Partilhar via

Execute consultas KQL no Data Lake do Microsoft Sentinel

A exploração do lago de dados no portal do Microsoft Defender oferece uma interface unificada para analisar o seu lago de dados. Ele permite executar consultas KQL (Kusto Query Language), criar trabalhos e gerenciá-los.

A página de consultas KQL em Exploração do data lake permite editar e executar consultas KQL em recursos do data lake. Crie trabalhos para promover dados do data lake para a camada de análise ou para criar tabelas agregadas na camada do data lake. Execute trabalhos sob demanda ou agende-os. A página Trabalhos permite-lhe gerir trabalhos; ativar, desativar, editar ou excluir. Para obter mais informações, consulte Criar trabalhos no data lake do Microsoft Sentinel.

Pré-requisitos

Os pré-requisitos a seguir são necessários para executar consultas KQL no data lake do Microsoft Sentinel.

A bordo do data lake

Você pode executar consultas KQL no portal do Microsoft Defender depois de concluir o processo de integração. Para obter mais informações sobre integração, consulte Integração ao data lake do Microsoft Sentinel.

Permissões

As funções de ID do Microsoft Entra permitem acessar todos os espaços de trabalho no data lake. Como alternativa, você pode conceder acesso a espaços de trabalho individuais usando funções RBAC do Azure. Os usuários com permissões do Azure RBAC para espaços de trabalho do Microsoft Sentinel podem executar consultas KQL nesses espaços de trabalho na camada de data lake. Para obter mais informações sobre funções e permissões, consulte Funções e permissões do data lake do Microsoft Sentinel.

Escrever consultas KQL

Escrever consultas para o data lake é semelhante a escrever consultas na experiência de caça avançada. Você pode usar a mesma sintaxe e funções KQL. O KQL suporta funções avançadas de análise e aprendizagem automática. O editor de consultas oferece uma interface para executar consultas KQL com recursos como IntelliSense e preenchimento automático para ajudá-lo a escrever de forma eficiente. Para obter uma visão geral detalhada da sintaxe e das funções do KQL, consulte Visão geral da linguagem de consulta Kusto (KQL).

Consultas KQL no Portal do Defender

Selecione Nova consulta para criar um novo separador de consulta. O portal guarda a última consulta em cada separador. Alterna entre separadores para trabalhar em múltiplas consultas em simultâneo.

O separador Histórico de Consultas mostra uma lista das suas consultas já executadas, tempo de processamento da consulta e estado de conclusão. Você pode abrir uma consulta anterior em uma nova guia selecionando-a na lista. O portal guarda o histórico de consultas durante 30 dias. Selecione uma consulta para editá-la ou executá-la novamente.

Captura de ecrã da página de consultas KQL no portal Defender.

Selecionar espaços de trabalho

Pode executar consultas num único espaço de trabalho ou em vários. No editor de consultas, selecione espaços de trabalho no canto superior direito usando o menu suspenso Espaços de Trabalho Selecionados. Os espaços de trabalho selecionados determinam as tabelas disponíveis para consulta. Os espaços de trabalho selecionados aplicam-se a todos os separadores de consulta no editor de consultas. Quando usas múltiplos espaços de trabalho, o union() operador é aplicado por defeito a tabelas com o mesmo nome e esquema de diferentes espaços de trabalho. Use o workspace() operador para consultar uma tabela de um espaço de trabalho específico, por exemplo workspace("MyWorkspace").AuditLogs.

Se selecionares um único espaço de trabalho vazio ou um espaço de trabalho durante o processo de integração, o navegador de esquemas não mostra nenhuma tabela.

Uma captura de tela mostrando o painel de seleção de espaços de trabalho.

Seleção de intervalo de tempo

Use o seletor de tempo acima do editor de consultas para selecionar o intervalo de tempo para sua consulta. Ao usar a opção Intervalo de Tempo Personalizado , pode definir uma hora específica de início e fim. Os intervalos de tempo podem ter até 12 anos de duração.

Uma captura de tela mostrando o seletor de intervalo de tempo.

Você também pode especificar um intervalo de tempo na sintaxe de consulta KQL, por exemplo:

  • where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))
  • where TimeGenerated between(ago(180d)..ago(90d))

Observação

As consultas são limitadas a 500.000 linhas ou 64 MB de dados e tempo limite após 8 minutos. Ao selecionar um intervalo de tempo amplo, a sua consulta pode exceder esses limites. Considere usar consultas assíncronas para consultas de longa duração. Para mais informações, consulte consultas assíncronas.

Ver informações de esquema

O navegador de esquema fornece uma lista de tabelas disponíveis e suas colunas para os espaços de trabalho selecionados, agrupados por categoria. As tabelas do sistema aparecem na categoria Ativos . Tabelas personalizadas com _CL, _KQL_CL, _SPARK, e _SPARK_CL estão agrupadas na categoria de registos personalizados . Use o navegador de esquema para explorar os dados disponíveis em seu data lake e descobrir tabelas e colunas. Use a caixa de pesquisa para localizar rapidamente tabelas específicas.

Uma captura de ecrã mostrando o painel do navegador de esquema no editor KQL.

Janela de resultados

A janela de resultados exibe os resultados da sua consulta. Você pode exibir os resultados em um formato de tabela e exportar os resultados para um arquivo CSV usando o botão Exportar no canto superior esquerdo da janela de resultados. Alterne a visibilidade de colunas vazias usando o botão Mostrar colunas vazias . O botão Personalizar colunas permite selecionar quais colunas exibir na janela de resultados.

Você pode pesquisar os resultados usando a caixa de pesquisa no canto superior direito da janela de resultados.

