Introdução
A KQL (Kusto Query Language) é a linguagem de consulta usada para realizar análises em dados para a criação de Análises e Pastas de Trabalho e para executar buscas no Microsoft Azure Sentinel. Saber como correlacionar dados de diferentes tabelas com uma instrução KQL fornece as bases para a criação de detecções no Microsoft Azure Sentinel.
Você trabalha como analista de operações de segurança em uma empresa que está implementando o Microsoft Azure Sentinel. Você é responsável por executar a análise de dados de log para procurar atividades mal intencionadas, exibir visualizações e realizar a busca de ameaças.
Para consultar os dados do log, você usa a KQL. Geralmente, um conjunto de resultados de uma instrução KQL precisa ser combinado ou unido a outro conjunto de resultados. Você pode usar o operador de união para combinar dois conjuntos de resultados. O operador de junção une linhas com base em um valor de chave. É preciso entender como a ordem de uma instrução KQL afeta os resultados esperados.
Dica
Você pode testar os exemplos de consulta KQL a seguir no Site de Demonstração de LA. Se você receber a mensagem "Nenhum resultado encontrado", tente alterar o intervalo de tempo.