استخدام دالات مخصصة

ينطبق على:

• Microsoft Defender XDR

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

أنواع الدالات

الدالة هي نوع من الاستعلام في التتبع المتقدم الذي يمكن استخدامه في استعلامات أخرى كما لو كان أمرا. يمكنك إنشاء وظائف مخصصة خاصة بك حتى تتمكن من إعادة استخدام أي منطق استعلام عند البحث في بيئتك.

هناك ثلاثة أنواع مختلفة من الوظائف في التتبع المتقدم:

• الدوال المضمنة - الوظائف التي تم إنشاؤها مسبقا المضمنة مع Microsoft Defender XDR التتبع المتقدم. تتوفر هذه في جميع مثيلات التتبع المتقدمة ولا يمكن تعديلها.
• الوظائف المشتركة - الوظائف المخصصة التي أنشأها المستخدمون، والتي تتوفر لجميع المستخدمين في مستأجر معين ويمكن تعديلها والتحكم فيها من قبل المستخدمين.
• الدالات الخاصة بي - الوظائف المخصصة التي أنشأها المستخدم، والتي يمكن عرضها وتعديلها فقط من قبل المستخدم الذي أنشأها.

كتابة الدالة المخصصة الخاصة بك

لإنشاء دالة من الاستعلام الحالي في المحرر، حدد حفظ ثم حفظ كدالة.

بعد ذلك، قم بتوفير المعلومات التالية:

• الاسم - اسم الدالة. يمكن أن يحتوي على أرقام وأحرف إنجليزية وتسطير أسفل السطر فقط. لتجنب استخدام الكلمات الأساسية Kusto عن طريق الخطأ، ابدأ أو أنه أسماء الدالات مع تسطير سفلي أو ابدأ بحرف كبير.

• الموقع - المجلد الذي ترغب في حفظ الدالة فيه، إما مشترك أو خاص.

• الوصف - وصف يمكن أن يساعد المستخدمين الآخرين على فهم الغرض من الوظيفة وكيفية عملها.

• المعلمات - أضف معلمة لكل متغير في الدالة التي تتطلب قيمة عند استخدامها. أضف معلمات إلى دالة بحيث يمكنك توفير الوسيطات أو القيم لمتغيرات معينة عند استدعاء الدالة. يسمح هذا باستخدام نفس الدالة في استعلامات مختلفة، كل منها يسمح بقيم مختلفة للمعلمات. يتم تعريف المعلمات بواسطة الخصائص التالية:

  • النوع - نوع البيانات للقيمة
  • الاسم - الاسم الذي يجب استخدامه في الاستعلام لاستبدال قيمة المعلمة
  • القيمة الافتراضية - القيمة التي سيتم استخدامها للمعلمة إذا لم يتم توفير قيمة

  يتم سرد المعلمات بالترتيب الذي تم إنشاؤها به، مع معلمات لا تحتوي على قيمة افتراضية مدرجة فوق تلك التي لها قيمة افتراضية.

استخدام دالة مخصصة

استخدم دالة في استعلام بكتابة اسمها جنبا إلى جنب مع قيم أي معلمة تماما كما تكتب في أمر. يمكن إرجاع إخراج الدالة إما كنتائج أو توجيهها إلى أمر آخر.

أضف دالة إلى الاستعلام الحالي بالنقر نقرا مزدوجا فوق اسمها أو تحديد النقاط الثلاث إلى يمين الدالة وتحديد فتح في محرر الاستعلام.

إذا كان الاستعلام يتطلب وسيطات، فوفرها باستخدام بناء الجملة التالي: function_name(المعلمة 1، المعلمة 2، ...)

ملاحظة

لا يمكن استخدام الدالات داخل دالة أخرى.

العمل مع التعليمات البرمجية للدالة

يمكنك عرض التعليمات البرمجية للدالة إما للحصول على نظرة ثاقبة حول كيفية عملها أو لتعديل التعليمات البرمجية الخاصة بها. حدد النقاط الثلاث الموجودة على يمين الدالة وحدد تحميل التعليمات البرمجية للدالة لفتح علامة تبويب جديدة باستخدام التعليمات البرمجية للدالة.

تحرير دالة مخصصة

قم بتحرير خصائص الدالة عن طريق تحديد النقاط الثلاث على يمين الدالة وتحديد Edit details. قم بإجراء أي تعديلات تريدها على خصائص الدالة ومعلماتها ثم حدد حفظ.

إذا تم تحميل التعليمات البرمجية للدالة بالفعل إلى المحرر، يمكنك أيضا تحديد حفظ لتطبيق أي تغييرات على التعليمات البرمجية أو خصائص الدالة.

ملاحظة

بمجرد استخدام دالة في استعلام محفوظ أو قاعدة اكتشاف، لا يمكنك تحرير الدالة لتوسيع نطاقها. على سبيل المثال، إذا قمت بحفظ دالة تستعلم عن جداول الهوية، وتم استخدام هذه الدالة في قاعدة الكشف، فلا يمكنك تحرير الدالة لتضمين جدول جهاز بعد الحقيقة. للقيام بذلك، يمكنك حفظ دالة جديدة. يمكن تضييق نطاق المنتج لنفس الوظيفة ولكن لا يمكن توسيعه.

حذف دالة مخصصة

يمكنك حذف الدالات من الدالات والدالات التي أنشأتها في الوظائف المشتركة. لا يمكنك حذف الدالات التي لم تقم بإنشائها، إلا إذا كان لديك أذونات إدارة بيانات الأمان.

لحذف دالة، حدد النقاط الثلاث الموجودة على يمين الدالة وحدد Delete.

راجع أيضًا

• نظرة عامة متقدمة حول الصيد
• التعرّف على لغة الاستعلام
• فهم المخطط
• الحصول على مزيد من أمثلة الاستعلام

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.