Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’exploration de lac de données dans le portail Microsoft Defender fournit une interface unifiée pour analyser votre lac de données. Il vous permet d’exécuter des requêtes KQL (Langage de requête Kusto), de créer des travaux et de les gérer.
La page Requêtes KQL sous Exploration data lake vous permet de modifier et d’exécuter des requêtes KQL sur des ressources de lac de données et des tables fédérées. Créez des travaux pour promouvoir les données du lac de données vers le niveau analytique, ou créez des tables d’agrégation dans le niveau data lake. Exécutez des travaux à la demande ou planifiez-les. La page Travaux vous permet de gérer les travaux ; activer, désactiver, modifier ou supprimer. Pour plus d’informations, consultez Créer des travaux dans le lac de données Microsoft Sentinel.
Configuration requise
Les prérequis suivants sont nécessaires pour exécuter des requêtes KQL dans le lac de données Microsoft Sentinel.
Intégrer au lac de données
Vous pouvez exécuter des requêtes KQL dans le portail Microsoft Defender une fois le processus d’intégration terminé. Pour plus d’informations sur l’intégration, consultez Intégration à Microsoft Sentinel lac de données.
Autorisations
Microsoft Entra ID rôles vous permettent d’accéder à tous les espaces de travail dans le lac de données. Vous pouvez également accorder l’accès à des espaces de travail individuels à l’aide de Azure rôles RBAC. Les utilisateurs disposant d’autorisations RBAC Azure pour Microsoft Sentinel espaces de travail peuvent exécuter des requêtes KQL sur ces espaces de travail dans le niveau data lake. Pour plus d’informations sur les rôles et les autorisations, consultez Microsoft Sentinel rôles et autorisations de lac de données.
Si vous le souhaitez, Microsoft Sentinel RBAC d’étendue ou au niveau des lignes peut être configuré pour restreindre davantage l’accès aux données au sein d’un espace de travail. Lorsqu’elle est activée, l’étendue au niveau des lignes limite les données retournées par les requêtes en fonction de l’étendue attribuée à l’utilisateur. Si l’étendue au niveau des lignes n’est pas configurée, le modèle d’autorisation existant au niveau de l’espace de travail s’applique sans modification. Configurez Microsoft Sentinel étendue (RBAC au niveau des lignes) (préversion).
Écrire des requêtes KQL
L’écriture de requêtes pour le lac de données est similaire à l’écriture de requêtes dans l’expérience de chasse avancée. Vous pouvez utiliser la même syntaxe et les mêmes fonctions KQL. KQL prend en charge les fonctions avancées d’analytique et de Machine Learning. L’éditeur de requête offre une interface permettant d’exécuter des requêtes KQL avec des fonctionnalités telles qu’IntelliSense et la saisie semi-automatique pour vous aider à écrire efficacement. Pour obtenir une vue d’ensemble détaillée de la syntaxe et des fonctions KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).
Requêtes KQL dans le portail Defender
Sélectionnez Nouvelle requête pour créer un onglet de requête. Le portail enregistre la dernière requête dans chaque onglet. Basculez entre les onglets pour travailler simultanément sur plusieurs requêtes.
L’onglet Historique des requêtes affiche la liste de vos requêtes précédemment exécutées, le temps de traitement des requêtes et l’état d’achèvement. Vous pouvez ouvrir une requête précédente dans un nouvel onglet en la sélectionnant dans la liste. Le portail enregistre l’historique des requêtes pendant 30 jours. Sélectionnez une requête à modifier ou réexécutez-la.
Sélectionner des espaces de travail
Vous pouvez exécuter des requêtes sur un ou plusieurs espaces de travail. Sélectionnez des espaces de travail dans le coin supérieur droit de l’éditeur de requête à l’aide de la liste déroulante Espaces de travail sélectionnés . Les espaces de travail que vous sélectionnez déterminent les tables disponibles pour l’interrogation. Les espaces de travail sélectionnés s’appliquent à tous les onglets de requête dans l’éditeur de requête. Lorsque vous utilisez plusieurs espaces de travail, l’opérateur union() est appliqué par défaut aux tables avec le même nom et le même schéma à partir de différents espaces de travail. Utilisez l’opérateur workspace() pour interroger une table à partir d’un espace de travail spécifique, par exemple workspace("MyWorkspace").AuditLogs.
Pour interroger des tables fédérées, sélectionnez Tables système lors du choix des espaces de travail. Pour plus d’informations sur les tables fédérées, consultez Utilisation de tables fédérées dans le lac de données Microsoft Sentinel.
Si vous sélectionnez un seul espace de travail vide ou un espace de travail dans le processus d’intégration, l’explorateur de schémas n’affiche aucune table.
Sélection de l’intervalle de temps
Utilisez le sélecteur de temps au-dessus de l’éditeur de requête pour sélectionner l’intervalle de temps de votre requête. À l’aide de l’option Plage de temps personnalisée , vous pouvez définir une heure de début et de fin spécifique. La durée des intervalles de temps peut atteindre 12 ans.
