Einführung

Abgeschlossen

Die Kusto-Abfragesprache (Kusto Query Language, KQL) dient der Untersuchung von Daten zum Erstellen von Analysen und Arbeitsmappen sowie der Ausführung von Huntingvorgängen in Microsoft Sentinel. Das Verständnis für das Arbeiten mit Feldern, die strukturierte und unstrukturierte Zeichenfolgen enthalten, unter Verwendung einer KQL-Anweisung bildet die Grundlage für das Extrahieren von Daten, die beim Erstellen von Erkennungen in Microsoft Sentinel verwendet werden.

Sie sind Security Operations Analyst in einem Unternehmen, das Microsoft Sentinel implementiert. Sie sind für die Analyse von Protokolldaten verantwortlich, um nach schädlichen Aktivitäten zu suchen, Visualisierungen anzuzeigen und Bedrohungen aufzuspüren.

Zum Abfragen von Protokolldaten verwenden Sie die Kusto-Abfragesprache (KQL). Häufig sind in Tabellenfeldern strukturierte und unstrukturierte Zeichenfolgendaten gespeichert. Sie schreiben KQL-Anweisungen, um die in diesen Feldern gespeicherten Daten zu extrahieren und zu bearbeiten. Ein typisches Szenario ist ein in einem Feld gespeichertes Schlüssel-Wert-Paar, wobei Sie den bestimmten Wert eines Schlüssels abfragen müssen.