Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Udforskning af datasøer i Microsoft Defender portalen giver en samlet grænseflade til analyse af din datasø. Du kan køre KQL-forespørgsler (Kusto Query Language), oprette job og administrere dem.
På KQL-forespørgselssiden under Udforskning af datasø kan du redigere og køre KQL-forespørgsler på datasøressourcer og organisationsnetværkstabeller. Opret job for at hæve data fra datasøen til analyseniveauet, eller opret aggregerede tabeller på data lake-niveauet. Kør job efter behov, eller planlæg dem. På siden Job kan du administrere job. aktivere, deaktivere, redigere eller slette. Du kan få flere oplysninger under Opret job i datasøen Microsoft Sentinel.
Forudsætninger
Følgende forudsætninger er nødvendige for at køre KQL-forespørgsler i den Microsoft Sentinel datasø.
Onboard til datasøen
Du kan køre KQL-forespørgsler på Microsoft Defender portalen, når onboardingprocessen er fuldført. Du kan få flere oplysninger om onboarding under Onboarding to Microsoft Sentinel data lake.
Tilladelser
Microsoft Entra ID roller giver dig adgang til alle arbejdsområder i datasøen. Du kan også tildele adgang til individuelle arbejdsområder ved hjælp af Azure RBAC-roller. Brugere med Azure RBAC-tilladelser for Microsoft Sentinel arbejdsområder kan køre KQL-forespørgsler mod disse arbejdsområder på data lake-niveauet. Du kan få flere oplysninger om roller og tilladelser under Microsoft Sentinel roller og tilladelser til datasøer.
Du kan også konfigurere Microsoft Sentinel omfang eller RBAC på rækkeniveau for yderligere at begrænse adgangen til data i et arbejdsområde. Når indstillingen er aktiveret, begrænser området på rækkeniveau de data, der returneres af forespørgsler, på baggrund af brugerens tildelte område. Hvis området på rækkeniveau ikke er konfigureret, anvendes den eksisterende tilladelsesmodel på arbejdsområdeniveau uændret. Konfigurer Microsoft Sentinel område (RBAC på rækkeniveau) (eksempelvisning).
Skriv KQL-forespørgsler
Skrivning af forespørgsler til datasøen svarer til at skrive forespørgsler i den avancerede jagtoplevelse. Du kan bruge den samme KQL-syntaks og de samme funktioner. KQL understøtter avancerede analyse- og maskinel indlæringsfunktioner. Forespørgselseditoren tilbyder en grænseflade til kørsel af KQL-forespørgsler med funktioner som IntelliSense og autofuldførelse, som kan hjælpe dig med at skrive effektivt. Du kan finde en detaljeret oversigt over KQL-syntaks og -funktioner under Oversigt over Kusto Query Language (KQL).
KQL-forespørgsler på Defender-portalen
Vælg Ny forespørgsel for at oprette en ny forespørgselsfane. Portalen gemmer den sidste forespørgsel under hver fane. Skift mellem faner for at arbejde på flere forespørgsler samtidigt.
Fanen Forespørgselshistorik viser en liste over dine tidligere kørte forespørgsler, behandlingstiden for forespørgsler og fuldførelsestilstanden. Du kan åbne en tidligere forespørgsel på en ny fane ved at vælge den på listen. Portalen gemmer forespørgselshistorikken i 30 dage. Vælg en forespørgsel for at redigere eller køre den igen.
Vælg arbejdsområder
Du kan køre forespørgsler i et enkelt arbejdsområde eller flere arbejdsområder. Vælg arbejdsområder i øverste højre hjørne af forespørgselseditoren ved hjælp af rullelisten Valgte arbejdsområder . De arbejdsområder, du vælger, bestemmer de tabeller, der er tilgængelige for forespørgsler. De valgte arbejdsområder gælder for alle forespørgselsfaner i forespørgselseditoren. Når du bruger flere arbejdsområder, anvendes operatoren union() som standard på tabeller med samme navn og skema fra forskellige arbejdsområder. Brug operatoren workspace() til at forespørge en tabel fra et bestemt arbejdsområde, f.eks workspace("MyWorkspace").AuditLogs. .
Hvis du vil forespørge om tabeller i organisationsnetværket, skal du vælge Systemtabeller , når du vælger arbejdsområder. Du kan få flere oplysninger om tabeller i organisationsnetværket under Brug af organisationsnetværkstabeller i den Microsoft Sentinel datasø.
Hvis du vælger et enkelt tomt arbejdsområde eller et arbejdsområde i onboardingprocessen, vises der ingen tabeller i skemabrowseren.
