Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Data Lake-Erkundung im Microsoft Defender-Portal bietet eine einheitliche Schnittstelle zum Analysieren Ihres Datensees. Sie können KQL-Abfragen (Kusto Query Language) ausführen, Aufträge erstellen und verwalten.
Auf der Seite "KQL-Abfragen " unter "Data Lake Exploration " können Sie KQL-Abfragen für Data Lake-Ressourcen bearbeiten und ausführen. Erstellen Sie Aufträge zum Höherstufen von Daten aus Data Lake auf die Analyseebene, oder erstellen Sie aggregierte Tabellen auf der Data Lake-Ebene. Führen Sie Aufträge bei Bedarf aus, oder planen Sie sie. Auf der Seite "Aufträge " können Sie Aufträge verwalten; aktivieren, deaktivieren, bearbeiten oder löschen. Weitere Informationen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel-Datensee.
Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um KQL-Abfragen im Microsoft Sentinel-Datensee auszuführen.
Onboarding zum Data Lake
Sie können KQL-Abfragen nach Abschluss des Onboardingprozesses im Microsoft Defender-Portal ausführen. Weitere Informationen zum Onboarding finden Sie unter Onboarding in den Microsoft Sentinel Data Lake.
Erlaubnisse
Mit Microsoft Entra ID-Rollen können Sie auf alle Arbeitsbereiche im Data Lake zugreifen. Alternativ können Sie zugriff auf einzelne Arbeitsbereiche mithilfe von Azure RBAC-Rollen gewähren. Benutzer mit Azure RBAC-Berechtigungen für Microsoft Sentinel-Arbeitsbereiche können KQL-Abfragen für diese Arbeitsbereiche auf der Datenseeebene ausführen. Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Microsoft Sentinel Data Lake-Rollen und -Berechtigungen.
Schreiben von KQL-Abfragen
Das Schreiben von Abfragen für den Data Lake ähnelt dem Schreiben von Abfragen in der erweiterten Suchumgebung. Sie können dieselbe KQL-Syntax und -Funktionen verwenden. KQL unterstützt erweiterte Analyse- und Maschinelle Lernfunktionen. Der Abfrage-Editor bietet eine Schnittstelle zum Ausführen von KQL-Abfragen mit Features wie IntelliSense und AutoVervollständigen, die Ihnen beim effizienten Schreiben helfen. Eine detaillierte Übersicht über die KQL-Syntax und -Funktionen finden Sie in der Übersicht über die Kusto Query Language (KQL).
KQL-Abfragen im Defender-Portal
Wählen Sie "Neue Abfrage" aus, um eine neue Abfrageregisterkarte zu erstellen. Das Portal speichert die letzte Abfrage auf jeder Registerkarte. Wechseln zwischen Registerkarten, um gleichzeitig an mehreren Abfragen zu arbeiten.
Auf der Registerkarte " Abfrageverlauf " wird eine Liste der zuvor ausgeführten Abfragen, der Abfrageverarbeitungszeit und des Abschlusszustands angezeigt. Sie können eine vorherige Abfrage auf einer neuen Registerkarte öffnen, indem Sie sie aus der Liste auswählen. Das Portal speichert den Abfrageverlauf 30 Tage lang. Wählen Sie eine Abfrage aus, um sie zu bearbeiten oder erneut auszuführen.
Arbeitsbereiche auswählen
Sie können Abfragen für einen einzelnen Arbeitsbereich oder mehrere Arbeitsbereiche ausführen. Wählen Sie Arbeitsbereiche in der oberen rechten Ecke des Abfrage-Editors mithilfe der Dropdownliste "Ausgewählte Arbeitsbereiche" aus. Die von Ihnen ausgewählten Arbeitsbereiche bestimmen die tabellen, die für die Abfrage verfügbar sind. Die ausgewählten Arbeitsbereiche gelten für alle Registerkarten im Abfrage-Editor. Wenn Sie mehrere Arbeitsbereiche verwenden, wird der union() Operator standardmäßig auf Tabellen mit demselben Namen und Schema aus verschiedenen Arbeitsbereichen angewendet. Verwenden Sie den workspace() Operator, um eine Tabelle aus einem bestimmten Arbeitsbereich abzufragen, z. B workspace("MyWorkspace").AuditLogs. .
Wenn Sie einen einzelnen, leeren Arbeitsbereich oder einen Arbeitsbereich im Prozess des Onboardings auswählen, zeigt der Schemabrowser keine Tabellen an.
