26、云安全查询探索与 KQL 实战指南

云安全查询探索与 KQL 实战指南

在云安全领域，有效识别和应对潜在威胁至关重要。借助查询探索器和 KQL（Kusto 查询语言），我们能够更高效地完成这一任务。下面将详细介绍相关内容。

1. 内置查询模板探索

查询模板由预格式化的搜索组成，采用常用的过滤器。你可以通过以下操作选择查询模板：
- 打开页面底部的可用查询模板，选择“Open query”。
- 若需搜索特定结果，可修改查询并选择“Search”。

以下是一些内置查询模板及其功能：
| 查询模板 | 功能 |
| — | — |
| Internet - exposed VMs | 返回云环境中所有暴露于互联网的虚拟机 |
| Internet - exposed VMs with high severity vulnerabilities | 返回所有暴露于互联网且具有高严重性漏洞的虚拟机 |
| Internet - exposed SQL servers with managed identity | 返回所有分配了托管标识且暴露于互联网的 SQL 服务器 |
| Key Vault keys and secrets without any expiration period | 返回所有未设置密钥或机密过期时间的 Azure 密钥保管库 |
| User accounts without MFA and with permissions to storage accounts | 返回所有未启用 MFA 且对存储账户有权限的用户账户 |
| Kubernetes Pods running images with