Einführung
Die Kusto-Abfragesprache (Kusto Query Language, KQL) dient der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel. Das Wissen, wie Sie Daten in einer KQL-Anweisung zusammenfassen und visualisieren, ist die Grundlage zum Erstellen von Erkennungen in Microsoft Sentinel.
Sie sind Security Operations Analyst in einem Unternehmen, das Microsoft Sentinel implementiert. Sie sind für die Analyse von Protokolldaten verantwortlich, um nach schädlichen Aktivitäten zu suchen, Visualisierungen anzuzeigen und Bedrohungen aufzuspüren. Zum Abfragen von Protokolldaten verwenden Sie die Kusto-Abfragesprache (KQL). Sie schreiben KQL-Anweisungen, die Daten aggregieren und korrelieren, um eine Mustererkennung zu ermöglichen. Eine solche Aggregation könnte z. B. die Anzahl von fehlerhaften Anmeldungen sein. Diese Informationen können zusammen mit einem vorab definierten Schwellenwert verwendet werden, um eine Warnung für ein „Konto mit mehr als 10 fehlerhaften Anmeldungen in der letzten Stunde“ zu generieren.
Der summarize-Operator von KQL führt die Berechnungen aus. Um schnell ein Muster zu erkennen, können Analysten die Ergebnisse in einem Diagramm visualisieren. Der render-Operator von KQL führt die Visualisierung aus. Die Kombination der Operatoren „summarize“ und „render“ bietet die Grundlage für erweiterte Visualisierungen, einschließlich Time Bucketing und Time Slicing.