Udostępnij przez

Uruchamianie zapytań KQL w jeziorze danych Microsoft Sentinel

Eksploracja zbiornika danych Data Lake w portalu Microsoft Defender udostępnia ujednolicony interfejs do analizowania zbiornika danych Data Lake. Umożliwia uruchamianie zapytań języka KQL (Kusto Query Language), tworzenia zadań i zarządzania nimi.

Strona zapytań KQL w obszarze Eksploracja usługi Data Lake umożliwia edytowanie i uruchamianie zapytań KQL w zasobach usługi Data Lake. Utwórz zadania, aby przenieść dane z warstwy data lake do warstwy analitycznej lub utwórz tabele agregujące w warstwie data lake. Uruchamianie zadań na żądanie lub planowanie ich. Strona Zadania umożliwia zarządzanie zadaniami; włącz, wyłącz, edytuj lub usuń. Aby uzyskać więcej informacji, zobacz Tworzenie zadań w usłudze Data Lake usługi Microsoft Sentinel.

Wymagania wstępne

Do uruchamiania zapytań KQL w usłudze Data Lake usługi Microsoft Sentinel są wymagane następujące wymagania wstępne.

Dołączanie do usługi Data Lake

Zapytania KQL można uruchamiać w portalu usługi Microsoft Defender po zakończeniu procesu dołączania. Aby uzyskać więcej informacji na temat dołączania, zobacz Dołączanie do usługi Microsoft Sentinel data lake.

Uprawnienia

Role identyfikatora entra firmy Microsoft umożliwiają dostęp do wszystkich obszarów roboczych w usłudze Data Lake. Alternatywnie możesz udzielić dostępu do poszczególnych obszarów roboczych przy użyciu ról RBAC platformy Azure. Użytkownicy z uprawnieniami RBAC platformy Azure dla obszarów roboczych usługi Microsoft Sentinel mogą uruchamiać zapytania KQL względem tych obszarów roboczych w warstwie usługi Data Lake. Aby uzyskać więcej informacji na temat ról i uprawnień, zobacz Role i uprawnienia usługi Data Lake usługi Microsoft Sentinel.

Napisz zapytania KQL

Pisanie zapytań dla data lake jest podobne do pisania zapytań w zaawansowanych funkcjach wyszukiwania. Można użyć tej samej składni i funkcji języka KQL. Język KQL obsługuje funkcje zaawansowanej analizy i uczenia maszynowego. Edytor zapytań oferuje interfejs do uruchamiania zapytań KQL z funkcjami takimi jak IntelliSense i autouzupełnianie, które ułatwiają wydajne pisanie. Aby zapoznać się ze szczegółowym omówieniem składni i funkcji języka KQL, zobacz Omówienie języka KQL (Kusto Query Language).

Zapytania KQL w portalu Microsoft Defender

Wybierz pozycję Nowe zapytanie , aby utworzyć nową kartę zapytania. Portal zapisuje ostatnie zapytanie na każdej karcie. Przełączanie się między kartami w celu jednoczesnego działania wielu zapytań.

Karta Historia zapytań zawiera listę poprzednio uruchomionych zapytań, czasu przetwarzania zapytań i stanu ukończenia. Poprzednie zapytanie można otworzyć na nowej karcie, wybierając je z listy. Portal zapisuje historię zapytań przez 30 dni. Wybierz zapytanie, aby edytować lub uruchomić je ponownie.

Zrzut ekranu przedstawiający stronę zapytań KQL w portalu usługi Defender.

Wybieranie obszarów roboczych

Zapytania można uruchamiać względem jednego obszaru roboczego lub wielu obszarów roboczych. Wybierz obszary robocze w prawym górnym rogu edytora zapytań przy użyciu listy rozwijanej Wybrane obszary robocze . Wybrane obszary robocze określają tabele dostępne do wykonywania zapytań. Wybrane obszary robocze mają zastosowanie do wszystkich kart zapytań w edytorze zapytań. Jeśli używasz wielu obszarów roboczych, union() operator jest domyślnie stosowany do tabel o tej samej nazwie i schemacie z różnych obszarów roboczych. Użyj operatora , workspace() aby wysłać zapytanie do tabeli z określonego obszaru roboczego, na przykład workspace("MyWorkspace").AuditLogs.

W przypadku wybrania pojedynczego, pustego obszaru roboczego lub obszaru roboczego w trakcie wdrażania, przeglądarka schematów nie wyświetla żadnych tabel.

Zrzut ekranu przedstawiający panel wyboru obszarów roboczych.

