı Davranıştaki ani değişiklikleri algılamak için Entra ID kullanıcılarının ve uygulamalarının konum değişikliklerine göre anormal oturum açma davranışını belirleyin. Hedef tablo: UserAppSigninLocationAnomalies Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Anomali algılama
Uygulamaya göre nadir etkinlikleri denetleme Sessizce ayrıcalık oluşturabilen nadir eylemler gerçekleştiren uygulamaları (örneğin, onay, izinler) bulun. Yeni denetim etkinliklerini tanımlamak için geçerli günü son 14 günlük denetimlerle karşılaştırın. Azure Apps ve otomatik onaylar tarafından yapılan kullanıcı/grup ekleme veya kaldırma işlemleriyle ilgili kötü amaçlı etkinlikleri izlemek için kullanışlıdır. Hedef tablo: AppAuditRareActivity Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Azure özel abonelik düzeyi işlemleri Azure Etkinlik Günlüklerini temel alarak hassas Azure abonelik düzeyi olaylarını belirleyin. Örneğin, "Anlık Görüntü Oluştur veya Güncelleştir" adlı işlem adına göre izleme, yedeklemeler oluşturmak için kullanılabilir, ancak saldırganlar tarafından karmaları dökümlemek veya diskten hassas bilgileri çıkarmak için kötüye kullanılabilir. Hedef tablo: AzureSubscriptionSensitiveOps Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
AuditLogs'ta uygulamaya göre günlük etkinlik eğilimi Son 14 günden itibaren, bir kullanıcı veya uygulama tarafından gerçekleşen "Uygulamaya onay verme" işlemini belirleyin. Bu, listelenen AzureApp'e erişim izinlerinin kötü amaçlı bir aktöre sağlandığını gösterebilir. Uygulamaya onay verme, hizmet ilkesi ekleme ve Auth2PermissionGrant olayları ekleme nadir gerçekleşmelidir. Mümkünse, "Uygulamaya onay verme" işlemini gerçekleştiren aynı hesaptan CorrelationId temelinde AuditLogs'tan ek bağlam sağlanır. Hedef tablo: AppAuditActivityBaseline Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
SignInLogs'ta kullanıcı veya uygulama başına günlük konum eğilimi Tüm kullanıcı oturum açma işlemleri, konum sayısı ve bunların uygulama kullanımı için günlük eğilimler oluşturun. Hedef tablo: UserAppSigninLocationBaseline Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
Hedef IP başına günlük ağ trafiği eğilimi İşaretleme ve sızdırmayı algılamak için baytlar ve ayrı eşler içeren bir taban çizgisi oluşturun. Hedef tablo: NetworkTrafficDestinationIPDailyBaseline Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
Veri aktarımı istatistikleriyle hedef IP başına günlük ağ trafiği eğilimi Giden hedefe ulaşan iç ağı sunucusunu belirleyin; hacim trendlerini ve etki alanını (patlama yarıçapı) tahmin edin. Hedef tablo: NetworkTrafficDestinationIPTrend Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Kaynak IP başına günlük ağ trafiği eğilimi İşaretleme ve sızdırma faaliyetlerini tespit etmek için baytlar ve farklı eşler içeren bir taban çizgisi oluşturun. Hedef tablo: NetworkTrafficSourceIPDailyBaseline Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
Veri aktarım istatistikleriyle kaynak IP başına günlük ağ trafiği eğilimi Bugünkü bağlantılar ve baytlar, gözlemlenen davranışların yerleşik desenden önemli ölçüde sapma olup olmadığını belirlemek için konağın günlük taban çizgisine göre değerlendirilir. Hedef tablo: NetworkTrafficSourceIPTrend Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Kullanıcı ve uygulama başına günlük oturum açma konumu eğilimi Her kullanıcı veya uygulama için tipik coğrafi ve IP'ye sahip bir oturum açma temeli oluşturarak uygun ölçekte verimli ve uygun maliyetli anomali algılamasını sağlar. Hedef tablo: UserAppSigninLocationDailyBaseline Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
Günlük işlem yürütme eğilimi Yeni işlemleri ve yaygınlığı belirleyerek "yeni nadir süreç" algılamalarını kolaylaştırma. Hedef tablo: EndpointProcessExecutionBaseline Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Taban çizgisi
Entra ID ile uygulama başına nadir kullanıcı aracısı Belirli bir uygulama için kullanılan UserAgent türünün (tarayıcı, office uygulaması vb.) bir temelini oluşturmak için birkaç gün geriye bakın. Daha sonra geçerli gün içinde bu desenden herhangi bir sapma olup olmadığını, yani bu uygulamayla birlikte daha önce görülmemiş bir UserAgent türünü arar. Hedef tablo: UserAppRareUserAgentAnomalies Sorgu geri arama: 7 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Anomali algılama
Ağ günlüğü IOC eşleştirmesi Herhangi bir IP tehdit göstergesini (IOC) tehdit istihbaratından (TI) tanımlamak için, CommonSecurityLog'da eşleşmeleri arayın. Hedef tablo: NetworkLogIOCMatches Sorgu geri arama: 1 saat Zamanlama: saatlik Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Son 24 saatte gözlemlenen yeni süreçler Kararlı ortamlardaki yeni işlemler kötü amaçlı etkinlikleri gösterebilir. Bu ikili dosyaların çalıştığı oturum açma oturumlarını analiz etmek saldırıların tanımlanmasına yardımcı olabilir. Hedef tablo: EndpointNewProcessExecutions Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Daha önce görünmeyen IP'ler aracılığıyla SharePoint dosya işlemi Yeni IP adreslerinden dosya yükleme/indirme etkinliklerindeki önemli değişiklikler için bir eşik ayarlayarak kullanıcı davranışını kullanarak anomalileri belirleyin. Tipik bir davranış temeli oluşturur, bunu son etkinliklerle karşılaştırır ve varsayılan eşik olan 25'i aşan sapmaları işaretler. Hedef tablo: SharePointFileOpsNewIPs Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Palo Alto potansiyel ağ işareti Palo Alto Ağ trafiği günlüklerinden gelen işaret desenlerini, yinelenen zaman değişim desenlerine göre tanımlayın. Sorgu, zaman farklarını hesaplamak için çeşitli KQL işlevlerini kullanır ve ardından gün içinde gözlemlenen toplam olaylarla karşılaştırarak işaretleme yüzdesini bulur. Hedef tablo: PaloAltoNetworkBeaconingTrend Sorgu geri arama: 1 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Avlanma
Windows şüpheli oturum açma işlemi normal saatler dışında Son 14 günlük oturum açma etkinliğiyle karşılaştırarak, geçmiş desenlere göre anomalileri işaretleyerek kullanıcının normal saatleri dışında olağan dışı Windows oturum açma olaylarını belirleyin. Hedef tablo: WindowsLoginOffHoursAnomalies Sorgu geri arama: 14 gün Zamanlama: günlük Başlangıç tarihi: Geçerli tarih + 1 sa	Anomali algılama

