Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La exploración del lago de datos en el portal de Microsoft Defender proporciona una interfaz unificada para analizar el lago de datos. Le permite ejecutar consultas KQL (Kusto Query Language), crear trabajos y administrarlos.
La página Consultas KQL, dentro de Exploración del lago de datos, le permite editar y ejecutar consultas KQL en los recursos del lago de datos. Cree trabajos para transferir datos del lago de datos al nivel de análisis o cree tablas agregadas en el nivel del lago de datos. Ejecutar trabajos a petición o programarlos. La página Trabajos le permite administrar trabajos; habilitar, deshabilitar, editar o eliminar. Para obtener más información, consulte Creación de trabajos en el lago de datos de Microsoft Sentinel.
Prerrequisitos
Para ejecutar consultas KQL en el lago de datos de Microsoft Sentinel, se necesitan los siguientes requisitos previos.
Incorporación al lago de datos
Puede ejecutar consultas KQL en el portal de Microsoft Defender después de completar el proceso de incorporación. Para más información sobre la incorporación, consulte Incorporación al lago de datos de Microsoft Sentinel.
Permisos
Las funciones de Microsoft Entra ID le permiten acceder a todos las áreas de trabajo del lago de datos. Como alternativa, puede conceder acceso a áreas de trabajo individuales mediante roles de Azure RBAC. Los usuarios con permisos RBAC de Azure para las áreas de trabajo de Microsoft Sentinel pueden ejecutar consultas KQL en esas áreas de trabajo en el nivel del lago de datos. Para obtener más información sobre los roles y permisos, consulte Roles y permisos de Lago de datos de Microsoft Sentinel.
Escritura de consultas de KQL
Escribir consultas para el lago de datos es similar a escribir consultas en la experiencia de búsqueda avanzada. Puede utilizar la misma sintaxis y funciones KQL. KQL admite funciones avanzadas de análisis y aprendizaje automático. El editor de consultas ofrece una interfaz para ejecutar consultas KQL con características como IntelliSense y autocompletado para ayudarle a escribir de manera eficiente. Para obtener información general detallada sobre la sintaxis y las funciones de KQL, consulte Introducción al lenguaje de consulta kusto (KQL).
Consultas KQL en el portal de Defender
Seleccione Nueva consulta para crear una nueva pestaña de consulta. El portal guarda la última consulta en cada pestaña. Cambie entre pestañas para trabajar en varias consultas simultáneamente.
La pestaña Historial de consultas muestra una lista de las consultas ejecutadas anteriormente, el tiempo de procesamiento de consultas y el estado de finalización. Para abrir una consulta anterior en una nueva pestaña, selecciónela en la lista. El portal guarda el historial de consultas durante 30 días. Seleccione una consulta para editarla o ejecutarla de nuevo.
Selección de áreas de trabajo
Puede ejecutar consultas en una sola área de trabajo o en varias áreas de trabajo. Seleccione áreas de trabajo en la esquina superior derecha del editor de consultas mediante la lista desplegable Áreas de trabajo seleccionadas . Las áreas de trabajo que seleccione determinan las tablas disponibles para realizar consultas. Las áreas de trabajo seleccionadas se aplican a todas las pestañas de consulta del editor de consultas. Cuando se usan varias áreas de trabajo, el union() operador se aplica de forma predeterminada a las tablas con el mismo nombre y esquema de diferentes áreas de trabajo. Use el workspace() operador para consultar una tabla desde un área de trabajo específica, por ejemplo workspace("MyWorkspace").AuditLogs.
Si selecciona un único área de trabajo vacía o un área de trabajo en el proceso de incorporación, el explorador de esquemas no muestra ninguna tabla.
Selección del intervalo de tiempo
Use el selector de hora situado encima del editor de consultas para seleccionar el intervalo de tiempo de la consulta. Con la opción Intervalo de tiempo personalizado , puede establecer una hora de inicio y finalización específica. Los intervalos de tiempo pueden tener hasta 12 años de duración.
También puede especificar un intervalo de tiempo en la sintaxis de consulta KQL, por ejemplo:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Nota:
Las consultas se limitan a 500 000 filas o 64 MB de datos y tiempo de espera después de 8 minutos. Al seleccionar un intervalo de tiempo amplio, la consulta puede superar estos límites. Considere la posibilidad de usar consultas asincrónicas para consultas de ejecución prolongada. Para obtener más información, consulte Consultas asincrónicas.
Visualización de la información del esquema
El explorador de esquemas proporciona una lista de las tablas disponibles y sus columnas para las áreas de trabajo seleccionadas, agrupadas por categoría. Las tablas del sistema aparecen en la categoría Activos . Las tablas personalizadas con _CL, _KQL_CL, _SPARKy _SPARK_CL se agrupan en la categoría Registros personalizados . Use el explorador de esquemas para explorar los datos disponibles en el lago de datos y detectar tablas y columnas. Use el cuadro de búsqueda para buscar rápidamente tablas específicas.
Ventana de resultados
La ventana de resultados muestra los resultados de la consulta. Puede ver los resultados en formato de tabla y puede exportar los resultados a un archivo CSV mediante el botón Exportar de la esquina superior izquierda de la ventana de resultados. Cambie la visibilidad de las columnas vacías mediante el botón Mostrar columnas vacías . El botón Personalizar columnas permite seleccionar qué columnas se van a mostrar en la ventana de resultados.
Puede buscar los resultados mediante el cuadro de búsqueda en la esquina superior derecha de la ventana de resultados.
