Freigeben über

Verwenden von benutzerdefinierten Funktionen

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Gilt für:

  • Microsoft Defender XDR

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Funktionstypen

Eine Funktion ist ein Abfragetyp in der erweiterten Suche, den Sie in anderen Abfragen verwenden können, als ob es sich um einen Befehl handelt. Sie können ihre eigenen benutzerdefinierten Funktionen erstellen, damit Sie jede beliebige Abfragelogik wiederverwenden können, wenn Sie in Ihrer Umgebung suchen.

Bei der erweiterten Suche gibt es drei verschiedene Arten von Funktionen:

Funktionstypen

  • Integrierte Funktionen: Vordefinierte Funktionen, die in Microsoft Defender XDR erweiterten Hunting enthalten sind. Diese Funktionen sind in allen Instanzen der erweiterten Suche verfügbar und können nicht geändert werden.
  • Freigegebene Funktionen : Benutzerdefinierte Funktionen, die Benutzer erstellen. Alle Benutzer in einem bestimmten Mandanten können auf diese Funktionen zugreifen. Benutzer können diese Funktionen ändern und steuern.
  • Meine Funktionen : Benutzerdefinierte Funktionen, die ein Benutzer erstellt. Nur der Benutzer, der diese Funktionen erstellt hat, kann sie anzeigen und ändern.

Schreiben Einer eigenen benutzerdefinierten Funktion

So erstellen Sie eine Funktion aus der aktuellen Abfrage im Editor:

  1. Wählen Sie Speichern und dann Die Funktion Speichern aus. Speichern unter-Funktion

  2. Geben Sie im Flyoutbereich Funktion speichern unter die folgenden Informationen an:

    • Name : Name der Funktion. Darf nur Zahlen, englische Buchstaben und Unterstriche enthalten. Um die versehentliche Verwendung von Kusto-Schlüsselwörtern zu vermeiden, beginnen oder enden Funktionsnamen mit einem Unterstrich oder beginnen sie mit einem Großbuchstaben.
    • Speicherort : Der Ordner, in dem Sie die Funktion speichern möchten, entweder freigegeben oder privat.
    • Beschreibung : Eine Beschreibung, die anderen Benutzern hilft, den Zweck der Funktion und deren Funktionsweise zu verstehen.
    • Parameter : Fügen Sie einen Parameter für jede Variable in der Funktion hinzu, die einen Wert erfordert, wenn sie verwendet wird. Weitere Informationen finden Sie unter Hinzufügen von Parametern zu Ihrer benutzerdefinierten Funktion.

    Dialogfeld

  3. Klicken Sie auf Speichern.

Hinzufügen von Parametern zu Ihrer benutzerdefinierten Funktion

Sie können einer Funktion Parameter hinzufügen, sodass Sie beim Aufrufen der Funktion die Argumente oder Werte für bestimmte Variablen angeben können. Dieses Feature ermöglicht die Verwendung derselben Funktion in verschiedenen Abfragen mit jeweils unterschiedlichen Werten für die Parameter.

Wenn Sie beim Speichern Ihrer benutzerdefinierten Funktion Parameter hinzufügen möchten, wählen Sie Parameter hinzufügen aus, und geben Sie dann die folgenden Eigenschaften ein:

  • Typ : Datentyp für den Wert
  • Name : Der Name, der in der Abfrage verwendet werden muss, um den Parameterwert zu ersetzen.
  • Standardwert : Wert, der für den Parameter verwendet werden soll, wenn Sie keinen Wert angeben

Parameter werden in der Reihenfolge aufgeführt, in der Sie sie erstellen, wobei Parameter ohne Standardwert vor denen aufgeführt sind, die einen Standardwert aufweisen.

Erstellen von benutzerdefinierten Funktionen mit tabellarischen Parametern

Erstellen Sie benutzerdefinierte Funktionen, die tabellarische Parameter verwenden. Mit tabellarischen Parametern können Sie ganze Tabellen als Eingaben übergeben. Mit diesem Ansatz können Sie eine modularere, wiederverwendbare und aussagekräftigere Logik für Ihre Huntingabfragen erstellen. Diese Funktion ist besonders nützlich für komplexe Hunting-Szenarien, die strukturierte Dateneingaben erfordern.

