Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Data Lake-Untersuchung im Microsoft Defender-Portal bietet eine einheitliche Schnittstelle zum Analysieren Ihres Data Lake. Damit können Sie KQL-Abfragen (Kusto-Abfragesprache) ausführen, Aufträge erstellen und verwalten.
Auf der Seite KQL-Abfragen unter Data Lake-Erkundung können Sie KQL-Abfragen für Data Lake-Ressourcen und Verbundtabellen bearbeiten und ausführen. Erstellen Sie Aufträge, um Daten aus dem Data Lake auf die Analyseebene hochzustufen, oder erstellen Sie Aggregattabellen auf der Data Lake-Ebene. Ausführen von Aufträgen bei Bedarf oder Planen. Auf der Seite Aufträge können Sie Aufträge verwalten. Aktivieren, Deaktivieren, Bearbeiten oder Löschen. Weitere Informationen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel Data Lake.
Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um KQL-Abfragen im Microsoft Sentinel Data Lake auszuführen.
Onboarding in den Data Lake
Nach Abschluss des Onboardingprozesses können Sie KQL-Abfragen im Microsoft Defender-Portal ausführen. Weitere Informationen zum Onboarding finden Sie unter Onboarding in Microsoft Sentinel Data Lake.
Berechtigungen
Microsoft Entra ID Rollen können Sie auf alle Arbeitsbereiche im Data Lake zugreifen. Alternativ können Sie mit Azure RBAC-Rollen Zugriff auf einzelne Arbeitsbereiche gewähren. Benutzer mit Azure RBAC-Berechtigungen für Microsoft Sentinel Arbeitsbereiche können KQL-Abfragen für diese Arbeitsbereiche auf der Data Lake-Ebene ausführen. Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Microsoft Sentinel Data Lake-Rollen und -Berechtigungen.
Optional kann Microsoft Sentinel Bereichs- oder RBAC auf Zeilenebene konfiguriert werden, um den Datenzugriff innerhalb eines Arbeitsbereichs weiter einzuschränken. Wenn diese Option aktiviert ist, schränkt die Bereichsdefinition auf Zeilenebene die von Abfragen zurückgegebenen Daten basierend auf dem zugewiesenen Bereich des Benutzers ein. Wenn die Bereichsdefinition auf Zeilenebene nicht konfiguriert ist, wird das vorhandene Berechtigungsmodell auf Arbeitsbereichsebene unverändert angewendet. Konfigurieren sie Microsoft Sentinel Bereich (RBAC auf Zeilenebene) (Vorschau)
Schreiben von KQL-Abfragen
Das Schreiben von Abfragen für den Data Lake ähnelt dem Schreiben von Abfragen in der erweiterten Hunting-Benutzeroberfläche. Sie können die gleiche KQL-Syntax und dieselben Funktionen verwenden. KQL unterstützt erweiterte Analyse- und Machine Learning-Funktionen. Der Abfrage-Editor bietet eine Schnittstelle zum Ausführen von KQL-Abfragen mit Features wie IntelliSense und AutoVervollständigen, damit Sie effizient schreiben können. Eine ausführliche Übersicht über die KQL-Syntax und -Funktionen finden Sie unter Übersicht über Kusto-Abfragesprache (KQL).
KQL-Abfragen im Defender-Portal
Wählen Sie Neue Abfrage aus, um eine neue Abfrageregisterkarte zu erstellen. Das Portal speichert die letzte Abfrage auf jeder Registerkarte. Wechseln Sie zwischen Registerkarten, um an mehreren Abfragen gleichzeitig zu arbeiten.
Auf der Registerkarte Abfrageverlauf wird eine Liste der zuvor ausgeführten Abfragen, die Abfrageverarbeitungszeit und der Abschlussstatus angezeigt. Sie können eine vorherige Abfrage auf einer neuen Registerkarte öffnen, indem Sie sie aus der Liste auswählen. Das Portal speichert den Abfrageverlauf 30 Tage lang. Wählen Sie eine Abfrage aus, um sie zu bearbeiten oder erneut auszuführen.
