Запросы

Для поиска событий в Yandex Cloud Detection and Response используется подмножество языка запросов KQL (Kusto Query Language). KQL позволяет фильтровать, агрегировать и анализировать события безопасности за последние 90 дней.

Синтаксис KQLСинтаксис KQL

KQL-запрос состоит из следующих компонентов:

• Источник данных — таблицы событий, например Events.
• Операторы фильтрации — where для отбора событий по условиям.
• Операторы агрегации — summarize для подсчета и группировки.
• Операторы сортировки — sort для упорядочивания результатов.

Подробнее о синтаксисе используемого подмножества KQL см. Справочник KQL.

Пример запроса:

Events
| project event_class, ['time']
| limit 1

Этот запрос выбирает события из таблицы Events, отображает поля event_class и time, ограничивает результат одной записью.

История запросовИстория запросов

Для каждого запроса сохраняется история выполнения. История содержит:

• дату и время запуска;
• текст запроса;
• временной период;
• статус выполнения;
• количество результатов.

Из истории можно:

• повторно запустить запрос с теми же параметрами;
• скопировать текст запроса для редактирования;
• поделиться ссылкой на запрос с коллегами.

Оптимизация запросовОптимизация запросов

Для эффективной работы с запросами рекомендуется:

• Использовать фильтры — ограничивайте выборку данных условиями where для ускорения выполнения.
• Выбирать оптимальный временной период — не запрашивайте данные за больший период, чем необходимо.
• Агрегировать данные — используйте операторы summarize для группировки и подсчета вместо вывода всех событий.
• Ограничивать результаты — используйте оператор limit для ограничения количества возвращаемых строк.

См. такжеСм. также

• Расследования.
• Работа с запросами.
• Как начать работать с расследованиями.
• Справочник KQL.