Descripción de las funciones KQL parametrizadas
Al llamar a funciones KQL, puede proporcionar un conjunto de parámetros. Este es un concepto importante para crear analizadores de ASIM, ya que permite filtrar los resultados de la función con valores dinámicos antes de devolver los resultados.
En primer lugar, vaya a Registros en el área de trabajo de Microsoft Sentinel.
La siguiente función de ejemplo devuelve todos los eventos del registro de actividades de Azure a partir de una fecha determinada y los eventos que coinciden con una categoría determinada.
Comience con la consulta siguiente mediante valores codificados de forma rígida. Esto comprueba que la consulta funciona según lo previsto.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
A continuación, reemplace los valores codificados de forma rígida por nombres de parámetro y, a continuación, guarde la función seleccionando Guardar y, a continuación, Guardar como función.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Escriba AzureActivityByCategory en Nombre de la función y cree dos parámetros:
Tipo | Nombre | Valor predeterminado |
---|---|---|
string | CategoryParam | "Administrativa" |
datetime | DateParam |
El aspecto de la pantalla debería ser similar al de la imagen siguiente:
Cree una nueva consulta. A continuación, escriba:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))