KQL 쿼리 환경

  • 6분

이제 KQL에 대해 알게 되었으므로 Microsoft 제품에서 KQL을 사용할 수 있는 다양한 쿼리 환경을 살펴보겠습니다.

이 단원에서 설명하는 환경은 Azure Data Explorer, Microsoft Fabric의 실시간 인텔리전스, Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDRConfiguration Manager입니다.

Azure Data Explorer

Azure Data Explorer는 대용량 데이터를 거의 실시간으로 쉽게 분석할 수 있는 완전 관리형 고성능 빅 데이터 분석 플랫폼입니다. Azure Data Explorer 도구 상자는 데이터 수집, 쿼리, 시각화, 관리를 위한 엔드투엔드 솔루션을 제공합니다.

Azure Data Explorer를 사용하면 간단하게 주요 인사이트를 추출하고, 패턴과 추세를 파악하고, 예측 모델을 만들 수 있습니다. Machine Learning을 사용하고 시계열 전반에 걸쳐 구조화된, 반구조화된, 구조화되지 않은 데이터를 분석합니다. Azure Data Explorer는 확장 가능하고 안전하며 강력하며 엔터프라이즈급이며 로그 분석, 시계열 분석, IoT 및 범용 탐색 분석에 유용합니다.

Azure Data Explorer의 쿼리 환경 스크린샷.

KQL은 Azure Data Explorer용으로 개발되었으며 웹 UI, Kusto CLIKusto.Explorer 데스크톱 앱을 포함한 다양한 환경에서 사용할 수 있습니다. KQL 개요에서 전체 쿼리 언어 설명서 집합을 찾을 수 있습니다.

자세한 제품 정보는 Azure Data Explorer란?을 참조하세요.

Microsoft Fabric의 실시간 인텔리전스

Microsoft Fabric은 데이터 이동에서 데이터 과학, 실시간 분석, 비즈니스 인텔리전스에 이르기까지 모든 것을 다루는 엔터프라이즈용 올인원 분석 솔루션입니다. 데이터 레이크, 데이터 엔지니어링, 데이터 통합을 비롯한 포괄적인 서비스 제품군을 한 곳에서 제공합니다. 실시간 인텔리전스는 스트리밍 시계열 데이터에 최적화된 완전 관리형 빅 데이터 분석 플랫폼입니다. 실시간 인텔리전스에는 Azure Data Explorer의 SaaS 버전으로 생각할 수 있는 내용이 포함되어 있습니다. 특히 KQL 쿼리 세트의 KQL을 사용하여 KQL 데이터베이스의 데이터에 대한 쿼리 결과를 실행하고, 보고, 사용자 지정할 수 있습니다. 나중에 사용하기 위해 쿼리를 저장하거나 다른 사람과 공유하여 데이터 탐색에 대한 공동 작업을 수행할 수도 있습니다.

실시간 인텔리전스의 쿼리 스크린샷.

자세한 내용은 KQL 쿼리 세트의 데이터 쿼리를 참조하세요.

자세한 제품 정보는 Fabric의 실시간 인텔리전스란?을 참조하세요.

Azure Monitor

Azure Monitor는 Azure, 다중 클라우드, 온-프레미스 환경에서 원격 분석을 수집, 분석, 응답하여 애플리케이션 및 서비스의 가용성과 성능을 최대화합니다. Azure Monitor는 메트릭, 로그, 추적 및 변경 내용을 포함한 여러 원본의 데이터를 상호 연결하고 데이터를 분석, 시각화 및 응답하기 위한 도구 집합을 제공합니다. 이러한 도구에는 IT 운영을 위한 인사이트, 경고, 자동 크기 조정 및 자동화된 인공 지능(AIOps) 기능이 포함됩니다.

Log Analytics는 Azure Monitor 로그 저장소의 데이터에 대해 로그 쿼리를 편집하고 실행하기 위한 Azure Portal의 도구입니다.

쿼리 실행을 위한 Azure Monitor Log Analytics 사용자 인터페이스의 스크린샷.

Azure Monitor는 Azure Data Explorer와 동일한 KQL을 사용하지만 몇 가지 차이점이 있습니다. 참조는 언어 차이를 참조하세요.

자세한 내용은 Azure Monitor 개요를 참조하세요.

