Verwenden von benutzerdefinierten Funktionen
Gilt für:
- Microsoft Defender XDR
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Funktionstypen
Eine Funktion ist ein Abfragetyp in der erweiterten Suche, der in anderen Abfragen verwendet werden kann, als ob es sich um einen Befehl handelt. Sie können ihre eigenen benutzerdefinierten Funktionen erstellen, damit Sie jede beliebige Abfragelogik wiederverwenden können, wenn Sie in Ihrer Umgebung suchen.
Bei der erweiterten Suche gibt es drei verschiedene Arten von Funktionen:
- Integrierte Funktionen: Vordefinierte Funktionen, die in Microsoft Defender XDR erweiterten Hunting enthalten sind. Diese sind in allen Instanzen der erweiterten Suche verfügbar und können nicht geändert werden.
- Freigegebene Funktionen : Von Benutzern erstellte benutzerdefinierte Funktionen, die für alle Benutzer in einem bestimmten Mandanten verfügbar sind und von Benutzern geändert und gesteuert werden können.
- Meine Funktionen : Von einem Benutzer erstellte benutzerdefinierte Funktionen, die nur von dem Benutzer, der sie erstellt hat, angezeigt und geändert werden können.
Schreiben Einer eigenen benutzerdefinierten Funktion
Um eine Funktion aus der aktuellen Abfrage im Editor zu erstellen, wählen Sie Speichern und dann Funktion speichern aus.
Geben Sie als Nächstes die folgenden Informationen an:
Name : Name der Funktion. Darf nur Zahlen, englische Buchstaben und Unterstriche enthalten. Um die versehentliche Verwendung von Kusto-Schlüsselwörtern zu vermeiden, beginnen oder enden Funktionsnamen mit einem Unterstrich oder beginnen sie mit einem Großbuchstaben.
Speicherort : Der Ordner, in dem Sie die Funktion speichern möchten, entweder freigegeben oder privat.
Beschreibung : Eine Beschreibung, die anderen Benutzern helfen kann, den Zweck der Funktion und deren Funktionsweise zu verstehen.
Parameter : Fügen Sie einen Parameter für jede Variable in der Funktion hinzu, die einen Wert erfordert, wenn sie verwendet wird. Fügen Sie einer Funktion Parameter hinzu, damit Sie beim Aufrufen der Funktion die Argumente oder Werte für bestimmte Variablen angeben können. Dadurch kann dieselbe Funktion in verschiedenen Abfragen verwendet werden, wobei jeweils unterschiedliche Werte für die Parameter zulässig sind. Parameter werden durch die folgenden Eigenschaften definiert:
- Typ : Datentyp für den Wert
- Name : Der Name, der in der Abfrage verwendet werden muss, um den Parameterwert zu ersetzen.
- Standardwert : Wert, der für den Parameter verwendet werden soll, wenn kein Wert angegeben wird
Parameter werden in der Reihenfolge aufgeführt, in der sie erstellt wurden, wobei Parameter ohne Standardwert oberhalb der Parameter mit einem Standardwert aufgeführt sind.
Verwenden einer benutzerdefinierten Funktion
Verwenden Sie eine Funktion in einer Abfrage, indem Sie ihren Namen zusammen mit Werten für jeden Parameter eingeben, genau wie Sie einen Befehl eingeben würden. Die Ausgabe der Funktion kann entweder als Ergebnisse zurückgegeben oder an einen anderen Befehl weitergeleitet werden.
Fügen Sie der aktuellen Abfrage eine Funktion hinzu, indem Sie auf ihren Namen doppelklicken oder die drei Punkte rechts neben der Funktion auswählen und Im Abfrage-Editor öffnen auswählen.
Wenn eine Abfrage Argumente erfordert, geben Sie diese mithilfe der folgenden Syntax an: function_name(Parameter 1, Parameter 2, ...)
Hinweis
Funktionen können nicht innerhalb einer anderen Funktion verwendet werden.
Arbeiten mit Funktionscodes
Sie können den Code einer Funktion anzeigen, um einen Einblick in die Funktionsweise zu erhalten oder ihren Code zu ändern. Wählen Sie die drei Punkte rechts neben der Funktion und dann Funktionscode laden aus, um eine neue Registerkarte mit dem Funktionscode zu öffnen.
Bearbeiten einer benutzerdefinierten Funktion
Bearbeiten Sie die Eigenschaften einer Funktion, indem Sie die drei Punkte rechts neben der Funktion und dann Details bearbeiten auswählen. Nehmen Sie alle gewünschten Änderungen an den Eigenschaften und Parametern der Funktion vor, und wählen Sie dann Speichern aus.
Wenn der Funktionscode bereits in den Editor geladen wurde, können Sie auch Speichern auswählen, um änderungen am Code oder den Eigenschaften der Funktion anzuwenden.
Hinweis
Sobald eine Funktion in einer gespeicherten Abfrage oder Erkennungsregel verwendet wird, können Sie die Funktion nicht mehr bearbeiten, um ihren Bereich zu erweitern. Wenn Sie z. B. eine Funktion gespeichert haben, die Identitätstabellen abfragt, und diese Funktion in einer Erkennungsregel verwendet wird, können Sie die Funktion nicht so bearbeiten, dass sie nach der Tatsache eine Gerätetabelle einschließt. Dazu können Sie eine neue Funktion speichern. Die Produktbereichsdefinition kann für dieselbe Funktion eingeschränkt, aber nicht erweitert werden.
Löschen einer benutzerdefinierten Funktion
Sie können Funktionen aus Meine Funktionen und Funktionen löschen, die Sie in Freigegebene Funktionen erstellt haben. Sie können Funktionen, die Sie nicht erstellt haben, nur löschen, wenn Sie über Berechtigungen zum Verwalten von Sicherheitsdaten verfügen.
Um eine Funktion zu löschen, wählen Sie die drei Punkte rechts neben der Funktion und dann Löschen aus.
Siehe auch
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Grundlegendes zum Schema
- Weitere Abfragebeispiele abrufen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für