KQL クエリ環境
KQL の概要を理解したので、Microsoft 製品で KQL を使用できるさまざまなクエリ環境を見てみましょう。
このユニットでは、Azure Data Explorer、Microsoft Fabric (プレビュー) の Synapse Real-Time Analytics、Azure Monitor、Microsoft Sentinel、Azure Resource Graph、Microsoft Defender XDR、Configuration Manager の各環境について説明します。
Azure Data Explorer
Azure Data Explorer は、大量のデータを準リアルタイムで簡単に分析できるようにする、フル マネージドでハイ パフォーマンスなビッグ データ分析プラットフォームです。 Azure Data Explorer ツールボックスにより、データ インジェスト、クエリ、視覚化、管理のためのエンドツーエンドのソリューションを利用できます。
Azure Data Explorer を使用すると、主要な分析情報の抽出、パターンと傾向の特定、予測モデルの作成を簡単に行うことができます。 Machine Learning が使用されており、構造化データ、半構造化データ、非構造化データを時系列全体で分析できます。 Azure Data Explorer はスケーラブルかつ安全で堅牢、そしてエンタープライズに対応しており、ログ分析、時系列分析、IoT、汎用の調査分析に役立ちます。
KQL は Azure Data Explorer 向けに開発されており、Web UI、Kusto CLI、デスクトップ アプリ Kusto.Explorer など、さまざまな環境で使用できます。 このクエリ言語に関する完全なドキュメント セットについては、KQL の概要に関するページを参照してください。
製品の詳細については、「Azure Data Explorer とは」を参照してください。
Microsoft Fabric (プレビュー) の Synapse Real-Time Analytics
Microsoft Fabric は、データ移動からデータ サイエンス、準リアルタイム分析、ビジネス インテリジェンスまでのすべてをカバーする企業向けのオールインワン分析ソリューションです。 データ レイク、データ エンジニアリング、データ統合などのサービスが、包括的なスイートとしてすべて 1 か所で提供されます。 Real-Time Analytics は、時系列データのストリーミングおよび時系列データ用に最適化されたフル マネージドのビッグ データ分析プラットフォームです。 Real-Time Analytics には、Azure Data Explorer の SaaS バージョンと見なすことができる機能が含まれています。 具体的には、KQL クエリセットの KQL を使用すると、KQL データベースのデータに対してクエリを実行し、クエリ結果を表示してカスタマイズできます。 後で使用するためにクエリを保存したり、他のユーザーと共有して共同でデータ探索したりすることもできます。
詳細については、「KQL クエリセット内のデータのクエリを実行する」を参照してください。
製品の詳細については、「Fabric の Real-Time Analytics とは」を参照してください。
Azure Monitor
Azure Monitor では、Azure、マルチクラウド、オンプレミスの環境からテレメトリを収集して分析し、それに対応します。これにより、アプリケーションおよびサービスの可用性とパフォーマンスを最大限に高めることができます。 Azure Monitor では、複数のソース (メトリック、ログ、トレース、変更など) のデータが関連付けられ、データの分析、視覚化、対応に使用できるツール セットが用意されています。 これらのツールには、IT 運用 (AIOps) 機能のための分析情報、アラート、自動スケーリング、自動化人工知能が含まれます。
Azure portal の Log Analytics ツールを使用すると、Azure Monitor Logs ストア内のデータに対するログ クエリの編集と実行を行うことができます。
Azure Monitor では Azure Data Explorer と同じ KQL が使用されますが、多少の違いがあります。 参考のために、「言語の相違点」を参照してください。
製品の詳細については、「Azure Monitor の概要」を参照してください。
Microsoft Sentinel
Microsoft Sentinel は、SIEM (セキュリティ情報イベント管理) と SOAR (セキュリティ オーケストレーション、オートメーション、および応答) を備えたスケーラブルでクラウドネイティブなソリューションです。 Microsoft Sentinel の多くの機能では、KQL が使用されます。 ただし、KQL に習熟していると、Microsoft Sentinel の検索とクエリ ベースのハンティング ツールを使用して、組織のデータ ソース全体にわたるセキュリティの脅威を事前および事後に追跡する場合に役立ちます。 詳細については、「Microsoft Sentinel を使用して脅威を追求する」を参照してください。
しかし、それはほんの始まりにすぎません。 Microsoft Sentinel では、アラート、ブックの視覚化、パーサー、データの変換に KQL を使用します。 Microsoft Sentinel は Azure Monitor サービスを基にして構築されており、Azure Monitor の Log Analytics ワークスペースを使用して、そのすべてのデータを格納するため、Microsoft Sentinel には、データ内の接続を検索するための直接テーブル クエリ用の [ログ] ビューも用意されています。
製品の詳細については、「Microsoft Sentinel とは」を参照してください。
Azure Resource Graph
Azure Resource Graph は、Azure Resource Management を拡張するように設計された Azure サービスです。 特定の一連のサブスクリプション全体で大規模にクエリを実行できるため、効率的でパフォーマンスの高いリソース探索が可能となり、環境を効果的に管理できます。 Azure Resource Graph を使用すると、各リソース プロバイダーを個別に呼び出す必要なく、リソース プロバイダーから返されるプロパティにアクセスできます。
Azure Resource Graph では、KQL データ型、スカラー関数、スカラー演算子、集計関数のサブセットがサポートされています。 Resource Graph では特定のテーブル演算子がサポートされており、その中には動作が異なるものもあります。 この動作の概要については、「サポートされる KQL 言語要素」を参照してください。
製品の詳細については、「Azure Resource Graph とは」を参照してください。
Microsoft Defender XDR
Microsoft Defender XDR は、高度な攻撃に対して統合された保護を提供する、侵害前および侵害後の統合されたエンタープライズ防御スイートです。 エンドポイント、ID、電子メール、アプリケーションでの脅威の検出、防止、調査、対応がネイティブに調整されます。 セキュリティ運用チームは、悪意のある、または不審なアクティビティや成果物が検出されるたびに、Microsoft Defender ポータル内でアラートを受け取ります。 しかし、攻撃が発生したときに対応するだけでは不十分です。 ランサムウェアなどの広範囲にわたる多段階攻撃の場合、進行中の攻撃の証拠を積極的に検索し、攻撃が完了する前に措置を講じて阻止する必要があります。
高度なハンティングはクエリベースの脅威ハンティング ツールで、最大 30 日間分の生データを探索できます。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限にハンティングできます。 詳しくは、「Microsoft Defender XDRで高度なハンティングを使用して脅威を積極的に探す」をご覧ください。
製品について詳しくは、「Microsoft Defender XDRとは」をご覧ください。
構成マネージャー
Configuration Manager は、Microsoft Intune 製品ファミリの一部であり、顧客がレポート目的で使用するデバイス データを一元的に格納するための大規模なストアを提供します。 CMPivot は、お使いの環境でデバイスのリアルタイム状態にアクセスできる新しいコンソール内ユーティリティです。
CMPivot では、KQL のサブセットを使用して、用語の検索、傾向の特定、パターンの分析、その他の多くのデータドリブン分析情報の提供を行います。 詳細については、CMPivot のクエリに関するページを参照してください。
製品の詳細については、「Configuration Manager とは」を参照してください。