다음을 통해 공유

Microsoft Sentinel 데이터 레이크에서 KQL 작업 관리

KQL 작업은 데이터 레이크 계층의 데이터에 대해 KQL(Kusto Query Language) 쿼리를 실행하여 결과를 분석 계층으로 승격하는 일회성 또는 예약된 작업입니다. 작업은 KQL 쿼리 편집기에서 또는 Microsoft Defender 포털의 Microsoft Sentinel> 아래의 작업 페이지에서 만들 수 있습니다. 자세한 내용은 KQL 작업을 참조하세요.

작업 관리 페이지에서는 다음 함수를 제공합니다.

  • Microsoft Sentinel 데이터 레이크의 모든 작업을 봅니다. KQL 쿼리 편집기에서 만든 작업 또는 Notebook용으로 만든 작업을 볼 수 있습니다.
  • KQL 및 Notebook 작업의 요약을 봅니다.
  • 모든 작업의 세부 정보를 보고 필터를 적용하여 목록의 범위를 좁힐 수 있습니다.
  • 최근 작업 상태 문제를 확인합니다.
  • KQL 쿼리를 실행하는 새 작업을 만듭니다. 작업 만들기에 대한 자세한 내용은 KQL을 사용하여 Microsoft Sentinel 데이터 레이크에서 작업 만들기를 참조하세요.
  • 작업 세부 정보를 편집합니다. 작업 페이지에서 전자 필기장 작업을 볼 수는 있지만 편집할 수는 없습니다. 전자 필기장 작업 편집에 대한 자세한 내용은 Notebook Notebook을 참조하세요.
  • 작업을 사용하지 않도록 설정하여 다시 사용하도록 설정할 때까지 작업이 실행되지 않도록 합니다.
  • 작업을 다시 실행할 수 있도록 사용하지 않던 작업을 사용 가능하게 설정합니다.
  • 실행 시간 및 작업의 상태를 포함하여 작업 기록을 봅니다.
  • 작업을 삭제하고 작업 목록에서 제거합니다. 이 작업은 영구적이며 실행 취소할 수 없습니다.

권한

Microsoft Entra ID 역할은 데이터 레이크의 모든 작업 영역에서 광범위한 액세스를 제공합니다. 모든 작업 영역에서 테이블을 읽고, 분석 계층에 쓰고, KQL 쿼리를 사용하여 작업을 예약하려면 지원되는 Microsoft Entra ID 역할 중 하나가 있어야 합니다. 역할 및 권한에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크 역할 및 사용 권한을 참조하세요.

작업 관리

작업 페이지에는 작업 이름, 상태, 작업 유형, 마지막 및 다음 실행 날짜 및 최근 작업 상태를 포함한 작업 목록이 표시됩니다. 상태, 마지막 실행 날짜 및 생성 날짜를 기준으로 작업을 필터링할 수 있습니다. 작업 상태 열은 작업이 사용 가능하거나 불가능한지를 나타냅니다. 작업 유형 열은 작업이 KQL 쿼리 작업인지 Notebook 작업인지를 나타냅니다. Defender 포털의 작업 페이지를 보여 주는 스크린샷.

최근 상태 문제 열은 필터에 따라 최근 실행에서 작업이 문제가 발생했는지 여부를 보여 줍니다. 링크를 선택하여 작업의 상태 세부 정보를 봅니다.

최근 상태 문제 패널을 보여 주는 스크린샷

작업 페이지에서 작업을 만들려면 새 KQL 작업 만들기를 선택합니다. 작업 만들기에 대한 자세한 내용은 KQL을 사용하여 Microsoft Sentinel 데이터 레이크에서 작업 만들기를 참조하세요.

작업 세부 정보

작업의 세부 정보를 보려면 테이블에서 작업을 선택합니다. 작업 세부 정보 패널이 열리고 작업의 세부 정보가 표시됩니다. 작업을 사용하거나 사용하지 않도록 설정하거나, 해당 기록을 보고, 편집하거나 삭제할 수 있습니다. 대상 테이블 링크를 선택하여 고급 헌팅의 KQL 쿼리 편집기에서 테이블을 엽니다.
쿼리 복사를 선택하여 쿼리를 복사할 수 있습니다.

작업 세부 정보 페이지를 보여 주는 스크린샷.

작업 편집

작업을 편집하려면 작업 세부 정보 패널에서 편집 을 선택합니다. 작업 세부 정보 패널이 열리면 다음 필드를 편집할 수 있습니다.

  • 작업 설명입니다.
  • KQL 쿼리입니다. 쿼리는 업데이트할 수 있지만 원래 쿼리와 동일한 출력 스키마를 반환해야 합니다. 예를 들어 쿼리의 시간 범위를 변경할 수 있지만 쿼리에서 반환된 열은 변경할 수 없습니다.
  • 작업 일정. 작업을 한 번 또는 일정에 따라 실행하도록 변경하거나 일정을 변경할 수 있습니다.

다음을 선택하여 다음 화면으로 계속 진행합니다.

작업을 편집한 후 [제출 ]을 선택하여 변경 내용을 저장합니다. 작업이 업데이트되고 새 일정 또는 쿼리에 따라 실행됩니다.

비고

일회성 작업을 편집할 경우 즉시 실행이 트리거됩니다.

작업의 실행 기록 보기

작업 기록을 보려면 작업 세부 정보 패널에서 기록 보기를 선택합니다. 작업 실행 시간 및 상태 목록을 보여 주는 작업 기록 패널이 열립니다. 행 수는 분석 계층에서 대상 테이블로 전송되는 행 수를 반영합니다.

작업 기록 패널을 보여 주는 스크린샷.

작업 활성화 또는 비활성화

작업을 사용하거나 사용하지 않도록 설정하려면 작업 세부 정보 패널에서 사용 또는 사용 안 함을 선택합니다. 작업을 사용하지 않도록 설정하면 다시 사용하도록 설정할 때까지 작업이 실행되지 않습니다. 작업 상태가 사용 또는 사용 안 함 여부를 반영하도록 변경됩니다.

작업 삭제

작업을 삭제하려면 작업 세부 정보 패널에서 삭제 를 선택합니다. 삭제를 확인하라는 확인 대화 상자가 나타납니다. 확인하면 작업이 영구적으로 삭제되고 복구할 수 없습니다. 실행 중인 작업은 삭제할 수 없습니다.

고려사항 및 제한사항

Microsoft Sentinel 데이터 레이크에서 KQL 작업을 관리할 때의 고려 사항 및 제한 사항에 대한 자세한 내용은 KQL 작업을 참조하세요.

다음 단계