Importante
Le sélecteur d’intervalle de temps ne fonctionne pas pour les tables fédérées qui n’ont pas de TimeGenerated colonne ou où la TimeGenerated colonne n’est pas au format correct. Lors de l’interrogation de ces tables, spécifiez l’intervalle de temps dans votre requête KQL à l’aide de la colonne appropriée pour le filtrage de l’heure.
Vous pouvez également spécifier un intervalle de temps dans la syntaxe de requête KQL, par exemple :
where TimeGenerated between (datetime(2020-01-01) .. datetime(2020-12-31))where TimeGenerated between(ago(180d)..ago(90d))
Remarque
Les requêtes sont limitées à 500 000 lignes ou à 64 Mo de données et délai d’expiration après 8 minutes. Lorsque vous sélectionnez un intervalle de temps étendu, votre requête peut dépasser ces limites. Envisagez d’utiliser des requêtes asynchrones pour les requêtes longues. Pour plus d’informations, consultez Requêtes asynchrones.
Afficher les informations de schéma
L’explorateur de schémas fournit une liste des tables disponibles et de leurs colonnes pour les espaces de travail sélectionnés, regroupées par catégorie. Les tables système apparaissent dans la catégorie Ressources . Les tables personnalisées avec _CL, _KQL_CL, _SPARKet _SPARK_CL sont regroupées dans la catégorie Journaux personnalisés . Utilisez l’explorateur de schémas pour explorer les données disponibles dans votre lac de données et découvrir des tables et des colonnes. Utilisez la zone de recherche pour rechercher rapidement des tables spécifiques.
Fenêtre de résultat
La fenêtre de résultats affiche les résultats de votre requête. Vous pouvez afficher les résultats dans un format de tableau et exporter les résultats dans un fichier CSV à l’aide du bouton Exporter dans le coin supérieur gauche de la fenêtre de résultats. Activez la visibilité des colonnes vides à l’aide du bouton Afficher les colonnes vides . Le bouton Personnaliser les colonnes vous permet de sélectionner les colonnes à afficher dans la fenêtre de résultats.
Vous pouvez effectuer une recherche dans les résultats à l’aide de la zone de recherche située dans le coin supérieur droit de la fenêtre de résultats.
Requêtes prêtes à l’emploi
L’onglet Requêtes fournit une collection de requêtes KQL prêtes à l’emploi. Ces requêtes couvrent des scénarios et des cas d’usage courants, tels que l’investigation des incidents de sécurité et la chasse aux menaces. Vous pouvez utiliser ces requêtes en l’état ou les modifier en fonction de vos besoins spécifiques.
Sélectionnez une requête dans la liste à l’aide de l’icône ... . Vous pouvez l’ouvrir dans un nouvel onglet de requête pour la modifier ou l’exécuter immédiatement.
Pour plus d’informations sur les exemples de requêtes, consultez Exemples de requêtes KQL pour Microsoft Sentinel lac de données.
Requêtes asynchrones
Vous pouvez exécuter des requêtes de longue durée de façon asynchrone, ce qui vous permet de continuer à travailler pendant que la requête s’exécute sur le serveur. Pour exécuter une requête de manière asynchrone, sélectionnez la flèche vers le bas sur le bouton Exécuter la requête , puis sélectionnez Exécuter une requête asynchrone. Entrez un nom de requête pour identifier votre requête asynchrone. Après avoir envoyé la requête, vous pouvez surveiller son status dans l’onglet Requêtes asynchrones. Une fois la requête terminée, vous pouvez afficher les résultats en sélectionnant le nom de la requête dans la liste.
Si l’exécution d’une requête synchrone prend plus de 2 minutes, une invite s’affiche pour vous demander si vous souhaitez exécuter la requête de manière asynchrone. Sélectionnez Exécuter async pour modifier la requête afin qu’elle s’exécute de manière asynchrone.
Récupérer les résultats d’une requête asynchrone
Pour afficher les résultats de la requête asynchrone, sélectionnez la requête asynchrone terminée sous l’onglet Requêtes asynchrones , puis sélectionnez Extraire les résultats. La requête s’affiche dans les commentaires de l’éditeur de requête et les résultats sont affichés sous l’onglet Résultats.
Les résultats sont stockés pendant 24 heures et sont accessibles plusieurs fois. Vous pouvez exporter les résultats dans un fichier CSV à l’aide du bouton Exporter dans le coin supérieur gauche de la fenêtre de résultats.
