Uso de funciones personalizadas
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Tipos de funciones
Una función es un tipo de consulta en la búsqueda avanzada que se puede usar en otras consultas como si fuera un comando. Puede crear sus propias funciones personalizadas para poder reutilizar cualquier lógica de consulta al buscar en su entorno.
Hay tres tipos diferentes de funciones en la búsqueda avanzada:
- Funciones integradas: funciones precompiladas incluidas con Microsoft Defender XDR búsqueda avanzada. Están disponibles en todas las instancias de búsqueda avanzadas y no se pueden modificar.
- Funciones compartidas : funciones personalizadas creadas por los usuarios, que están disponibles para todos los usuarios de un inquilino específico y que los usuarios pueden modificar y controlar.
- Mis funciones : funciones personalizadas creadas por un usuario, que solo el usuario que la creó puede ver y modificar.
Escribir su propia función personalizada
Para crear una función a partir de la consulta actual en el editor, seleccione Guardar y, a continuación, Guardar como función.
A continuación, proporcione la siguiente información:
Nombre : nombre de la función. Solo puede contener números, letras en inglés y caracteres de subrayado. Para evitar el uso accidental de palabras clave de Kusto, comience o finalice los nombres de función con un carácter de subrayado o comience con una letra mayúscula.
Ubicación : la carpeta en la que desea guardar la función, ya sea compartida o privada.
Descripción : una descripción que puede ayudar a otros usuarios a comprender el propósito de la función y cómo funciona.
Parámetros : agregue un parámetro para cada variable de la función que requiera un valor cuando se use. Agregue parámetros a una función para que pueda proporcionar los argumentos o valores de determinadas variables al llamar a la función. Esto permite que la misma función se use en consultas diferentes, cada una de las cuales permite valores diferentes para los parámetros. Los parámetros se definen mediante las siguientes propiedades:
- Tipo : tipo de datos para el valor
- Nombre : el nombre que se debe usar en la consulta para reemplazar el valor del parámetro.
- Valor predeterminado : valor que se usará para el parámetro si no se proporciona un valor
Los parámetros se enumeran en el orden en que se crearon, con parámetros que no tienen ningún valor predeterminado enumerado encima de los que tienen un valor predeterminado.
Uso de una función personalizada
Use una función en una consulta escribiendo su nombre junto con los valores de cualquier parámetro del mismo modo que escribiría en un comando. La salida de la función se puede devolver como resultados o canalizarse a otro comando.
Agregue una función a la consulta actual haciendo doble clic en su nombre o seleccionando los tres puntos a la derecha de la función y seleccionando Abrir en el editor de consultas.
Si una consulta requiere argumentos, proporcione los argumentos mediante la siguiente sintaxis: function_name(parámetro 1, parámetro 2, ...)
Nota:
Las funciones no se pueden usar dentro de otra función.
Trabajar con códigos de función
Puede ver el código de una función para obtener información sobre cómo funciona o modificar su código. Seleccione los tres puntos situados a la derecha de la función y seleccione Cargar código de función para abrir una nueva pestaña con el código de función.
Edición de una función personalizada
Edite las propiedades de una función seleccionando los tres puntos a la derecha de la función y seleccionando Editar detalles. Realice las modificaciones que desee en las propiedades y parámetros de la función y, a continuación, seleccione Guardar.
Si el código de función ya está cargado en el editor, también puede seleccionar Guardar para aplicar cualquier cambio en el código o las propiedades de la función.
Nota:
Una vez que una función está en uso en una consulta guardada o una regla de detección, no se puede editar la función para expandir su ámbito. Por ejemplo, si guardó una función que consulta tablas de identidad y esta función se usa en una regla de detección, no puede editar la función para incluir una tabla de dispositivos después del hecho. Para ello, puede guardar una nueva función. El ámbito del producto se puede restringir para la misma función, pero no extenderse.
Eliminación de una función personalizada
Puede eliminar funciones de Mis funciones y funciones que creó en Funciones compartidas. No puede eliminar funciones que no haya creado, a menos que tenga permisos de administración de datos de seguridad.
Para eliminar una función, seleccione los tres puntos situados a la derecha de la función y seleccione Eliminar.
Consulte también
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Entender el esquema
- Obtener más ejemplos de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de