Einführung
Die Kusto-Abfragesprache (Kusto Query Language, KQL) dient der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel. Das Wissen, wie Sie Daten aus verschiedenen Tabellen mit einer KQL-Anweisung korrelieren, ist die Grundlage für das Erstellen von Erkennungen in Microsoft Sentinel.
Sie sind Security Operations Analyst in einem Unternehmen, das Microsoft Sentinel implementiert. Sie sind für die Analyse von Protokolldaten verantwortlich, um nach schädlichen Aktivitäten zu suchen, Visualisierungen anzuzeigen und Bedrohungen aufzuspüren.
Zum Abfragen von Protokolldaten verwenden Sie die Kusto-Abfragesprache (KQL). Häufig muss ein Resultset aus einer KQL-Anweisung kombiniert oder mit einem anderen Resultset verknüpft werden. Sie können den Union-Operator verwenden, um zwei Resultsets zu kombinieren. Der Verknüpfungsoperator verknüpft Zeilen basierend auf einem Schlüsselwert. Sie müssen verstehen, wie sich die Reihenfolge einer KQL-Anweisung auf die erwarteten Ergebnisse auswirkt.