Consultas listas para usar
La pestaña Consultas proporciona una colección de consultas KQL listas para usar. Estas consultas abarcan escenarios comunes y casos de uso, como la investigación de incidentes de seguridad y la búsqueda de amenazas. Puede usar estas consultas as-is o modificarlas para satisfacer sus necesidades específicas.
Seleccione una consulta de la lista con el icono ... . Puede abrirlo en una nueva pestaña de consulta para editarla o ejecutarla inmediatamente.
Para obtener más información sobre las consultas de ejemplo, consulte Consultas KQL de ejemplo para el lago de datos de Microsoft Sentinel.
Consultas asincrónicas
Puede ejecutar consultas de larga duración de forma asincrónica, por lo que puede seguir trabajando mientras la consulta se ejecuta en el servidor. Para ejecutar una consulta de forma asincrónica, seleccione la flecha abajo en el botón Ejecutar consulta y, a continuación, seleccione Ejecutar consulta asincrónica. Escriba un nombre de consulta para identificar la consulta asincrónica. Después de enviar la consulta, puede supervisar su estado en la pestaña Consultas asincrónicas . Cuando se complete la consulta, puede ver los resultados seleccionando el nombre de la consulta en la lista.
Si una consulta sincrónica tarda más de 2 minutos en ejecutarse, aparece un mensaje que pregunta si desea ejecutar la consulta de forma asincrónica. Seleccione Ejecutar asincrónico para cambiar la consulta para que se ejecute de forma asincrónica.
Obtener resultados de consulta asincrónica
Para ver los resultados de la consulta asincrónica, seleccione la consulta asincrónica completada en la pestaña Consultas asincrónicas y seleccione Capturar resultados. La consulta se muestra en los comentarios del editor de consultas y los resultados se muestran en la pestaña Resultados.
Los resultados se almacenan durante 24 horas y se puede acceder a ellos varias veces. Puede exportar los resultados a un archivo CSV mediante el botón Exportar de la esquina superior izquierda de la ventana de resultados.
Trabajos
Los trabajos se usan para ejecutar consultas KQL en los datos del nivel de lago de datos y promover los resultados al nivel de análisis. Puede crear trabajos programados o únicos, y puede habilitar, deshabilitar, editar o eliminar trabajos de la página Trabajos . Para crear un trabajo basado en la consulta actual, seleccione el botón Crear trabajo . Para obtener más información sobre cómo crear y administrar trabajos, consulte Creación de trabajos en el lago de datos de Microsoft Sentinel.
Explorador de Datos de Azure
Puede ejecutar consultas KQL en el lago de datos de Microsoft Sentinel mediante Azure Data Explorer (ADX). ADX proporciona un potente motor de consultas y funcionalidades de análisis avanzados. Para conectarse al lago de datos mediante ADX, cree una nueva conexión mediante el siguiente URI: https://api.securityplatform.microsoft.com/lake/kql
Al consultar tablas en el lago de datos mediante ADX, debe usar la external_table() función para acceder a los datos. Por ejemplo:
external_table("AADRiskyUsers")
| take 100
Consideraciones y limitaciones de las consultas
Las consultas se ejecutan en las áreas de trabajo que has seleccionado. Asegúrese de seleccionar las áreas de trabajo correctas antes de ejecutar una consulta.
La ejecución de consultas KQL en el lago de datos de Microsoft Sentinel incurre en cargos basados en medidores de facturación de consultas. Para obtener más información, consulte Planear los costos y conocer los precios y la facturación de Microsoft Sentinel.
Revise la directiva de ingesta de datos y retención de tablas. Antes de establecer el intervalo de tiempo de consulta, tenga en cuenta la retención de datos en las tablas del lago de datos y si los datos están disponibles para el intervalo de tiempo seleccionado. Para obtener más información, consulte Administración de niveles de datos y retención en el portal de Microsoft Defender.
Las consultas KQL en el lago de datos son menos eficaces que las consultas en el nivel de análisis. Utilice consultas KQL sobre el lago de datos únicamente al explorar datos históricos o cuando las tablas estén almacenadas en modo exclusivo de lago de datos.
Actualmente se admiten los siguientes comandos de control KQL:
.show version.show databases.show databases entities.show database
Cuando use el
stored_query_resultscomando , proporcione el intervalo de tiempo en la consulta KQL. El selector de hora situado encima del editor de consultas no funciona con este comando.No se admite el uso de funciones personalizadas o listas para usar en consultas KQL en el lago de datos.
No se admite la llamada a datos externos mediante la consulta KQL en el lago de datos.
Se admiten todos los operadores y funciones de KQL, excepto para lo siguiente:
adx()arg()externaldata()ingestion_time()
Parámetros y límites de servicio para consultas KQL en el nivel de lago
Se aplican las siguientes limitaciones de parámetros de servicio al escribir consultas en el lago de datos de Microsoft Sentinel.
| Categoría | Parámetro/límite |
|---|---|
| Consultas interactivas simultáneas | 45 por minuto |
| Datos de resultados de consulta | 64 MB |
| Filas de resultados de consulta | 500 000 filas |
| Ámbito de consulta | Varias áreas de trabajo |
| Tiempo de espera de consulta | 8 minutos |
| Intervalo de tiempo consultable | Hasta 12 años, en función de la retención de datos. |
Para solucionar problemas de consultas KQL, consulte Solución de problemas de consultas KQL en el lago de datos de Microsoft Sentinel.
Contenido relacionado
- Introducción a Data Lake de Microsoft Sentinel
- Incorporación a Data Lake de Microsoft Sentinel
- Creación de trabajos en el lago de datos de Microsoft Sentinel
- Administración de trabajos en el lago de datos de Microsoft Sentinel
- Solución de problemas de consultas de KQL en el lago de datos de Microsoft Sentinel.