Auswählen von Arbeitsbereichen
Sie können Abfragen für einen oder mehrere Arbeitsbereiche ausführen. Wählen Sie arbeitsbereiche in der oberen rechten Ecke des Abfrage-Editors aus, indem Sie die Dropdownliste Ausgewählte Arbeitsbereiche verwenden . Die von Ihnen ausgewählten Arbeitsbereiche bestimmen die tabellen, die für Abfragen verfügbar sind. Die ausgewählten Arbeitsbereiche gelten für alle Abfrageregisterkarten im Abfrage-Editor. Wenn Sie mehrere Arbeitsbereiche verwenden, wird der union() Operator standardmäßig auf Tabellen mit demselben Namen und Schema aus verschiedenen Arbeitsbereichen angewendet. Verwenden Sie den workspace() -Operator, um eine Tabelle aus einem bestimmten Arbeitsbereich abzufragen, z. B workspace("MyWorkspace").AuditLogs. .
Um Verbundtabellen abzufragen, wählen Sie Systemtabellen aus, wenn Sie Arbeitsbereiche auswählen. Weitere Informationen zu Verbundtabellen finden Sie unter Verwenden von Verbundtabellen im Microsoft Sentinel Data Lake.
Wenn Sie einen einzelnen, leeren Arbeitsbereich oder einen Arbeitsbereich während des Onboardings auswählen, zeigt der Schemabrowser keine Tabellen an.
Zeitbereichsauswahl
Verwenden Sie die Zeitauswahl über dem Abfrage-Editor, um den Zeitbereich für Ihre Abfrage auszuwählen. Mithilfe der Option Benutzerdefinierter Zeitbereich können Sie eine bestimmte Start- und Endzeit festlegen. Zeitbereiche können bis zu 12 Jahre dauern.
Wichtig
Die Zeitbereichsauswahl funktioniert nicht für Verbundtabellen, die keine Spalte haben TimeGenerated oder bei denen die TimeGenerated Spalte nicht das richtige Format aufweist. Geben Sie beim Abfragen dieser Tabellen den Zeitbereich in Ihrer KQL-Abfrage an, indem Sie die entsprechende Spalte für die Zeitfilterung verwenden.
Sie können auch einen Zeitbereich in der KQL-Abfragesyntax angeben, z. B.:
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Hinweis
Abfragen sind auf 500.000 Zeilen oder 64 MB Daten und timeout nach 8 Minuten beschränkt. Wenn Sie einen breiten Zeitbereich auswählen, kann Ihre Abfrage diese Grenzwerte überschreiten. Erwägen Sie die Verwendung asynchroner Abfragen für Abfragen mit langer Ausführungszeit. Weitere Informationen finden Sie unter Asynchrone Abfragen.
Anzeigen von Schemainformationen
Der Schemabrowser stellt eine Liste der verfügbaren Tabellen und deren Spalten für die ausgewählten Arbeitsbereiche bereit, gruppiert nach Kategorie. Systemtabellen werden in der Kategorie Assets angezeigt. Benutzerdefinierte Tabellen mit _CL, _KQL_CL, _SPARKund _SPARK_CL werden in der Kategorie Benutzerdefinierte Protokolle gruppiert. Verwenden Sie den Schemabrowser, um die in Ihrem Data Lake verfügbaren Daten zu untersuchen und Tabellen und Spalten zu ermitteln. Verwenden Sie das Suchfeld, um bestimmte Tabellen schnell zu finden.
Ergebnisfenster
Im Ergebnisfenster werden die Ergebnisse Ihrer Abfrage angezeigt. Sie können die Ergebnisse in einem Tabellenformat anzeigen und die Ergebnisse mithilfe der Schaltfläche Exportieren in der oberen linken Ecke des Ergebnisfensters in eine CSV-Datei exportieren. Schalten Sie die Sichtbarkeit leerer Spalten mithilfe der Schaltfläche Leere Spalten anzeigen um. Mit der Schaltfläche Spalten anpassen können Sie auswählen, welche Spalten im Ergebnisfenster angezeigt werden sollen.
Sie können die Ergebnisse mithilfe des Suchfelds in der oberen rechten Ecke des Ergebnisfensters durchsuchen.
