Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Возможности исследования озера данных в портале Microsoft Defender предоставляют единый интерфейс для анализа вашего озера данных. Он позволяет выполнять запросы KQL (язык запросов Kusto), создавать задания и управлять ими.
Страница запросов KQL в разделе "Исследование озера данных " позволяет изменять и запускать запросы KQL на ресурсах озера данных. Создайте задания для переноса данных из озера данных на аналитический уровень или для создания сводных таблиц на уровне озера данных. Запустите задания по запросу или запланируйте их. Страница "Задания" позволяет управлять заданиями; включите, отключите, измените или удалите. Для получения дополнительных сведений см. раздел Создание заданий в озере данных Microsoft Sentinel.
Предпосылки
Для выполнения запросов KQL в озере данных Microsoft Sentinel необходимы следующие предварительные требования.
Подключение к озеру данных
После завершения процесса подключения можно выполнять запросы KQL на портале Microsoft Defender. Дополнительные сведения о настройке см. в разделе Подключение к озеру данных Microsoft Sentinel.
Разрешения
Роли Microsoft Entra ID предоставляют доступ ко всем рабочим пространствам в озере данных. Кроме того, можно предоставить доступ к отдельным рабочим областям с помощью ролей RBAC Azure. Пользователи с разрешениями Azure RBAC для рабочих областей Microsoft Sentinel могут выполнять KQL-запросы к этим рабочим областям в уровне хранения "Data Lake". Дополнительные сведения о ролях и разрешениях см. в разделе роли и разрешения Microsoft Sentinel для озера данных.
Написание KQL-запросов
Написание запросов к озеру данных аналогично написанию запросов в расширенном интерфейсе охоты. Вы можете использовать один и тот же синтаксис KQL и функции. KQL поддерживает расширенные функции аналитики и машинного обучения. Редактор запросов предлагает интерфейс для выполнения запросов KQL с такими функциями, как IntelliSense и автозавершение, чтобы эффективно писать. Подробный обзор синтаксиса и функций KQL см. в обзоре языка запросов Kusto (KQL).
Запросы KQL на портале Defender
Выберите "Создать запрос", чтобы создать новую вкладку запроса. Портал сохраняет последний запрос на каждой вкладке. Переключение между вкладками для одновременной работы с несколькими запросами.
На вкладке "Журнал запросов" отображается список ранее выполняемых запросов, времени обработки запросов и состояния завершения. Вы можете открыть предыдущий запрос на новой вкладке, выбрав его из списка. Портал сохраняет журнал запросов в течение 30 дней. Выберите запрос, чтобы изменить или запустить его еще раз.
Выбор рабочих областей
Вы можете выполнять запросы к одной рабочей области или нескольким рабочим областям. Выберите рабочие области в правом верхнем углу редактора запросов с помощью раскрывающегося списка "Выбранные рабочие области ". Выбор рабочих областей определяет таблицы, доступные для запроса. Выбранные рабочие области применяются ко всем вкладкам запросов в редакторе запросов. При использовании нескольких рабочих областей union() оператор применяется по умолчанию к таблицам с одинаковым именем и схемой из разных рабочих областей.
workspace() Используйте оператор для запроса таблицы из определенной рабочей области, напримерworkspace("MyWorkspace").AuditLogs.
Если выбрать пустую рабочую область или рабочую область, находящуюся в процессе настройки, браузер схемы не отображает таблицы.
Выбор диапазона времени
Используйте средство выбора времени над редактором запросов, чтобы выбрать диапазон времени для запроса. С помощью параметра настраиваемого диапазона времени можно задать определенное время начала и окончания. Диапазоны времени могут составлять до 12 лет.
Можно также указать диапазон времени в синтаксисе запроса KQL, например:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Замечание
Запросы ограничены 500 000 строк и 64 МБ данных, и время ожидания составляет 8 минут. При выборе широкого диапазона времени запрос может превысить эти ограничения. Рекомендуется использовать асинхронные запросы для длительных запросов. Дополнительные сведения см. в статье "Асинхронные запросы".
Просмотр сведений о схеме
Браузер схемы предоставляет список доступных таблиц и их столбцов для выбранных рабочих областей, сгруппированных по категориям. Системные таблицы отображаются в категории "Активы ". Пользовательские таблицы с _CL, _KQL_CL, _SPARK и _SPARK_CL группируются в категории Custom logs. Используйте обозреватель схем для изучения данных, доступных в озере данных, и нахождения таблиц и столбцов. Используйте поле поиска для быстрого поиска определенных таблиц.
Окно результатов
В окне результатов отображаются результаты запроса. Результаты можно просмотреть в формате таблицы и экспортировать результаты в CSV-файл с помощью кнопки "Экспорт " в левом верхнем углу окна результатов. Переключите видимость пустых столбцов с помощью кнопки "Показать пустые столбцы ". Кнопка "Настройка столбцов" позволяет выбрать столбцы , отображаемые в окне результатов.
Результаты можно искать с помощью поля поиска в правом верхнем углу окна результатов.
Запросы вне поля
Вкладка "Запросы" предоставляет коллекцию готовых запросов KQL. Эти запросы охватывают распространенные сценарии и варианты использования, такие как исследование инцидентов безопасности и поиск угроз. Эти запросы можно использовать as-is или изменить их в соответствии с вашими потребностями.
Выберите запрос из списка с помощью значка ... . Его можно открыть на новой вкладке запроса для редактирования или немедленного запуска.
