KQL 查詢環境

  • 6 分鐘

現在您已初步了解 KQL,讓我們看看您可以在 Microsoft 產品中使用 KQL 的不同查詢環境。

本單元所述的環境包括 Azure 數據總管、Microsoft Fabric 中的 Synapse 即時分析(預覽版)Azure 監視器、Microsoft SentinelAzure Resource GraphMicrosoft Defender 全面偵測回應Configuration Manager

Azure 資料總管

Azure 資料總管是一個完全受控、高效能的巨量資料分析平台,可讓您輕鬆地即時分析大量資料。 Azure 資料總管工具箱提供了資料擷取、查詢、視覺效果及管理的端對端解決方案。

Azure Data Explorer 可讓您輕鬆地擷取重要深入解析、找出模式和趨勢,以及建立預測模型。 此服務會使用 Machine Learning,可跨時間序列分析結構化、半結構化和非結構化資料。 Azure Data Explorer 是可擴充、安全、穩健且符合企業需求的功能,可運用在 Log Analytics、時間序列分析、IoT 和一般用途的探索分析。

Screenshot of query environment in Azure Data Explorer.

KQL 是針對 Azure Data Explorer 所開發,可用於各種環境,包括 Web UIKusto CLI 和傳統型應用程式 Kusto.Explorer。 您可以在 KQL 概觀中找到完整的查詢語言文件集。

如需產品詳細資訊,請參閱 Azure Data Explorer 是什麽?

Microsoft Fabric 中的 Synapse Real-Time Analytics (Preview)

Microsoft Fabric 是一個適用於企業的多功能分析解決方案,涵蓋資料移動到資料科學、近乎即時的分析及商業智慧等所有內容。 其提供完整的服務套件,包括資料湖、資料工程和資料整合,全都整合在一處。 即時分析是針對串流和時間序列資料最佳化的完全受控巨量資料分析平台。 即時分析包含可視為 Azure Data Explorer SaaS 版本的項目。 具體而言,您可以在 KQL 查詢集中使用 KQL 來執行查詢、檢視及自訂 KQL 資料庫中資料的查詢結果。 您也可以儲存查詢以供日後使用,或與其他人共用以在資料探索上共同作業。

Screenshot of query in Real-Time Analytics.

如需詳細資訊,請參閱在 KQL 查詢集中查詢資料

如需產品詳細資訊,請參閱什麼是網狀架構中的即時分析?

Azure 監視器

Azure 監視器會收集、分析及回應來自 Azure、多雲端和內部部署環境的遙測,以協助將應用程式和服務的可用性及效能最大化。 Azure 監視器會將來自多個來源的資料相互關聯,包括計量、記錄、追蹤和變更,並提供一組工具來分析、視覺化及回應資料。 這些工具包括深入解析、警示、自動調整和自動化的 IT 作業專屬人工智慧 (AIOps) 功能。

Azure 入口網站中的 Log Analytics 工具可讓您針對 Azure 監視器記錄存放區中的資料,編輯和執行記錄查詢。

Screenshot of the Azure Monitor Log Analytics user interface for running queries.

Azure 監視器會使用相同的 KQL 做為 Azure Data Explorer,有一些微幅差異。 如需參考,請參閱語言差異

如需產品詳細資訊,請參閱 Azure 監視器概觀

Microsoft Sentinel

Microsoft Sentinel 為可調整的雲端原生解決方案,可提供安全性資訊與事件管理 (SIEM) 以及安全性協調流程、自動化與回應 (SOAR)。 Microsoft Sentinel 中的許多功能都利用 KQL。 使用 Microsoft Sentinel 的搜捕搜尋和查詢工具,主動且以回應方式搜捕整個組織資料來源的安全性威脅時,KQL 的熟練度相當重要。 如需詳細資訊,請參閱使用 Microsoft Sentinel 搜捕威脅

Screenshot of Microsoft Sentinel threat hunting environment.

但這只是一個起點。 Microsoft Sentinel 針對警示、活頁簿視覺效果、剖析器和轉換資料,會使用 KQL。 由於 Microsoft Sentinel 建置在 Azure 監視器服務之上,並使用 Azure 監視器的 Log Analytics 工作區來儲存其所有資料,因此 Microsoft Sentinel 也會提供 [記錄] 檢視,讓直接資料表查詢尋找資料中的連線。

如需產品詳細資訊,請參閱什麼是 Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph 是一項 Azure 服務,其旨在延伸 Azure 資源管理。 其提供有效率且高效能的資源探索,讓您能夠在一組指定訂閱上大規模地進行查詢,以利您有效率地控管環境。 使用 Azure Resource Graph,您可以存取由資源提供者傳回的屬性,而無須對每個資源提供者進行個別呼叫。

Screenshot of query environment in Azure Resource Graph.

Azure Resource Graph 支援 KQL 資料類型、純量函式、純量運算子和彙總函式的子集。 Resource Graph 支援特定表格式運算子,其中有一些運算子會有不同的行為。 此行為會在支援的 KQL 語言元素中摘要說明。

如需產品詳細資訊,請參閱 Azure Resource Graph 是什麽?

Microsoft Defender XDR

Microsoft Defender 全面偵測回應 是一個統一的入侵前和入侵后企業防禦套件,可提供整合式保護,以防止複雜的攻擊。 該套件可以原生方式協調您的偵測、預防和調查,並針對端點、身分識別、電子郵件和應用程式做出回應。 每當偵測到惡意或可疑的活動或成品時,您的安全性作業小組就會在 Microsoft Defender 入口網站內收到警示。 但是,在攻擊發生時,回應攻擊還不夠。 針對勒索軟體等延伸、多階段攻擊,您必須主動搜尋進行中攻擊的證據,並採取動作,以在完成之前加以停止。

Screenshot of Microsoft Defender XDR threat hunting environment.

進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索多達 30 天的原始資料。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。 如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。

如需詳細資訊,請參閱什麼是 Microsoft Defender 全面偵測回應?

Configuration Manager

Configuration Manager 是 Microsoft Intune 系列產品的一部分,可提供客戶用於報告用途的大型集中式裝置資料存放區。 CMPivot 是主控台內部公用程式,能存取環境中的裝置即時狀態。

Screenshot of query environment in CM Pivot in Configuration Manager.

CM 樞紐使用 KQL 的子集來搜尋字詞、識別趨勢、分析模式,並提供許多其他資料驅動見解。 如需詳細資訊,請參閱 CM 樞紐查詢

如需產品詳細資訊,請參閱什麼是 Configuration Manager?