Sdílet prostřednictvím


Použití vlastních funkcí

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Typy funkcí

Funkce je typ dotazu v rozšířeném proaktivním vyhledávání, který lze použít v jiných dotazech, jako by se jedná o příkaz. Můžete vytvořit vlastní funkce, abyste při vyhledávání ve svém prostředí mohli opakovaně používat libovolnou logiku dotazu.

V rozšířeném proaktivním vyhledávání existují tři různé typy funkcí:

Typy funkcí

  • Předdefinované funkce – předem připravené funkce, které jsou součástí Microsoft Defender XDR rozšířeného proaktivního vyhledávání. Ty jsou dostupné ve všech instancích rozšířeného proaktivního vyhledávání a nedají se upravovat.
  • Sdílené funkce – vlastní funkce vytvořené uživateli, které jsou dostupné pro všechny uživatele v konkrétním tenantovi a můžou je upravovat a řídit uživatelé.
  • Moje funkce – vlastní funkce vytvořené uživatelem, které může zobrazit a upravit pouze uživatel, který je vytvořil.

Vytvoření vlastní funkce

Pokud chcete vytvořit funkci z aktuálního dotazu v editoru, vyberte Uložit a pak uložit jako funkci.

Uložit jako funkci

Dále zadejte následující informace:

  • Název – název funkce. Může obsahovat pouze čísla, anglická písmena a podtržítka. Pokud se chcete vyhnout náhodnému použití klíčových slov Kusto, začněte nebo ukončujte názvy funkcí podtržítkem nebo velkým písmenem.

  • Umístění – složka, do které chcete funkci uložit, sdílená nebo soukromá.

  • Popis – popis, který může ostatním uživatelům pomoct pochopit účel funkce a způsob, jakým funguje.

  • Parametry – přidejte parametr pro každou proměnnou ve funkci, která při použití vyžaduje hodnotu. Přidejte do funkce parametry, abyste mohli při volání funkce zadat argumenty nebo hodnoty pro určité proměnné. To umožňuje použít stejnou funkci v různých dotazech, přičemž každý z nich umožňuje používat jiné hodnoty parametrů. Parametry jsou definovány následujícími vlastnostmi:

    • Type – datový typ pro hodnotu
    • Name – název, který se musí v dotazu použít k nahrazení hodnoty parametru.
    • Výchozí hodnota – hodnota, která se použije pro parametr, pokud není hodnota zadaná.

    Parametry jsou uvedené v pořadí, v jakém byly vytvořeny, a parametry, které nemají žádnou výchozí hodnotu, jsou uvedené výše a mají výchozí hodnotu.

Dialogové okno Uložit jako funkci

Použití vlastní funkce

Funkci v dotazu můžete použít tak, že zadáte její název spolu s hodnotami pro libovolný parametr stejně, jako byste zadali v příkazu. Výstup funkce může být vrácen jako výsledky nebo předaný do jiného příkazu.

Přidejte funkci k aktuálnímu dotazu tak, že dvakrát kliknete na její název nebo vyberete tři tečky napravo od funkce a vyberete Otevřít v editoru dotazů.

Pokud dotaz vyžaduje argumenty, zadejte je pomocí následující syntaxe: function_name(parametr 1, parametr 2, ...)

Otevřít v editoru dotazů

Poznámka

Funkce se nedají použít v rámci jiné funkce.

Práce s kódy funkcí

Kód funkce si můžete prohlédnout, abyste získali přehled o tom, jak funguje, nebo abyste mohli upravit její kód. Vyberte tři tečky napravo od funkce a výběrem možnosti Načíst kód funkce otevřete novou kartu s kódem funkce.

Načtení kódu funkce

Úprava vlastní funkce

Vlastnosti funkce můžete upravit tak, že vyberete tři tečky napravo od funkce a vyberete Upravit podrobnosti. Proveďte požadované změny vlastností a parametrů funkce a pak vyberte Uložit.

Upravit kód funkce

Pokud je kód funkce už načtený do editoru, můžete také vybrat Uložit a použít všechny změny kódu nebo vlastností funkce.

Poznámka

Jakmile se funkce používá v uloženém dotazu nebo pravidle detekce, nemůžete ji upravit a rozšířit tak její rozsah. Pokud jste například uložili funkci, která se dotazuje na tabulky identit, a tato funkce se používá v pravidle detekce, nemůžete funkci upravit tak, aby zahrnovala tabulku zařízení za faktem. Uděláte to tak, že uložíte novou funkci. Rozsah produktu se dá zúžit pro stejnou funkci, ale ne rozšířit.

Odstranění vlastní funkce

Funkce můžete odstranit v části Moje funkce a funkce, které jste vytvořili v části Sdílené funkce. Funkce, které jste nevytvořili, nemůžete odstranit, pokud nemáte oprávnění ke správě dat zabezpečení.

Pokud chcete odstranit funkci, vyberte tři tečky napravo od funkce a vyberte Odstranit.

Snímek obrazovky, který ukazuje, jak odstranit vlastní funkci

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.