소개
KQL(Kusto Query Language)은 분석과 통합 문서를 생성하기 위해 데이터 분석을 수행하는 쿼리 언어로 Microsoft Sentinel에서 헌팅을 수행합니다. KQL 문을 사용하여 여러 테이블에 속한 데이터의 상관관계를 지정하는 방법을 이해하는 것은 Microsoft Sentinel에서 검색 체계를 빌드하기 위한 토대를 제공합니다.
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 로그 데이터 분석을 수행하여 악의적인 활동을 검색하고, 시각화를 표시하고, 위협 헌팅을 수행할 책임이 있습니다.
로그 데이터를 쿼리하려면 KQL(Kusto Query Language)을 사용합니다. KQL 문의 결과 집합을 다른 결과 집합과 결합하거나 조인해야 하는 경우가 종종 있습니다. union 연산자를 사용하여 두 결과 집합을 결합할 수 있습니다. 조인 연산자는 키 값을 기준으로 행을 조인합니다. KQL 문의 순서가 예상 결과에 미치는 영향을 이해해야 합니다.
팁
LA 데모 사이트에서 다음 KQL 쿼리 예제를 테스트할 수 있습니다. "결과를 찾을 수 없음"이라는 메시지가 표시되면 시간 범위를 변경해 보세요.