Sofort einsatzbereite Abfragen
Die Registerkarte Abfragen enthält eine Sammlung von sofort einsatzbereiten KQL-Abfragen. Diese Abfragen decken gängige Szenarien und Anwendungsfälle ab, z. B. untersuchung von Sicherheitsvorfällen und Bedrohungssuche. Sie können diese Abfragen unverändert verwenden oder an Ihre spezifischen Anforderungen anpassen.
Wählen Sie mithilfe des Symbols ... eine Abfrage aus der Liste aus. Sie können sie zur Bearbeitung auf einer neuen Abfrageregisterkarte öffnen oder sofort ausführen.
Weitere Informationen zu Beispielabfragen finden Sie unter Beispiel-KQL-Abfragen für Microsoft Sentinel Data Lake.
Asynchrone Abfragen
Sie können Abfragen mit langer Ausführungszeit asynchron ausführen, sodass Sie weiterhin arbeiten können, während die Abfrage auf dem Server ausgeführt wird. Um eine Abfrage asynchron auszuführen, wählen Sie den Pfeil nach unten auf der Schaltfläche Abfrage ausführen und dann Asynchrone Abfrage ausführen aus. Geben Sie einen Abfragenamen ein, um Ihre asynchrone Abfrage zu identifizieren. Nachdem Sie die Abfrage übermittelt haben, können Sie die status auf der Registerkarte Asynchrone Abfragen überwachen. Wenn die Abfrage abgeschlossen ist, können Sie die Ergebnisse anzeigen, indem Sie den Abfragenamen aus der Liste auswählen.
Wenn die Ausführung einer synchronen Abfrage länger als 2 Minuten dauert, wird eine Eingabeaufforderung mit der Frage angezeigt, ob Sie die Abfrage asynchron ausführen möchten. Wählen Sie Asynchron ausführen aus, um die Abfrage so zu ändern, dass sie asynchron ausgeführt wird.
Abrufen asynchroner Abfrageergebnisse
Um die Ergebnisse der asynchronen Abfrage anzuzeigen, wählen Sie auf der Registerkarte Asynchrone Abfragen die abgeschlossene asynchrone Abfrage und dann Ergebnisse abrufen aus. Die Abfrage wird in Kommentaren im Abfrage-Editor angezeigt, und die Ergebnisse werden auf der Registerkarte Ergebnisse angezeigt.
Die Ergebnisse werden 24 Stunden lang gespeichert und können mehrmals aufgerufen werden. Sie können die Ergebnisse in eine CSV-Datei exportieren, indem Sie die Schaltfläche Exportieren in der oberen linken Ecke des Ergebnisfensters verwenden.
Dienstparameter und Grenzwerte für asynchrone KQL-Abfragen
In der folgenden Tabelle sind die Dienstparameter und Grenzwerte für asynchrone KQL-Abfragen im Microsoft Sentinel Data Lake aufgeführt.
| Kategorie | Parameter/Grenzwert |
|---|---|
| Gleichzeitige Ausführung pro Mandant (einschließlich Auftragsausführung) | 3 |
| Timeout für die Ausführung von asynchronen Abfragen | 1 Stunde |
| Cachedauer | 24 Stunden |
| Anzahl der Male, mit denen Benutzer zwischengespeicherte Ergebnisse abrufen können | Unbegrenzt |
| Abfragebereich | Mehrere Arbeitsbereiche |
| Abfragezeitbereich | Bis zu 12 Jahre |
Jobs
Aufträge werden verwendet, um KQL-Abfragen für die Daten auf der Data Lake-Ebene auszuführen und die Ergebnisse auf die Analyseebene heraufzustufen. Sie können einmalige oder geplante Aufträge erstellen und Aufträge auf der Seite Aufträge aktivieren, deaktivieren, bearbeiten oder löschen. Um einen Auftrag basierend auf Ihrer aktuellen Abfrage zu erstellen, wählen Sie die Schaltfläche Auftrag erstellen aus. Weitere Informationen zum Erstellen und Verwalten von Aufträgen finden Sie unter Erstellen von Aufträgen im Microsoft Sentinel Data Lake.
