介绍

Kusto 查询语言 (KQL) 用于执行数据分析，以在 Microsoft Sentinel 中创建分析、工作簿和执行搜寻。了解如何使用 KQL 语句来处理包含结构化和非结构化字符串数据的字段，这是提取在 Microsoft Sentinel 中构建检测时使用的数据的基础。

你是一位安全运营分析师，你所在公司正在实现 Microsoft Sentinel。你负责执行日志数据分析，以便搜索恶意活动、显示可视化效果并执行威胁搜寻。

为了查询日志数据，你使用 Kusto 查询语言 (KQL)。表中的字段通常存储结构化和非结构化字符串数据。你编写了 KQL 语句来提取和处理存储在这些字段中的数据。通常情况下是存储在字段中的键/值对，并且你需要查询键的特定值。

反馈