簡介
Kusto 查詢語言 (KQL) 是用來對數據執行分析的查詢語言,以在 Microsoft Sentinel 中建立分析、活頁簿和執行搜捕。 了解如何使用 KQL 陳述式來將不同資料表的資料相互關聯,以提供在 Microsoft Sentinel 中組建偵測的基礎。
您是安全性作業分析師,任職的公司正在導入 Microsoft Sentinel。 您負責執行記錄資料分析,以搜尋惡意活動、顯示視覺效果,以及執行威脅搜尋。
若要查詢記錄資料,您可以使用 Kusto 查詢語言 (KQL)。 KQL 陳述式的結果集通常必須與另一個結果集合併或聯結。 您可以使用 union 運算子來合併兩個結果集。 Join 運算子會根據索引鍵值,將資料列聯結在一起。 您必須瞭解 KQL 陳述式的順序會如何影響預期的結果。