Wybór zakresu czasu

Użyj selektora czasu powyżej edytora zapytań, aby wybrać zakres czasu zapytania. Korzystając z opcji Niestandardowy zakres czasu , można ustawić określony czas rozpoczęcia i zakończenia. Zakresy czasu mogą wynosić do 12 lat.

Zrzut ekranu przedstawiający selektor zakresu czasu.

Zakres czasu można również określić w składni zapytania języka KQL, na przykład:

  • where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))
  • where TimeGenerated between(ago(180d)..ago(90d))

Uwaga / Notatka

Zapytania są ograniczone do 500 000 wierszy lub 64 MB danych i limitu czasu po 8 minutach. Podczas wybierania szerokiego zakresu czasu zapytanie może przekroczyć te limity. Rozważ użycie zapytań asynchronicznych dla długotrwałych zapytań. Aby uzyskać więcej informacji, zobacz Async queries (Zapytania asynchroniczne).

Wyświetlanie informacji o schemacie

Przeglądarka schematu zawiera listę dostępnych tabel i ich kolumn dla wybranych obszarów roboczych pogrupowanych według kategorii. Tabele systemowe są wyświetlane w kategorii Zasoby . Tabele niestandardowe z elementami _CL, _KQL_CL, _SPARKi _SPARK_CL są grupowane w kategorii Dzienniki niestandardowe . Użyj przeglądarki schematu, aby eksplorować dane dostępne w usłudze Data Lake i odnajdywać tabele i kolumny. Użyj pola wyszukiwania, aby szybko znaleźć określone tabele.

Zrzut ekranu przedstawiający panel przeglądarki schematu w edytorze KQL.

Okno wyników

W oknie wyników zostaną wyświetlone wyniki zapytania. Wyniki można wyświetlić w formacie tabeli i wyeksportować wyniki do pliku CSV przy użyciu przycisku Eksportuj w lewym górnym rogu okna wyników. Przełącz widoczność pustych kolumn przy użyciu przycisku Pokaż puste kolumny . Przycisk Dostosuj kolumny umożliwia wybranie kolumn do wyświetlenia w oknie wyników.

Wyniki można przeszukiwać przy użyciu pola wyszukiwania w prawym górnym rogu okna wyników.

Zrzut ekranu przedstawiający okno wyników w edytorze zapytań języka KQL.

Gotowe zapytania

Karta Queries zawiera kolekcję wbudowanych zapytań KQL. Te zapytania obejmują typowe scenariusze i przypadki użycia, takie jak badanie zdarzeń zabezpieczeń i wyszukiwanie zagrożeń. Możesz użyć tych zapytań as-is lub zmodyfikować je zgodnie z twoimi potrzebami.

Wybierz zapytanie z listy przy użyciu ikony ... . Można go otworzyć na nowej karcie zapytania do edycji lub uruchomić natychmiast.

Aby uzyskać więcej informacji na temat przykładowych zapytań, zobacz Przykładowe zapytania KQL dla usługi Data Lake usługi Microsoft Sentinel.

Zrzut ekranu przedstawiający kartę Przykładowe zapytania w edytorze zapytań KQL.

Zapytania asynchroniczne

Długotrwałe zapytania można uruchamiać asynchronicznie, dzięki czemu można kontynuować pracę podczas uruchamiania zapytania na serwerze. Aby uruchomić zapytanie asynchronicznie, wybierz strzałkę w dół na przycisku Uruchom zapytanie , a następnie wybierz pozycję Uruchom zapytanie asynchroniczne. Wprowadź nazwę zapytania, aby zidentyfikować zapytanie asynchroniczne. Po przesłaniu zapytania możesz monitorować jego stan na karcie Zapytania asynchroniczne . Po zakończeniu zapytania możesz wyświetlić wyniki, wybierając nazwę zapytania z listy.

Zrzut ekranu przedstawiający kartę Zapytania asynchroniczne w edytorze zapytań języka KQL.

Jeśli synchroniczne zapytanie trwa dłużej niż 2 minuty, zostanie wyświetlony monit z pytaniem, czy chcesz uruchomić zapytanie asynchronicznie. Wybierz pozycję Uruchom asynchronicznie , aby zmienić zapytanie tak, aby było uruchamiane asynchronicznie.

Zrzut ekranu przedstawiający monit o zmianę długotrwałego zapytania na zapytanie asynchroniczne.

Pobieranie wyników zapytania asynchronicznego

Aby wyświetlić wyniki zapytania asynchronicznego, wybierz ukończone zapytanie asynchroniczne na karcie Zapytania asynchroniczne i wybierz pozycję Pobierz wyniki. Zapytanie jest wyświetlane w komentarzach w edytorze zapytań, a wyniki są wyświetlane na karcie Wyniki.