Uma captura de tela mostrando a janela de resultados em um editor de consultas KQL.

Consultas prontas a usar

O separador Consultas fornece uma coleção de consultas KQL prontas a usar. Estas consultas abrangem cenários e casos de uso comuns, como investigação de incidentes de segurança e caça a ameaças. Pode usar estas consultas as-is ou modificá-las para se adequarem às suas necessidades específicas.

Selecione uma consulta da lista usando o ícone ... Podes abri-lo numa nova aba de consulta para editar ou executá-lo imediatamente.

Para mais informações sobre consultas de exemplo, consulte Consultas KQL de exemplo para o lago de dados Microsoft Sentinel.

Captura de ecrã do separador de consultas de exemplo no editor de consultas KQL.

Consultas assíncronas

Podes executar consultas de longa duração de forma assíncrona, por isso podes continuar a trabalhar enquanto a consulta corre no servidor. Para executar uma consulta de forma assíncrona, selecione a seta para baixo no botão Executar consulta e depois selecione Executar consulta assíncrona. Introduza um nome de consulta para identificar a sua consulta assíncrona. Depois de submeter a consulta, pode monitorizar o seu estado no separador Consultas Assíncronas . Quando a consulta termina, pode visualizar os resultados selecionando o nome da consulta da lista.

Uma captura de ecrã a mostrar o separador de Consultas Assíncronas no editor de consultas KQL.

Se uma consulta síncrona demorar mais de 2 minutos a ser executada, aparece um prompt a perguntar se pretende executar a consulta de forma assíncrona. Selecione Executar assíncrono para alterar a consulta para executar assíncrona.

Uma captura de ecrã que mostra o prompt para mudar uma consulta antiga para uma consulta assíncrona.

Buscar resultados de consulta assíncrona

Para visualizar os resultados da consulta assíncrona, selecione a consulta assíncrona concluída no separador Consultas Assíncronas e selecione Buscar resultados. A consulta é exibida nos comentários no editor de consultas e os resultados são exibidos no separador Resultados.

Os resultados são armazenados durante 24 horas e podem ser acedidos várias vezes. Pode exportar os resultados para um ficheiro CSV usando o botão Exportar no canto superior esquerdo da janela de resultados.

Uma captura de ecrã que mostra os resultados de uma consulta assíncrona no editor de consultas KQL.

Tarefas

Os trabalhos são usados para executar consultas KQL em relação aos dados na camada de data lake e promover os resultados para a camada de análise. Você pode criar trabalhos únicos ou agendados e pode habilitar, desabilitar, editar ou excluir trabalhos da página Trabalhos . Para criar um trabalho com base na sua consulta atual, selecione o botão Criar trabalho . Para obter mais informações sobre como criar e gerenciar trabalhos, consulte Criar trabalhos no data lake do Microsoft Sentinel.

Azure Data Explorer

Você pode executar consultas KQL no data lake do Microsoft Sentinel usando o Azure Data Explorer (ADX). O ADX fornece um poderoso mecanismo de consulta e recursos avançados de análise. Para se conectar ao data lake usando o ADX, crie uma nova conexão usando o seguinte URI: https://api.securityplatform.microsoft.com/lake/kql

Ao consultar tabelas no data lake usando ADX, você deve usar a external_table() função para acessar os dados. Por exemplo:

external_table("AADRiskyUsers")
| take 100

Considerações e limitações da consulta

  • As consultas são executadas contra os espaços de trabalho que selecionaste. Certifica-te de que selecionas os espaços de trabalho corretos antes de fazeres uma consulta.

  • A execução de consultas KQL no data lake do Microsoft Sentinel incorre em cobranças com base nas taxas de faturamento de consulta. Para obter mais informações, consulte Planejar custos e entender preços e cobrança do Microsoft Sentinel.

  • Revise a política de ingestão de dados e retenção de tabelas. Antes de definir o intervalo de tempo de consulta, esteja ciente da retenção de dados em suas tabelas de data lake e se os dados estão disponíveis para o intervalo de tempo selecionado. Para obter mais informações, consulte Gerenciar camadas de dados e retenção no portal do Microsoft Defender.

  • As consultas KQL contra o data lake são menos eficazes do que as consultas no nível analítico. Use consultas KQL contra o data lake apenas ao explorar dados históricos ou quando as tabelas são armazenadas apenas em modo data lake.

  • Os seguintes comandos de controle KQL são suportados atualmente:

    • .show version
    • .show databases
    • .show databases entities
    • .show database

  • Quando usares o stored_query_results comando, fornece o intervalo de tempo na consulta KQL. O seletor de tempo acima do editor de consultas não funciona com este comando.

  • Não é suportado o uso de funções prontas a usar ou personalizadas em consultas KQL no data lake.

  • Não há suporte para a consulta de dados externos usando KQL no data lake.

  • Todos os operadores e funções KQL são suportados, exceto os seguintes:

    • adx()
    • arg()
    • externaldata()
    • ingestion_time()

Parâmetros e limites de serviço para consultas KQL na camada de lago

As limitações de parâmetros de serviço a seguir se aplicam ao escrever consultas no data lake do Microsoft Sentinel.

Categoria Parâmetro/limite
Consultas interativas simultâneas 45 por minuto
Dados do resultado da consulta 64 MB
Linhas de resultados da consulta 500.000 linhas
Escopo da consulta Vários espaços de trabalho
Tempo limite da consulta 8 minutos
Intervalo de tempo consultável Até 12 anos, dependendo da retenção de dados.

Para solucionar problemas de consultas KQL, consulte Solucionar problemas de consultas KQL no data lake do Microsoft Sentinel.

Conteúdo relacionado

  • Last updated on