Дополнительные сведения о примерах запросов см. в разделе Примеры KQL-запросов для озера данных Microsoft Sentinel.
Асинхронные запросы
Вы можете выполнять длительные запросы асинхронно, чтобы вы могли работать во время выполнения запроса на сервере. Чтобы выполнить запрос асинхронно, щелкните стрелку вниз на кнопке "Выполнить запрос ", а затем нажмите кнопку "Выполнить асинхронный запрос". Введите имя запроса, чтобы определить асинхронный запрос. После отправки запроса можно отслеживать его состояние на вкладке "Асинхронные запросы ". По завершении запроса можно просмотреть результаты, выбрав имя запроса из списка.
Если синхронный запрос занимает более 2 минут, появится запрос, запрашивающий асинхронное выполнение запроса. Выберите "Выполнить асинхронный запуск" , чтобы изменить запрос для асинхронного выполнения.
Получение результатов асинхронного запроса
Чтобы просмотреть результаты асинхронного запроса, выберите завершенный запрос на вкладке Асинхронные запросы и выберите Получить результаты. Запрос отображается в комментариях в редакторе запросов и результаты отображаются на вкладке "Результаты".
Результаты хранятся в течение 24 часов и могут быть доступны несколько раз. Результаты можно экспортировать в CSV-файл с помощью кнопки "Экспорт " в левом верхнем углу окна результатов.
Параметры и ограничения службы для асинхронных запросов KQL
В следующей таблице перечислены параметры службы и ограничения для асинхронных запросов KQL в озере данных Microsoft Sentinel.
| Категория | Параметр или ограничение |
|---|---|
| Параллельное выполнение для каждого клиента (включает выполнение задания) | 3 |
| Время ожидания выполнения асинхронного запроса | 1 ч |
| Длительность кэша | 24 часа |
| Количество операций, когда пользователи могут получать кэшированные результаты | Unlimited |
| Область запроса | Несколько рабочих областей |
| временной диапазон запроса | До 12 лет |
Вакансии
Задания используются для выполнения запросов KQL к данным в хранилище данных и перемещения результатов на аналитический уровень. Можно создать одноразовые или запланированные задания, а также включить, отключить, изменить или удалить задания на странице заданий . Чтобы создать задание на основе текущего запроса, нажмите кнопку "Создать задание ". Дополнительные сведения о создании заданий и управлении ими см. в разделе Создание заданий в озере данных Microsoft Sentinel.
Azure Data Explorer
Запросы KQL можно выполнять в озере данных Microsoft Sentinel с помощью Azure Data Explorer (ADX). ADX предоставляет мощный механизм запросов и расширенные возможности аналитики. Чтобы подключиться к озеру данных с помощью ADX, создайте новое подключение с помощью следующего URI: https://api.securityplatform.microsoft.com/lake/kql
При запросе таблиц в озере данных с помощью ADX необходимо использовать функцию external_table() для доступа к данным. Рассмотрим пример.
external_table("AADRiskyUsers")
| take 100
Соображения и ограничения запросов
Запросы устаревших таблиц, таких как AzureDiagnostics, не поддерживаются.
Запросы выполняются в выбранных вами рабочих пространствах. Перед выполнением запроса выберите правильные рабочие области.
Выполнение запросов KQL в хранилище данных Microsoft Sentinel приводит к расходам, зависящим от счетчиков учета запросов. Для получения дополнительной информации см. раздел Планирование затрат и понимание цен и выставления счетов в Microsoft Sentinel.
Просмотрите политику приема данных и хранения таблиц. Прежде чем задать диапазон времени запроса, помните о хранении данных в таблицах озера данных и о том, доступны ли данные для выбранного диапазона времени. Дополнительные сведения см. в разделе Управляемые уровни данных и хранение на портале Microsoft Defender.
Запросы KQL к озеру данных менее производительны, чем запросы в аналитическом уровне. Используйте запросы KQL к озеру данных только при изучении исторических данных или когда таблицы хранятся исключительно в озере данных.
В настоящее время поддерживаются следующие команды управления KQL:
.show version.show databases.show databases entities.show database
При использовании
stored_query_resultsкоманды укажите диапазон времени в запросе KQL. Селектор времени над редактором запросов не работает с этой командой.Использование встроенных или пользовательских функций не поддерживается в запросах KQL к озеру данных.
Вызов данных из внешних источников через запрос KQL к озеру данных не поддерживается.
Поддерживаются все операторы и функции KQL, кроме следующих:
adx()arg()externaldata()ingestion_time()
Параметры и ограничения службы для запросов KQL на уровне озера
Следующие ограничения параметров службы применяются при написании запросов в хранилище данных Microsoft Sentinel.
| Категория | Параметр или ограничение |
|---|---|
| Одновременные интерактивные запросы | 45 в минуту |
| Запрос данных результатов | 64 МБ |
| Строки результатов запроса | 500 000 строк |
| Область запроса | Несколько рабочих областей |
| Время ожидания запроса | 4 минуты |
| Диапазон времени, доступный для запроса | До 12 лет в зависимости от хранения данных. |
Сведения об устранении неполадок с запросами KQL см. в статье Troubleshoot KQL запросы в озере данных Microsoft Sentinel.
Связанный контент
- Обзор хранилища данных Microsoft Sentinel
- Onboarding для Microsoft Sentinel хранилища данных
- Создавайте задачи в хранилище данных Microsoft Sentinel
- Управление заданиями в озере данных Microsoft Sentinel
- Устранение неполадок запросов KQL в озере данных Microsoft Sentinel.