Paramètres et limites de service pour les requêtes asynchrones KQL
Le tableau suivant répertorie les paramètres de service et les limites des requêtes asynchrones KQL dans le lac de données Microsoft Sentinel.
| Catégorie | Paramètre/limite |
|---|---|
| Exécution simultanée par locataire (y compris l’exécution du travail) | 3 |
| Délai d’exécution des requêtes asynchrones | 1 heure |
| Durée du cache | 24 heures |
| Nombre de fois où les utilisateurs peuvent extraire les résultats mis en cache | Illimité |
| Étendue de la requête | Plusieurs espaces de travail |
| Intervalle de temps de requête | Jusqu’à 12 ans |
Emplois
Les travaux sont utilisés pour exécuter des requêtes KQL sur les données du niveau data lake et promouvoir les résultats au niveau analytique. Vous pouvez créer des travaux ponctuels ou planifiés, et vous pouvez activer, désactiver, modifier ou supprimer des travaux à partir de la page Travaux . Pour créer un travail basé sur votre requête actuelle, sélectionnez le bouton Créer un travail . Pour plus d’informations sur la création et la gestion des travaux, consultez Créer des travaux dans le lac de données Microsoft Sentinel.
Explorateur de données Azure
Vous pouvez exécuter des requêtes KQL sur le lac de données Microsoft Sentinel à l’aide de Azure Data Explorer (ADX). ADX fournit un moteur de requête puissant et des fonctionnalités d’analytique avancées. Pour vous connecter au lac de données à l’aide d’ADX, créez une connexion à l’aide de l’URI suivant : https://api.securityplatform.microsoft.com/lake/kql
Lorsque vous interrogez des tables dans le lac de données à l’aide d’ADX, vous devez utiliser la external_table() fonction pour accéder aux données. Par exemple :
external_table("AADRiskyUsers")
| take 100
Considérations et limitations relatives aux requêtes
L’interrogation de tables héritées telles qu’AzureDiagnostics n’est pas prise en charge.
Les tables vides n’apparaissent pas dans la vue de schéma, et les requêtes ne sont pas prises en charge tant que la table ne contient pas de données.
Les requêtes sont exécutées sur les espaces de travail que vous avez sélectionnés. Veillez à sélectionner les espaces de travail appropriés avant d’exécuter une requête.
L’exécution de requêtes KQL sur le lac de données Microsoft Sentinel entraîne des frais en fonction des compteurs de facturation des requêtes. Pour plus d’informations, consultez Planifier les coûts et comprendre Microsoft Sentinel tarification et facturation.
Passez en revue la stratégie d’ingestion des données et de rétention des tables. Avant de définir l’intervalle de temps de requête, tenez compte de la conservation des données sur vos tables de lac de données et de la disponibilité des données pour l’intervalle de temps sélectionné. Pour plus d’informations, consultez Gérer les niveaux de données et la rétention dans Microsoft Defender portail.
Les requêtes KQL sur le lac de données sont moins performantes que les requêtes sur le niveau analytique. Utilisez des requêtes KQL sur le lac de données uniquement lors de l’exploration des données historiques ou lorsque les tables sont stockées en mode Lac de données uniquement.
Les commandes de contrôle KQL suivantes sont actuellement prises en charge :
.show version.show databases.show databases entities.show database
Lorsque vous utilisez la
stored_query_resultscommande , fournissez l’intervalle de temps dans la requête KQL. Le sélecteur de temps au-dessus de l’éditeur de requête ne fonctionne pas avec cette commande.L’utilisation de fonctions prêtes à l’emploi ou personnalisées n’est pas prise en charge dans les requêtes KQL sur le lac de données.
L’appel de données externes via une requête KQL sur le lac de données n’est pas pris en charge.
Tous les opérateurs et fonctions KQL sont pris en charge, à l’exception des éléments suivants :
adx()arg()externaldata()ingestion_time()
Il existe une latence de 15 minutes entre le moment où les données sont ingérées dans le lac de données ou les tables fédérées et le moment où elles sont disponibles pour l’interrogation. Cela signifie que les données nouvellement ingérées peuvent ne pas être immédiatement interrogeables.
Paramètres et limites de service pour les requêtes KQL dans le niveau lac
Les limitations de paramètres de service suivantes s’appliquent lors de l’écriture de requêtes dans Microsoft Sentinel lac de données.
| Catégorie | Paramètre/limite |
|---|---|
| Requêtes interactives simultanées | 45 par minute |
| Données des résultats de la requête | 64 Mo |
| Lignes des résultats de la requête | 500 000 lignes |
| Étendue de la requête | Plusieurs espaces de travail |
| Délai d’expiration de la requête | 4 minutes |
| Intervalle de temps interrogeable | Jusqu’à 12 ans, en fonction de la conservation des données. |
Pour résoudre les problèmes liés aux requêtes KQL, consultez Résoudre les problèmes de requêtes KQL dans le lac de données Microsoft Sentinel.
Contenu connexe
- vue d’ensemble du lac de données Microsoft Sentinel
- Intégration à Microsoft Sentinel lac de données
- Créer des travaux dans le lac de données Microsoft Sentinel
- Gérer les travaux dans le lac de données Microsoft Sentinel
- Résoudre les problèmes liés aux requêtes KQL dans le lac de données Microsoft Sentinel.