Dikkat edilmesi gerekenler ve sınırlamalar

Microsoft Sentinel veri gölünde iş oluşturduğunuzda aşağıdaki sınırlamaları ve en iyi yöntemleri göz önünde bulundurun:

KQL

Aşağıdakiler dışında tüm KQL işleçleri ve işlevleri desteklenir:
- adx()
- arg()
- externaldata()
- ingestion_time()
komutunu kullandığınızda stored_query_results , KQL sorgusunda zaman aralığını sağlayın. Sorgu düzenleyicisinin üstündeki zaman seçici bu komutla çalışmaz.
Kullanıcı tanımlı işlevler desteklenmez.

Işleri

İş adları kiracı için benzersiz olmalıdır.
İş adları en fazla 256 karakter olabilir.
İş adları bir # veya bir - içeremez.
İş başlangıç zamanı, iş oluşturulduktan veya düzenlendikten sonra en az 30 dakika olmalıdır.

Veri gölü veri yükleme gecikmesi

Data Lake katmanı verileri soğuk depolama alanında depolar. Sık erişimli veya neredeyse gerçek zamanlı analiz katmanlarından farklı olarak soğuk depolama, uzun süreli saklama ve maliyet verimliliği için iyileştirilmiştir ve yeni alınan verilere anında erişim sağlamaz. Veri gölündeki mevcut tablolara yeni satırlar eklendiğinde, verilerin sorgulanması için kullanılabilir duruma gelmeden önce 15 dakikaya kadar tipik bir gecikme süresi olur. Sorguları çalıştırdığınızda ve lookback pencerelerinin ve iş zamanlamalarının henüz kullanılabilir olmayan verilerden kaçınmak için yapılandırıldığından emin olarak KQL işleri zamanladığınızda veri alımı gecikme süresini hesaplayın.

Henüz kullanılamayabilecek verileri sorgulamaktan kaçınmak için KQL sorgularınıza veya işlerinize bir gecikme parametresi ekleyin. Örneğin, otomatik işleri zamanladığınızda, sorgunun bitiş zamanını olarak now() - delayayarlayın; burada delay 15 dakikalık tipik veri hazırlığı gecikme süresiyle eşleşir. Bu yaklaşım, sorguların yalnızca tamamen alınan ve analize hazır verileri hedeflemesini sağlar.

let lookback = 15m;
let delay = 15m;
let endTime = now() - delay;
let startTime = endTime - lookback;
CommonSecurityLog
| where TimeGenerated between (startTime .. endTime)

Bu yaklaşım, kısa geri bakış pencerelerine veya sık yürütme aralıklarına sahip işler için etkilidir.

Geç gelen verilerin eksik olması riskini azaltmak için geri arama dönemini iş sıklığıyla çakışmayı göz önünde bulundurun.

Daha fazla bilgi için bkz. Zamanlanmış analiz kurallarında veri alınma gecikmesini yönetme.

Sütun adları

Dışa aktarma için aşağıdaki standart sütunlar desteklenmez. Alma işlemi, hedef katmandaki şu sütunları değiştirir:

KiracıID
_ZamanAlındı
Türü
Kaynak Sistemi
Kaynak Kimliği (_ResourceId)
_AbonelikNumarası
_ItemId
_FaturalandirilmisBoyut (_BilledSize)
_IsBillable (faturalandırılabilir mi)
_WorkspaceId
TimeGenerated iki günden eskiyse üzerine yazılır. Özgün olay zamanını korumak için kaynak zaman damgasını ayrı bir sütuna yazın.

Hizmet sınırları için bkz. Microsoft Sentinel veri gölü hizmet sınırları.

Uyarı

İşin sorgusu bir saatlik sınırı aşarsa kısmi sonuçlar yükseltilebilir.

KQL işleri için hizmet parametreleri ve sınırları

Aşağıdaki tabloda, Microsoft Sentinel veri gölündeki KQL işleri için hizmet parametreleri ve sınırları listelanmaktadır.

Kategori	Parametre/sınır
Kiracı başına eşzamanlı iş yürütme	3
İş sorgusu yürütme zaman aşımı	1 saat
Kiracı başına görevler (etkin görevler)	100
İş başına çıktı tablosu sayısı	1
Sorgu kapsamı	Birden çok çalışma alanı
Sorgu zaman aralığı	12 yıla kadar

Sorun giderme ipuçları ve hata iletileri için bkz. Microsoft Sentinel veri gölü için KQL sorgularının sorunlarını giderme.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-12-05