Zeitbereichsauswahl
Verwenden Sie die Zeitauswahl über dem Abfrage-Editor, um den Zeitraum für Ihre Abfrage auszuwählen. Mithilfe der Option "Benutzerdefinierter Zeitraum " können Sie eine bestimmte Start- und Endzeit festlegen. Zeitbereiche können bis zu 12 Jahre dauern.
Sie können auch einen Zeitraum in der KQL-Abfragesyntax angeben, z. B.:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Hinweis
Abfragen sind nach 8 Minuten auf 500.000 Zeilen oder 64 MB Daten und Timeout beschränkt. Wenn Sie einen breiten Zeitraum auswählen, kann Ihre Abfrage diese Grenzwerte überschreiten. Erwägen Sie die Verwendung asynchroner Abfragen für lange ausgeführte Abfragen. Weitere Informationen finden Sie unter Async-Abfragen.
Anzeigen von Schemainformationen
Der Schemabrowser enthält eine Liste der verfügbaren Tabellen und deren Spalten für die ausgewählten Arbeitsbereiche, gruppiert nach Kategorie. Systemtabellen werden in der Kategorie "Objekte" angezeigt. Benutzerdefinierte Tabellen mit _CL, _KQL_CL, _SPARKund _SPARK_CL werden in der Kategorie "Benutzerdefinierte Protokolle " gruppiert. Verwenden Sie den Schemabrowser, um die in Ihrem Datensee verfügbaren Daten zu untersuchen und Tabellen und Spalten zu entdecken. Verwenden Sie das Suchfeld, um bestimmte Tabellen schnell zu finden.
Ergebnisfenster
Das Ergebnisfenster zeigt die Ergebnisse Ihrer Abfrage an. Sie können die Ergebnisse in einem Tabellenformat anzeigen und die Ergebnisse mithilfe der Schaltfläche " Exportieren " in der oberen linken Ecke des Ergebnisfensters in eine CSV-Datei exportieren. Schalten Sie die Sichtbarkeit leerer Spalten mithilfe der Schaltfläche " Leere Spalten anzeigen " um. Mit der Schaltfläche " Spalten anpassen " können Sie auswählen, welche Spalten im Ergebnisfenster angezeigt werden sollen.
Sie können die Ergebnisse mithilfe des Suchfelds in der oberen rechten Ecke des Ergebnisfensters durchsuchen.
Sofort einsatzbereite Abfragen
Die Registerkarte Abfragen bietet eine Sammlung gebrauchsfertiger KQL-Abfragen. Diese Abfragen decken häufige Szenarien und Anwendungsfälle ab, z. B. Untersuchung von Sicherheitsvorfällen und Bedrohungssuche. Sie können diese Abfragen as-is verwenden oder entsprechend Ihren spezifischen Anforderungen ändern.
Wählen Sie eine Abfrage aus der Liste mithilfe des ... -Symbols aus. Sie können die Abfrage in einem neuen Abfrage-Tab öffnen, um sie zu bearbeiten oder sofort ausführen.
Weitere Informationen zu Beispielabfragen finden Sie unter Beispiel-KQL-Abfragen für Microsoft Sentinel-Datensee.
Asynchrone Abfragen
Sie können lange ausgeführte Abfragen asynchron ausführen, sodass Sie weiterhin arbeiten können, während die Abfrage auf dem Server ausgeführt wird. Um eine Abfrage asynchron auszuführen, wählen Sie den Abwärtspfeil auf der Schaltfläche " Abfrage ausführen " und dann " Asynchrone Abfrage ausführen" aus. Geben Sie einen Abfragenamen ein, um Ihre asynchrone Abfrage zu identifizieren. Nachdem Sie die Abfrage übermittelt haben, können Sie den Status auf der Registerkarte "Asynchrone Abfragen " überwachen. Nach Abschluss der Abfrage können Sie die Ergebnisse anzeigen, indem Sie den Abfragenamen aus der Liste auswählen.
Wenn die Ausführung einer synchronen Abfrage länger als 2 Minuten dauert, wird eine Eingabeaufforderung angezeigt, in der Sie gefragt werden, ob Sie die Abfrage asynchron ausführen möchten. Wählen Sie "Asynchron ausführen" aus, um die Abfrage so zu ändern, dass sie asynchron ausgeführt wird.
Abrufen asynchroner Abfrageergebnisse
Um die asynchronen Abfrageergebnisse anzuzeigen, wählen Sie die abgeschlossene asynchrone Abfrage auf der Registerkarte "Asynchrone Abfragen " aus, und wählen Sie "Ergebnisse abrufen" aus. Die Abfrage wird in Kommentaren im Abfrage-Editor angezeigt, und die Ergebnisse werden auf der Registerkarte "Ergebnisse" angezeigt.