Microsoft Sentinel

Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브 솔루션으로 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답)을 제공합니다. Microsoft Sentinel의 많은 기능은 KQL을 사용합니다. KQL에 대한 숙련도는 Microsoft Sentinel의 헌팅 검색과 쿼리 도구를 사용하여 조직의 데이터 원본에서 보안 위협을 사전에 그리고 사후에 헌팅할 때 유용합니다. 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조하세요.

Microsoft Sentinel 위협 헌팅 환경 스크린샷.

그러나 그것은 시작에 불과합니다. Microsoft Sentinel은 경고, 통합 문서 시각화, 파서, 데이터 변환에 KQL을 사용합니다. Microsoft Sentinel은 Azure Monitor 서비스를 기반으로 빌드되고 Azure Monitor의 Log Analytics 작업 영역을 사용하여 모든 데이터를 저장하므로 Microsoft Sentinel은 데이터에서 연결을 찾기 위한 직접 테이블 쿼리에 대한 로그 보기도 제공합니다.

자세한 내용은 Microsoft Sentinel이란?을 참조하세요.

Azure Resource Graph

Azure Resource Graph는 Azure 리소스 관리를 확장하도록 설계된 Azure 서비스입니다. 지정된 구독 집합에 걸쳐 대규모 쿼리하는 기능과 함께 효율적이고 성능이 뛰어난 리소스 탐색을 제공하여 환경을 효과적으로 관리할 수 있습니다. Azure Resource Graph를 사용하면 각 리소스 공급자를 별도로 호출하지 않고도 리소스 공급자가 반환하는 이러한 속성에 액세스할 수 있습니다.

Azure Resource Graph에서 쿼리 환경 스크린샷.

Azure Resource Graph는 모든 KQL 데이터 형식, 스칼라 함수, 스칼라 연산자, 집계 함수의 하위 집합을 지원합니다. Resource Graph는 특정 표 형식 연산자를 지원하며 그중 일부는 동작이 다릅니다. 이 동작은 지원되는 KQL 언어 요소에 요약되어 있습니다.

자세한 제품 정보는 Azure Resource Graph란?을 참조하세요.

Microsoft Defender XDR

Microsoft Defender XDR은 정교한 공격에 대한 통합된 보호를 제공하는 위반 사전 및 사후 통합 엔터프라이즈 방어 제품군입니다. 기본적으로 엔드포인트, ID, 이메일 및 애플리케이션 전반에 걸쳐 검색, 예방, 조사 및 응답을 조정합니다. 보안 운영 팀은 악의적이거나 의심스러운 작업이나 아티팩트가 검색될 때마다 Microsoft Defender 포털 내에서 경고를 받습니다. 그러나 공격이 발생할 때 이에 대응하는 것만으로는 충분하지 않습니다. 랜섬웨어와 같은 확장된 다단계 공격의 경우 진행 중인 공격의 증거를 사전에 검색하고 완료하기 전에 이를 중지하기 위한 조치를 취해야 합니다.

Microsoft Defender XDR 위협 헌팅 환경의 스크린샷.

고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 위협 지시기 및 엔터티를 찾기 위해 네트워크상의 이벤트를 미리 조사할 수 있습니다. 데이터에 유연하게 액세스하면 알려진 위협과 잠재적 위협 모두에 대한 헌팅을 제한 없이 수행할 수 있습니다. 자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협을 사전에 헌팅을 참조하세요.

자세한 내용은 Microsoft Defender XDR이란?을 참조하세요.

Configuration Manager

Configuration Manager는 고객이 보고 목적으로 사용하는 대규모 중앙 집중식 디바이스 데이터 저장소를 제공하는 Microsoft Intune 제품군의 일부입니다. CMPivot은 사용자 환경에서 디바이스의 실시간 상태에 액세스할 수 있는 새로운 콘솔 내 유틸리티입니다.

Configuration Manager의 CM Pivot에서 쿼리 환경 스크린샷.

CMPivot은 KQL의 하위 집합을 사용하여 용어를 검색하고, 추세를 식별하고, 패턴을 분석하고, 다른 많은 데이터 기반 인사이트를 제공합니다. 자세한 내용은 CMPivot 쿼리를 참조하세요.

자세한 내용은 Configuration Manager란?을 참조하세요.