Azure Data Explorer
Sie können KQL-Abfragen für den Microsoft Sentinel Data Lake mithilfe von Azure Data Explorer (ADX) ausführen. ADX bietet eine leistungsstarke Abfrage-Engine und erweiterte Analysefunktionen. Um mithilfe von ADX eine Verbindung mit dem Data Lake herzustellen, erstellen Sie mithilfe des folgenden URI eine neue Verbindung: https://api.securityplatform.microsoft.com/lake/kql
Beim Abfragen von Tabellen im Data Lake mithilfe von ADX müssen Sie die external_table() -Funktion verwenden, um auf die Daten zuzugreifen. Zum Beispiel:
external_table("AADRiskyUsers")
| take 100
Überlegungen und Einschränkungen bei Abfragen
Das Abfragen von Legacytabellen wie AzureDiagnostics wird nicht unterstützt.
Leere Tabellen werden in der Schemaansicht nicht angezeigt, und Abfragen werden erst unterstützt, wenn die Tabelle Daten enthält.
Abfragen werden für die ausgewählten Arbeitsbereiche ausgeführt. Stellen Sie sicher, dass Sie die richtigen Arbeitsbereiche auswählen, bevor Sie eine Abfrage ausführen.
Beim Ausführen von KQL-Abfragen für den Microsoft Sentinel Data Lake fallen Gebühren basierend auf den Abrechnungszählern für Abfragen an. Weitere Informationen finden Sie unter Planen von Kosten und Verstehen Microsoft Sentinel Preise und Abrechnung.
Überprüfen Sie die Datenerfassungs- und Tabellenaufbewahrungsrichtlinie. Bevor Sie den Abfragezeitbereich festlegen, achten Sie auf die Datenaufbewahrung für Ihre Data Lake-Tabellen und darauf, ob Daten für den ausgewählten Zeitraum verfügbar sind. Weitere Informationen finden Sie unter Verwalten von Datenebenen und Aufbewahrung in Microsoft Defender Portal.
KQL-Abfragen für den Data Lake sind weniger leistungsfähig als Abfragen auf der Analyseebene. Verwenden Sie KQL-Abfragen für den Data Lake nur beim Untersuchen von Verlaufsdaten oder beim Speichern von Tabellen im reinen Data Lake-Modus.
Die folgenden KQL-Steuerungsbefehle werden derzeit unterstützt:
.show version.show databases.show databases entities.show database
Wenn Sie den
stored_query_resultsBefehl verwenden, geben Sie den Zeitbereich in der KQL-Abfrage an. Die Zeitauswahl über dem Abfrage-Editor funktioniert nicht mit diesem Befehl.Die Verwendung von sofort einsatzbereiten oder benutzerdefinierten Funktionen wird in KQL-Abfragen für den Data Lake nicht unterstützt.
Das Aufrufen externer Daten über eine KQL-Abfrage für den Data Lake wird nicht unterstützt.
Mit Ausnahme der folgenden Werden alle KQL-Operatoren und -Funktionen unterstützt:
adx()arg()externaldata()ingestion_time()
Es gibt eine Latenz von 15 Minuten zwischen der Erfassung von Daten im Data Lake oder in Verbundtabellen und dem Zeitpunkt, an dem sie für Abfragen verfügbar sind. Dies bedeutet, dass neu erfasste Daten möglicherweise nicht sofort abgefragt werden können.
Dienstparameter und Grenzwerte für KQL-Abfragen in der Lake-Ebene
Die folgenden Einschränkungen für Dienstparameter gelten beim Schreiben von Abfragen in Microsoft Sentinel Data Lake.
| Kategorie | Parameter/Grenzwert |
|---|---|
| Gleichzeitige interaktive Abfragen | 45 pro Minute |
| Abfrageergebnisdaten | 64 MB |
| Abfrageergebniszeilen | 500.000 Zeilen |
| Abfragebereich | Mehrere Arbeitsbereiche |
| Abfragetimeout | 4 Minuten |
| Abfragbarer Zeitbereich | Bis zu 12 Jahre, abhängig von der Datenaufbewahrung. |
Informationen zur Problembehandlung bei KQL-Abfragen finden Sie unter Problembehandlung bei KQL-Abfragen im Microsoft Sentinel Data Lake.