So erstellen Sie tabellarische Parameter für Ihre benutzerdefinierte Funktion:

  1. Wählen Sie Parameter hinzufügen und dann Tabelle als Typ aus.
  2. Geben Sie einen Namen und standardwert für die Tabelle ein.
  3. Ordnen Sie jede Spalte, auf die ihre Abfrage verweist, auf die Tabelle zu. Wählen Sie Spalte hinzufügen aus, und geben Sie dann die Eigenschaften der Spalte ein.

Tabellenparameter in benutzerdefinierten Funktionen

Hinweis

  • Sie können eine Funktion mit mehr als einer Tabelle speichern.
  • Wenn Ihre Abfrage auf keine Spalten im Table-Parameter verweist, können Sie die Funktion trotzdem speichern und ausführen, ohne Spalten zuzuordnen.
  • Sie können tabellarische und skalare Parameter in derselben Funktion festlegen.

Verwenden einer benutzerdefinierten Funktion

Verwenden Sie eine Funktion in einer Abfrage, indem Sie ihren Namen zusammen mit Werten für jeden Parameter eingeben, genau wie Sie einen Befehl eingeben würden. Die Ausgabe der Funktion kann entweder als Ergebnisse zurückgegeben oder an einen anderen Befehl weitergeleitet werden.

Fügen Sie der aktuellen Abfrage eine Funktion hinzu, indem Sie auf ihren Namen doppelklicken oder die drei Punkte rechts neben der Funktion auswählen und Im Abfrage-Editor öffnen auswählen.

Wenn eine Abfrage Argumente erfordert, geben Sie diese mithilfe der folgenden Syntax an: function_name(Parameter 1, Parameter 2, ...)

Im Abfrage-Editor öffnen

Hinweis

Sie können keine Funktionen innerhalb einer anderen Funktion verwenden.

Arbeiten mit Funktionscodes

Sie können den Code einer Funktion anzeigen, um die Funktionsweise zu verstehen oder ihren Code zu ändern. Wählen Sie die drei Punkte rechts neben der Funktion und dann Funktionscode laden aus, um eine neue Registerkarte mit dem Funktionscode zu öffnen.

Laden von Funktionscode

Bearbeiten einer benutzerdefinierten Funktion

Bearbeiten Sie die Eigenschaften einer Funktion, indem Sie die drei Punkte rechts neben der Funktion und dann Details bearbeiten auswählen. Nehmen Sie alle gewünschten Änderungen an den Eigenschaften und Parametern der Funktion vor, und wählen Sie dann Speichern aus.

Bearbeiten von Funktionscode

Wenn der Funktionscode bereits im Editor geladen ist, können Sie auch Speichern auswählen, um Änderungen am Code oder den Eigenschaften der Funktion anzuwenden.

Hinweis

Sobald eine Funktion in einer gespeicherten Abfrage oder Erkennungsregel verwendet wird, können Sie die Funktion nicht mehr bearbeiten, um ihren Bereich zu erweitern. Wenn Sie z. B. eine Funktion gespeichert haben, die Identitätstabellen abfragt, und diese Funktion in einer Erkennungsregel verwendet wird, können Sie die Funktion nicht so bearbeiten, dass sie nach der Tatsache eine Gerätetabelle einschließt. Dazu können Sie eine neue Funktion speichern. Die Produktbereichsdefinition kann für dieselbe Funktion eingeschränkt, aber nicht erweitert werden.

Löschen einer benutzerdefinierten Funktion

Sie können Funktionen aus Meine Funktionen und Funktionen löschen, die Sie in Freigegebene Funktionen erstellt haben. Sie können funktionen, die Sie nicht erstellt haben, nur löschen, wenn Sie über Berechtigungen zum Verwalten von Sicherheitsdaten verfügen.

Um eine Funktion zu löschen, wählen Sie die drei Punkte rechts neben der Funktion und dann Löschen aus.

Screenshot: Löschen einer benutzerdefinierten Funktion

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on