Wyniki są przechowywane przez 24 godziny i mogą być dostępne wiele razy. Wyniki można wyeksportować do pliku CSV przy użyciu przycisku Eksportuj w lewym górnym rogu okna wyników.

Zrzut ekranu przedstawiający wyniki zapytania asynchronicznego w edytorze zapytań języka KQL.

Zadania

Zadania służą do uruchamiania zapytań KQL względem danych w warstwie data lake i przekazywania wyników do warstwy analitycznej. Możesz tworzyć zadania jednorazowe lub zaplanowane i włączać, wyłączać, edytować lub usuwać zadania na stronie Zadania . Aby utworzyć zadanie na podstawie bieżącego zapytania, wybierz przycisk Utwórz zadanie . Aby uzyskać więcej informacji na temat tworzenia zadań i zarządzania nimi, zobacz Tworzenie zadań w usłudze Data Lake usługi Microsoft Sentinel.

Azure Data Explorer

Zapytania KQL można uruchamiać w Microsoft Sentinel Data Lake przy użyciu Azure Data Explorer (ADX). Usługa ADX udostępnia zaawansowany aparat zapytań i zaawansowane możliwości analizy. Aby nawiązać połączenie z usługą Data Lake przy użyciu usługi ADX, utwórz nowe połączenie przy użyciu następującego identyfikatora URI: https://api.securityplatform.microsoft.com/lake/kql

Podczas wykonywania zapytań dotyczących tabel w usłudze Data Lake przy użyciu usługi ADX należy użyć external_table() funkcji w celu uzyskania dostępu do danych. Przykład:

external_table("AADRiskyUsers")
| take 100

Zagadnienia i ograniczenia dotyczące zapytań

  • Zapytania są uruchamiane względem wybranych obszarów roboczych. Przed uruchomieniem zapytania upewnij się, że wybrano odpowiednie obszary robocze.

  • Wykonywanie zapytań KQL w usłudze Data Lake usługi Microsoft Sentinel powoduje naliczanie opłat na podstawie mierników rozliczeń zapytań. Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.

  • Przejrzyj zasady pozyskiwania danych i przechowywania tabel. Przed ustawieniem zakresu czasu zapytania należy pamiętać o przechowywaniu danych w tabelach data lake i czy dane są dostępne dla wybranego zakresu czasu. Aby uzyskać więcej informacji, zobacz Zarządzanie warstwami danych i przechowywaniem w portalu usługi Microsoft Defender.

  • Zapytania KQL względem usługi Data Lake są mniej wydajne niż zapytania w warstwie analizy. Używaj zapytań KQL względem jeziora danych tylko podczas eksplorowania danych historycznych lub gdy tabele są przechowywane wyłącznie w trybie jeziora danych.

  • Obecnie obsługiwane są następujące polecenia sterowania KQL:

    • .show version
    • .show databases
    • .show databases entities
    • .show database

  • Jeśli używasz stored_query_results polecenia , podaj zakres czasu w zapytaniu KQL. Selektor czasu powyżej edytora zapytań nie działa z tym poleceniem.

  • Korzystanie z wbudowanych lub niestandardowych funkcji nie jest obsługiwane w zapytaniach KQL względem usługi Data Lake.

  • Wywoływanie danych zewnętrznych za pośrednictwem zapytania KQL względem usługi Data Lake nie jest obsługiwane.

  • Wszystkie operatory i funkcje KQL są obsługiwane z wyjątkiem następujących elementów:

    • adx()
    • arg()
    • externaldata()
    • ingestion_time()

Parametry i limity usługi dla zapytań KQL w warstwie lake

Następujące ograniczenia parametrów usługi mają zastosowanie podczas pisania zapytań w usłudze Data Lake usługi Microsoft Sentinel.

Kategoria Parametr/ograniczenie
Współbieżne interakcyjne zapytania 45 na minutę
Wykonywanie zapytań dotyczących danych wyników 64 MB
Wykonywanie zapytań względem wierszy wyników 500 000 wierszy
Zakres zapytania Wiele obszarów roboczych
Limit czasu zapytania 8 minut
Zakres czasu z możliwością wykonywania zapytań Do 12 lat, w zależności od przechowywania danych.

Aby uzyskać informacje na temat rozwiązywania problemów z zapytaniami KQL, zobacz Rozwiązywanie problemów z zapytaniami KQL w usłudze Data Lake usługi Microsoft Sentinel.

Treści powiązane

  • Last updated on