Valg af tidsinterval
Brug tidsvælgeren over forespørgselseditoren til at vælge tidsintervallen for forespørgslen. Ved hjælp af indstillingen Brugerdefineret tidsinterval kan du angive et bestemt start- og sluttidspunkt. Tidsintervaller kan være op til 12 år i varighed.
Vigtigt!
Valg af tidsinterval fungerer ikke for tabeller i organisationsnetværket, der ikke har en TimeGenerated kolonne, eller hvor kolonnen TimeGenerated ikke er i det korrekte format. Når du forespørger på disse tabeller, skal du angive tidsintervallen i din KQL-forespørgsel ved hjælp af den relevante kolonne til tidsfiltrering.
Du kan også angive et tidsinterval i KQL-forespørgselssyntaksen, f.eks.:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Bemærk!
Forespørgsler er begrænset til 500.000 rækker eller 64 MB data og timeout efter 8 minutter. Når du vælger et bredt tidsinterval, kan forespørgslen overskride disse grænser. Overvej at bruge asynkrone forespørgsler til langvarige forespørgsler. Du kan få flere oplysninger under Asynkrone forespørgsler.
Vis skemaoplysninger
Skemabrowseren indeholder en liste over tilgængelige tabeller og deres kolonner for de valgte arbejdsområder grupperet efter kategori. Systemtabeller vises i kategorien Assets . Brugerdefinerede tabeller med _CL, _KQL_CL, _SPARKog _SPARK_CL grupperes i kategorien Brugerdefinerede logge . Brug skemabrowseren til at udforske de data, der er tilgængelige i din data lake, og finde tabeller og kolonner. Brug søgefeltet til hurtigt at finde bestemte tabeller.
Resultatvindue
Resultatvinduet viser resultaterne af din forespørgsel. Du kan få vist resultaterne i et tabelformat, og du kan eksportere resultaterne til en CSV-fil ved hjælp af knappen Eksportér i øverste venstre hjørne af resultatvinduet. Skift synligheden af tomme kolonner ved hjælp af knappen Vis tomme kolonner . Med knappen Tilpas kolonner kan du vælge, hvilke kolonner der skal vises i resultatvinduet.
Du kan søge i resultaterne ved hjælp af søgefeltet i øverste højre hjørne af resultatvinduet.
Out-of-the-box forespørgsler
Fanen Forespørgsler indeholder en samling af indbyggede KQL-forespørgsler. Disse forespørgsler dækker almindelige scenarier og use cases, f.eks. undersøgelse af sikkerhedshændelser og trusselsjagt. Du kan bruge disse forespørgsler, som de er, eller ændre dem, så de passer til dine specifikke behov.
Vælg en forespørgsel på listen ved hjælp af ikonet ... . Du kan åbne den i en ny forespørgselsfane for at redigere eller køre den med det samme.
Du kan få flere oplysninger om eksempelforespørgsler under KQL-eksempelforespørgsler for Microsoft Sentinel datasø.
Asynkrone forespørgsler
Du kan køre langvarige forespørgsler asynkront, så du kan fortsætte med at arbejde, mens forespørgslen kører på serveren. Hvis du vil køre en forespørgsel asynkront, skal du vælge pil ned på knappen Kør forespørgsel og derefter vælge Kør asynkron forespørgsel. Angiv et forespørgselsnavn for at identificere den asynkrone forespørgsel. Når du har sendt forespørgslen, kan du overvåge dens status under fanen Asynkrone forespørgsler . Når forespørgslen er fuldført, kan du få vist resultaterne ved at vælge forespørgselsnavnet på listen.
Hvis det tager mere end to minutter at køre en synkron forespørgsel, bliver du spurgt, om du vil køre forespørgslen asynkront. Vælg Kør asynkron for at ændre forespørgslen til at køre asynkront.
Hent asynkrone forespørgselsresultater
Hvis du vil have vist de asynkrone forespørgselsresultater, skal du vælge den fuldførte asynkrone forespørgsel under fanen Asynkrone forespørgsler og vælge Hent resultater. Forespørgslen vises i kommentarer i forespørgselseditoren, og resultaterne vises under fanen Resultater.
Resultaterne gemmes i 24 timer og kan tilgås flere gange. Du kan eksportere resultaterne til en CSV-fil ved hjælp af knappen Eksportér i øverste venstre hjørne af resultatvinduet.
