Среды запросов KQL

  • 6 мин

Теперь, когда вы познакомилися с KQL, давайте увидим различные среды запросов, где можно использовать KQL в продуктах Майкрософт.

Среды, описанные в этом уроке, — это Azure Data Обозреватель, Synapse Real-Time Analytics в Microsoft Fabric (предварительная версия), Azure Monitor, Microsoft Sentinel, Azure Resource Graph, Microsoft Defender XDR и Configuration Manager.

Azure Data Explorer

Azure Data Обозреватель — это полностью управляемая, высокопроизводительная платформа аналитики больших данных, которая упрощает анализ больших объемов данных практически в реальном времени. Набор средств Azure Data Explorer предоставляет собой комплексное решение для приема данных, отправки запросов, визуализации и управления.

Azure Data Обозреватель упрощает извлечение ключевых аналитических сведений, точечных шаблонов и тенденций и создания моделей прогнозирования. Он использует Машинное обучение и анализирует структурированные, полуструктурированные и неструктурированные данные в временных рядах. Azure Data Explorer — это масштабируемая защищенная надежная служба, готовая к использованию на предприятиях. Она подходит для анализа журналов, временных рядов, Интернета вещей и исследовательской аналитики общего назначения.

Screenshot of query environment in Azure Data Explorer.

KQL разработан для Обозреватель данных Azure и может использоваться в различных средах, включая веб-интерфейс, CLI Kusto и классическое приложение Kusto.Обозреватель. Полный набор документации по языку запросов можно найти в обзоре KQL.

Дополнительные сведения о продукте см. в статье "Что такое Обозреватель данных Azure"?

Аналитика в режиме реального времени Synapse в Microsoft Fabric (предварительная версия)

Microsoft Fabric — это единое решение для аналитики для предприятий, охватывающих все, от перемещения данных до обработки и анализа данных, аналитики практически в режиме реального времени и бизнес-аналитики. Он предлагает полный набор служб, включая озеро данных, проектирование данных и интеграцию данных, все в одном месте. Аналитика в режиме реального времени — это полностью управляемая платформа аналитики больших данных, оптимизированная для потоковой передачи и данных временных рядов. Аналитика в режиме реального времени содержит то, что можно считать версией SaaS Обозреватель данных Azure. В частности, можно использовать KQL в наборе запросов KQL для выполнения запросов, просмотра и настройки результатов запросов на данные из базы данных KQL. Вы также можете сохранять запросы для последующего использования или предоставлять другим пользователям общий доступ для совместной работы с исследованием данных.

Screenshot of query in Real-Time Analytics.

Дополнительные сведения см. в разделе "Запрос данных" в наборе запросов KQL.

Дополнительные сведения о продукте см. в статье "Что такое аналитика в режиме реального времени" в Fabric?

Azure Monitor

Azure Monitor собирает, анализирует и реагирует на данные телеметрии из Azure, multicloud и локальных сред, чтобы повысить доступность и производительность приложений и служб. Azure Monitor сопоставляет данные из нескольких источников, включая метрики, журналы, трассировки и изменения, а также предоставляет набор средств для анализа, визуализации и реагирования на данные. К этим средствам относятся аналитические сведения, оповещения, автомасштабирование и автоматизированный искусственный интеллект для ИТ-операций (AIOps).

Средство Log Analytics в портал Azure позволяет изменять и запускать запросы журналов к данным в хранилище журналов Azure Monitor.

Screenshot of the Azure Monitor Log Analytics user interface for running queries.

Azure Monitor использует тот же KQL, что и azure Data Обозреватель с некоторыми незначительными различиями. Дополнительные сведения см. в разделе "Различия в языке".

Дополнительные сведения о продукте см. в обзоре Azure Monitor.

Microsoft Sentinel

Microsoft Sentinel — это масштабируемое облачное решение, которое предоставляет сведения о безопасности и управление событиями (SIEM), а также оркестрацию безопасности, автоматизацию и ответ (SOAR). Многие функции в Microsoft Sentinel используют KQL. Опыт работы с KQL ценен, хотя при использовании средств поиска и запросов Microsoft Sentinel для упреждающего и реактивного поиска угроз безопасности в источниках данных вашей организации. Дополнительные сведения см. в разделе Охота на угрозы с помощью Microsoft Sentinel.

Screenshot of Microsoft Sentinel threat hunting environment.

Но это только начало. Microsoft Sentinel использует KQL для оповещений, визуализаций книги, синтаксического анализа и преобразования данных. Так как Microsoft Sentinel построен на основе службы Azure Monitor и использует рабочие области Log Analytics Azure Monitor для хранения всех своих данных, Microsoft Sentinel также предоставляет представление журналов для прямых запросов таблиц для поиска подключений к данным.

Дополнительные сведения о продукте см. в разделе "Что такое Microsoft Sentinel?"

Azure Resource Graph

Azure Resource Graph — это служба Azure, предназначенная для расширения управления ресурсами Azure. Это позволяет эффективно управлять средой, обеспечивая эффективное и эффективное исследование ресурсов с возможностью запрашивать в большом масштабе по заданному набору подписок. С помощью Azure Resource Graph можно получить доступ к свойствам, возвращаемым поставщиками ресурсов, без необходимости выполнять отдельные вызовы к каждому поставщику ресурсов.

Screenshot of query environment in Azure Resource Graph.

Azure Resource Graph поддерживает подмножество типов данных KQL, скалярных функций, скалярных операторов и агрегатных функций. Resource Graph поддерживает определенные табличные операторы, некоторые из которых отличаются поведению. Это поведение обобщено в поддерживаемых языковых элементах KQL.

Дополнительные сведения о продукте см. в статье "Что такое Azure Resource Graph?

Microsoft Defender XDR

XDR в Microsoft Defender — это единый набор защиты от сложных атак, который обеспечивает встроенную защиту от сложных атак. Она изначально координирует обнаружение, предотвращение, исследование и ответ между конечными точками, удостоверениями, электронной почтой и приложениями. Ваша группа операций безопасности получает оповещение на портале Microsoft Defender при обнаружении вредоносного или подозрительного действия или артефакта. Но, недостаточно реагировать на атаки по мере их возникновения. Для расширенных многоэтапных атак, таких как программ-шантажистов, необходимо заранее искать доказательства атаки и предпринять меры, чтобы остановить его до завершения.

Screenshot of Microsoft Defender XDR threat hunting environment.

расширенная охота — это средство поиска угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы. Дополнительные сведения см. в статье "Упреждающая охота на угрозы с расширенным поиском в XDR в Microsoft Defender".

Дополнительные сведения о продукте см. в разделе "Что такое XDR в Microsoft Defender?

диспетчер конфигураций

Configuration Manager является частью семейства продуктов Microsoft Intune, которая предоставляет большое централизованное хранилище данных устройства, которые клиенты используют для создания отчетов. CMPivot — это служебная программа в консоли, которая предоставляет доступ к состоянию устройств в режиме реального времени в вашей среде.

Screenshot of query environment in CM Pivot in Configuration Manager.

CMPivot использует подмножество KQL для поиска терминов, определения тенденций, анализа шаблонов и предоставления многих других аналитических сведений на основе данных. Дополнительные сведения см. в разделе "Запросы CMPivot".

Дополнительные сведения о продукте см. в разделе "Что такое Configuration Manager?"