Brug brugerdefinerede funktioner
Gælder for:
- Microsoft Defender XDR
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Typer af funktioner
En funktion er en type forespørgsel i avanceret jagt, der kan bruges i andre forespørgsler, som om det er en kommando. Du kan oprette dine egne brugerdefinerede funktioner, så du kan genbruge enhver forespørgselslogik, når du jagter i dit miljø.
Der er tre forskellige typer funktioner i avanceret jagt:
- Indbyggede funktioner – færdigbyggede funktioner inkluderet i Microsoft Defender XDR avanceret jagt. Disse er tilgængelige i alle avancerede jagtforekomster og kan ikke ændres.
- Delte funktioner – brugerdefinerede funktioner, der er oprettet af brugere, som er tilgængelige for alle brugere i en bestemt lejer og kan ændres og styres af brugere.
- Mine funktioner – brugerdefinerede funktioner, der er oprettet af en bruger, og som kun kan ses og redigeres af den bruger, der oprettede den.
Skriv din egen brugerdefinerede funktion
Hvis du vil oprette en funktion ud fra den aktuelle forespørgsel i editoren, skal du vælge Gem og derefter Gem som funktion.
Angiv derefter følgende oplysninger:
Name – Navnet på funktionen. Kan kun indeholde tal, engelske bogstaver og understregningstegn. Hvis du vil undgå at bruge Kusto-nøgleord ved et uheld, skal du starte eller afslutte funktionsnavne med et understregningstegn eller begynde med stort.
Location – Den mappe, hvor du vil gemme funktionen, enten delt eller privat.
Description – En beskrivelse, der kan hjælpe andre brugere med at forstå formålet med funktionen, og hvordan den fungerer.
Parameters – Tilføj en parameter for hver variabel i funktionen, der kræver en værdi, når den bruges. Føj parametre til en funktion, så du kan angive argumenterne eller værdierne for visse variabler, når du kalder funktionen. Dette gør det muligt at bruge den samme funktion i forskellige forespørgsler, der hver især tillader forskellige værdier for parametrene. Parametre defineres af følgende egenskaber:
- Type – Datatype for værdien
- Name – Det navn, der skal bruges i forespørgslen til at erstatte parameterværdien
- Standardværdi – Værdi, der skal bruges til parameteren, hvis der ikke er angivet en værdi
Parametre er angivet i den rækkefølge, de blev oprettet, med parametre, der ikke har nogen standardværdi angivet over dem, der har en standardværdi.
Brug en brugerdefineret funktion
Brug en funktion i en forespørgsel ved at skrive dens navn sammen med værdier for en hvilken som helst parameter på samme måde, som du ville skrive i en kommando. Outputtet af funktionen kan enten returneres som resultater eller sendes til en anden kommando.
Føj en funktion til den aktuelle forespørgsel ved at dobbeltklikke på dens navn eller vælge de tre prikker til højre for funktionen og vælge Åbn i forespørgselseditor.
Hvis en forespørgsel kræver argumenter, skal du angive dem ved hjælp af følgende syntaks: function_name(parameter 1, parameter 2, ...)
Bemærk!
Funktioner kan ikke bruges i en anden funktion.
Arbejd med funktionskoder
Du kan få vist koden for en funktion enten for at få indsigt i, hvordan den fungerer, eller for at ændre dens kode. Vælg de tre prikker til højre for funktionen, og vælg Indlæs funktionskode for at åbne en ny fane med funktionskoden.
Rediger en brugerdefineret funktion
Rediger egenskaberne for en funktion ved at vælge de tre prikker til højre for funktionen og vælge Rediger detaljer. Foretag eventuelle ændringer af egenskaberne og parametrene for funktionen, og vælg derefter Gem.
Hvis funktionskoden allerede er indlæst i editoren, kan du også vælge Gem for at anvende eventuelle ændringer af funktionens kode eller egenskaber.
Bemærk!
Når en funktion er i brug i en gemt forespørgsel eller en registreringsregel, kan du ikke redigere funktionen for at udvide dens omfang. Hvis du f.eks. har gemt en funktion, der forespørger identitetstabeller, og denne funktion bruges i en registreringsregel, kan du ikke redigere funktionen for at inkludere en enhedstabel efter fakta. Det gør du ved at gemme en ny funktion. Produktudsgrænsning kan indsnævres for den samme funktion, men ikke udvides.
Slet en brugerdefineret funktion
Du kan slette funktioner fra Mine funktioner og funktioner, du har oprettet i Delte funktioner. Du kan ikke slette funktioner, som du ikke har oprettet, medmindre du har tilladelser til at administrere sikkerhedsdata.
Hvis du vil slette en funktion, skal du vælge de tre prikker til højre for funktionen og vælge Slet.
Se også
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Forstå skemaet
- Få flere eksempler på forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.