Tjenesteparametre og -grænser for KQL-asynkrone forespørgsler
I følgende tabel vises tjenesteparametrene og grænserne for KQL-asynkrone forespørgsler i den Microsoft Sentinel data lake.
| Kategori | Parameter/grænse |
|---|---|
| Samtidig udførelse pr. lejer (omfatter udførelse af job) | 3 |
| Timeout for udførelse af asynkron forespørgsel | 1 time |
| Cachens varighed | 24 timer |
| Det antal gange, brugerne kan hente cachelagrede resultater | Ubegrænset |
| Forespørgselsområde | Flere arbejdsområder |
| Forespørgselstidsinterval | Op til 12 år |
Job
Job bruges til at køre KQL-forespørgsler mod dataene på data lake-niveauet og hæve resultaterne til analyseniveauet. Du kan oprette engangsjob eller planlagte job, og du kan aktivere, deaktivere, redigere eller slette job fra siden Job . Hvis du vil oprette et job baseret på din aktuelle forespørgsel, skal du vælge knappen Opret job . Du kan få flere oplysninger om oprettelse og administration af job under Opret job i Microsoft Sentinel datasø.
Azure Data Explorer
Du kan køre KQL-forespørgsler på den Microsoft Sentinel datasø ved hjælp af ADX (Azure Data Explorer). ADX indeholder et effektivt forespørgselsprogram og avancerede analysefunktioner. Hvis du vil oprette forbindelse til datasøen ved hjælp af ADX, skal du oprette en ny forbindelse ved hjælp af følgende URI: https://api.securityplatform.microsoft.com/lake/kql
Når du forespørger tabeller i datasøen ved hjælp af ADX, skal du bruge funktionen external_table() til at få adgang til dataene. Det kan f.eks. være:
external_table("AADRiskyUsers")
| take 100
Overvejelser og begrænsninger i forbindelse med forespørgsler
Forespørgsler om ældre tabeller, f.eks. AzureDiagnostics, understøttes ikke.
Tomme tabeller vises ikke i skemavisning, og forespørgsler understøttes ikke, før tabellen indeholder data.
Forespørgsler køres mod de arbejdsområder, du har valgt. Sørg for at vælge de korrekte arbejdsområder, før du kører en forespørgsel.
Der påløber gebyrer for udførelse af KQL-forespørgsler på Microsoft Sentinel datasøen baseret på faktureringsmålere for forespørgsler. Du kan finde flere oplysninger under Planlæg omkostninger og forstå Microsoft Sentinel priser og fakturering.
Gennemse politikken for dataindtagelse og tabelopbevaring. Før du angiver forespørgselstidsinterval, skal du være opmærksom på dataopbevaring i tabellerne med datasøer, og om der er tilgængelige data for det valgte tidsinterval. Du kan få flere oplysninger under Administrer dataniveauer og opbevaring på Microsoft Defender portal.
KQL-forespørgsler mod datasøen er mindre højtydende end forespørgsler på analyseniveau. Brug kun KQL-forespørgsler mod datasøen, når du udforsker historiske data, eller når tabeller gemmes i tilstanden kun datasøer.
Følgende KQL-kontrolkommandoer understøttes i øjeblikket:
.show version.show databases.show databases entities.show database
Når du bruger kommandoen
stored_query_results, skal du angive tidsintervallen i KQL-forespørgslen. Tidsvælgeren over forespørgselseditoren fungerer ikke med denne kommando.Brug af indbyggede funktioner eller brugerdefinerede funktioner understøttes ikke i KQL-forespørgsler i forhold til datasøen.
Kald af eksterne data via KQL-forespørgsel mod datasøen understøttes ikke.
Alle KQL-operatorer og -funktioner understøttes med undtagelse af følgende:
adx()arg()externaldata()ingestion_time()
Der er en ventetid på 15 minutter mellem det tidspunkt, hvor data indtages i datasøen eller organisationstabellerne, og når de bliver tilgængelige til forespørgsler. Det betyder, at der muligvis ikke kan forespørges om nyligt indtagne data med det samme.
Tjenesteparametre og -grænser for KQL-forespørgsler på lakeniveau
Følgende begrænsninger for tjenesteparametre gælder, når du skriver forespørgsler i Microsoft Sentinel data lake.
| Kategori | Parameter/grænse |
|---|---|
| Samtidige interaktive forespørgsler | 45 pr. minut |
| Forespørgselsresultatdata | 64 MB |
| Forespørgselsresultatrækker | 500.000 rækker |
| Forespørgselsområde | Flere arbejdsområder |
| Timeout for forespørgsel | 4 minutter |
| Tidsinterval, der kan forespørges på | Op til 12 år, afhængigt af dataopbevaring. |
Hvis du vil foretage fejlfinding af KQL-forespørgsler, skal du se Fejlfinding af KQL-forespørgsler i Microsoft Sentinel datasø.