Die Ergebnisse werden 24 Stunden lang gespeichert und können mehrmals aufgerufen werden. Sie können die Ergebnisse in eine CSV-Datei exportieren, indem Sie die Schaltfläche " Exportieren " in der oberen linken Ecke des Ergebnisfensters verwenden.
Arbeitsplätze
Aufträge werden verwendet, um KQL-Abfragen für die Daten auf der Data-Lake-Ebene auszuführen und die Ergebnisse auf die Analyseebene zu überführen. Sie können einmalige oder geplante Aufträge erstellen, und Sie können Aufträge auf der Seite " Aufträge " aktivieren, deaktivieren, bearbeiten oder löschen. Um einen Auftrag basierend auf Ihrer aktuellen Abfrage zu erstellen, wählen Sie die Schaltfläche " Auftrag erstellen " aus. Weitere Informationen zum Erstellen und Verwalten von Aufträgen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel-Datensee.
Azure-Daten-Explorer
Sie können KQL-Abfragen für den Microsoft Sentinel-Datensee mit Azure Data Explorer (ADX) ausführen. ADX bietet ein leistungsfähiges Abfragemodul und erweiterte Analysefunktionen. Um eine Verbindung mit dem Datensee mithilfe von ADX herzustellen, erstellen Sie eine neue Verbindung mit dem folgenden URI: https://api.securityplatform.microsoft.com/lake/kql
Beim Abfragen von Tabellen im Datensee mithilfe von ADX müssen Sie die external_table() Funktion verwenden, um auf die Daten zuzugreifen. Beispiel:
external_table("AADRiskyUsers")
| take 100
Abfrageüberlegungen und Einschränkungen
Abfragen werden für die von Ihnen ausgewählten Arbeitsbereiche ausgeführt. Stellen Sie sicher, dass Sie die richtigen Arbeitsbereiche auswählen, bevor Sie eine Abfrage ausführen.
Das Ausführen von KQL-Abfragen im Microsoft Sentinel-Data Lake verursacht Gebühren, die auf Abrechnungsmetriken für die Abfragen basieren. Weitere Informationen finden Sie unter Planen der Kosten und Verstehen der Preise und Abrechnungen für Microsoft Sentinel.
Überprüfen Sie die Datenaufnahme- und Tabellenaufbewahrungsrichtlinie. Beachten Sie vor dem Festlegen des Abfragezeitbereichs die Datenaufbewahrungsrichtlinien für Ihre Datenseetabellen und ob für den ausgewählten Zeitraum Daten verfügbar sind. Weitere Informationen finden Sie unter Verwalten von Datenebenen und Aufbewahrung im Microsoft Defender-Portal.
KQL-Abfragen für den Data Lake sind weniger leistungsfähig als Abfragen auf analyseebene. Verwenden Sie KQL-Abfragen gegen den Daten-Lake nur, wenn Sie historische Daten entdecken oder wenn Tabellen im reinen Daten-Lake-Modus gespeichert sind.
Die folgenden KQL-Steuerelementbefehle werden derzeit unterstützt:
.show version.show databases.show databases entities.show database
Wenn Sie den
stored_query_resultsBefehl verwenden, geben Sie den Zeitraum in der KQL-Abfrage an. Die Zeitauswahl über dem Abfrage-Editor funktioniert nicht mit diesem Befehl.Die Verwendung vordefinierter oder benutzerdefinierter Funktionen wird in KQL-Abfragen für den Data Lake nicht unterstützt.
Das Aufrufen externer Daten über die KQL-Abfrage für den Datensee wird nicht unterstützt.
Alle KQL-Operatoren und -Funktionen werden mit Ausnahme der folgenden Optionen unterstützt:
adx()arg()externaldata()ingestion_time()
Dienstparameter und Grenzwerte für KQL-Abfragen auf seeebene
Die folgenden Dienstparameterbeschränkungen gelten beim Schreiben von Abfragen im Microsoft Sentinel-Datensee.
| Kategorie | Parameter/Grenzwert |
|---|---|
| Gleichzeitige interaktive Abfragen | 45 pro Minute |
| Abfrageergebnisdaten | 64 MB |
| Abfrageergebnis-Zeilen | 500.000 Zeilen |
| Abfragebereich | Mehrere Arbeitsbereiche |
| Abfragetimeout | 8 Minuten |
| Abfragbarer Zeitraum | Bis zu 12 Jahre, abhängig von der Datenaufbewahrung. |
Informationen zur Problembehandlung bei KQL-Abfragen finden Sie unter "Problembehandlung von KQL-Abfragen" im Microsoft Sentinel-Datensee.