Entornos de consulta de KQL

  • 6 minutos

Ahora que ya conoce KQL, veamos los distintos entornos de consulta en los que puede usar KQL en productos de Microsoft.

Los entornos que se describen en esta unidad son Azure Data Explorer, Synapse Real-Time Analytics en Microsoft Fabric (versión preliminar), Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR y Configuration Manager.

Azure Data Explorer

Azure Data Explorer es una plataforma de análisis de macrodatos totalmente administrada y de alto rendimiento que facilita el análisis de grandes volúmenes de datos casi en tiempo real. El kit de herramientas de Azure Data Explorer proporciona una solución de un extremo a otro para la ingesta, consulta, visualización y administración de datos.

Azure Data Explorer facilita la extracción de información clave, los patrones y las tendencias de acceso puntual, y la creación de modelos de previsión. Usa Machine Learning y analiza datos estructurados, semiestructurados y no estructurados en series temporales. Azure Data Explorer es escalable, seguro, sólido y preparado para un entorno empresarial, y es útil para análisis de registros, análisis de series temporales, IoT y análisis exploratorios de uso general.

Screenshot of query environment in Azure Data Explorer.

KQL se desarrolló para Azure Data Explorer y se puede usar en diversos entornos, incluida la interfaz de usuario web, la CLI de Kusto y la aplicación de escritorio Kusto.Explorer. Puede encontrar toda la documentación del lenguaje de consulta en Información general de KQL.

Para más información sobre el producto, consulte ¿Qué es Azure Data Explorer?

Synapse Real-Time Analytics en Microsoft Fabric (versión preliminar)

Microsoft Fabric es una solución de análisis integral para empresas que lo abarca todo, desde el movimiento de datos hasta la ciencia de datos, el análisis casi en tiempo real y la inteligencia empresarial. Ofrece un conjunto completo de servicios, incluido un lago de datos, ingeniería de datos e integración de datos, todo en un solo lugar. Real-Time Analytics es una plataforma de análisis de macrodatos totalmente administrada para datos de streaming y de serie temporal. Real-Time Analytics contiene todo lo que se puede esperar de la versión SaaS de Azure Data Explorer. En concreto, puede usar KQL en el conjunto de consultas de KQL para ejecutar consultas, ver y personalizar los resultados de las consultas en los datos de una base de datos KQL. También puede guardar consultas para su uso posterior o compartirlas con otros usuarios para colaborar en la exploración de datos.

Screenshot of query in Real-Time Analytics.

Para más información, consulte Consulta de datos en un conjunto de consultas KQL.

Para más información, consulte ¿Qué es Real-Time Analytics en Fabric?

Azure Monitor

Azure Monitor recopila, analiza y responde a la telemetría de los entornos de Azure, multinube y locales para ayudar a maximizar la disponibilidad y el rendimiento de las aplicaciones y los servicios. Azure Monitor correlaciona los datos de varios orígenes (incluidas métricas, registros, seguimientos y cambios) y proporciona un conjunto de herramientas para analizar, visualizar y responder a los datos. Estas herramientas incluyen información, alertas, escalado automático y las funcionalidades de inteligencia artificial automatizada para las operaciones de TI (AIOps).

La herramienta Log Analytics de Azure Portal que se usa para editar y ejecutar consultas de registro en los datos del almacén de registros de Azure Monitor.

Screenshot of the Azure Monitor Log Analytics user interface for running queries.

Azure Monitor usa el mismo KQL que Azure Data Explorer, con algunas diferencias. Como referencia, consulte Diferencias de lenguaje.

Para más información sobre el producto, consulte Información general de Azure Monitor.

Microsoft Sentinel

Microsoft Sentinel es una solución escalable, nativa de nube, que proporciona administración de eventos e información de seguridad (SIEM) y orquestación, automatización y respuesta de seguridad (SOAR). Muchas características de Microsoft Sentinel usan KQL. Dominar KQL resulta valioso cuando se usan las herramientas de búsqueda y consulta de Microsoft Sentinel para buscar proactiva y reactivamente las amenazas de seguridad en los orígenes de datos de la organización. Para obtener más información, consulte Búsqueda de amenazas con Microsoft Sentinel.

Screenshot of Microsoft Sentinel threat hunting environment.

Pero eso es solo el comienzo. Microsoft Sentinel usa KQL para alertas, visualizaciones de libros, analizadores y transformación de datos. Dado que Microsoft Sentinel se basa en el servicio Azure Monitor y usa las áreas de trabajo de Log Analytics de Azure Monitor para almacenar todos los datos, Microsoft Sentinel también proporciona una vista Registros para consultas de tabla directas para buscar conexiones en los datos.

Para más información sobre el producto, consulte ¿Qué es Microsoft Sentinel?

Azure Resource Graph

Azure Resource Graph es un servicio de Azure diseñado para ampliar la administración de los recursos de Azure. Permite controlar eficazmente el entorno, ya que proporciona una exploración de recursos eficaz y de alto rendimiento con la capacidad de consultar a gran escala en un conjunto determinado de suscripciones. Con Azure Resource Graph, puede tener acceso a las propiedades devueltas por los proveedores de recursos sin necesidad de realizar llamadas individuales a cada proveedor de recursos.

Screenshot of query environment in Azure Resource Graph.

Azure Resource Graph admite un subconjunto de los tipos de datos, funciones escalares, operadores escalares y funciones de agregado de KQL. Resource Graph admite operadores tabulares específicos, algunos de los cuales tienen comportamientos diferentes. Este comportamiento se resume en Elementos admitidos de lenguaje KQL.

Para más información sobre el producto, consulte ¿Qué es Azure Resource Graph?

Microsoft Defender XDR

Microsoft Defender XDR es un conjunto de defensa empresarial unificado previo y posterior a la vulneración que proporciona protección integrada contra ataques sofisticados. Coordina de forma nativa la detección, prevención, investigación y respuesta entre puntos de conexión, identidades, correo electrónico y aplicaciones. El equipo de operaciones de seguridad recibe una alerta dentro del portal de Microsoft Defender cada vez que se detecta una actividad o artefacto malintencionado o sospechoso. Pero no es suficiente responder a los ataques a medida que se producen. Para ataques extendidos y de varias fases, como ransomware, debe buscar proactivamente la evidencia de un ataque en curso y tomar medidas para detenerlo antes de que se complete.

Screenshot of Microsoft Defender XDR threat hunting environment.

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar de forma proactiva los eventos de la red para buscar indicadores de amenazas y entidades. El acceso flexible a los datos permite la búsqueda sin restricciones de amenazas conocidas y potenciales. Para más información, consulte Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender XDR.

Para más información sobre el producto, consulte ¿Qué es Microsoft Defender XDR?

Administrador de configuración

Configuration Manager forma parte de la familia de productos de Microsoft Intune, que proporciona un gran almacén centralizado de datos de dispositivos que los clientes usan con fines de informes. CMPivot es una utilidad en la consola que proporciona acceso al estado en tiempo real de los dispositivos de su entorno.

Screenshot of query environment in CM Pivot in Configuration Manager.

CMPivot usa un subconjunto de KQL para buscar términos, identificar tendencias, analizan patrones y proporcionar mucha otra información controlada por datos. Para más información, consulte Consultas de CMPivot.

Para más información sobre el producto, consulte ¿Qué es Configuration Manager?