Compartir vía

Uso de funciones personalizadas

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Tipos de funciones

Una función es un tipo de consulta en la búsqueda avanzada que se puede usar en otras consultas como si fuera un comando. Puede crear sus propias funciones personalizadas para poder reutilizar cualquier lógica de consulta al buscar en su entorno.

Hay tres tipos diferentes de funciones en la búsqueda avanzada:

Tipos de función

  • Funciones integradas: funciones precompiladas incluidas con Microsoft Defender XDR búsqueda avanzada. Están disponibles en todas las instancias de búsqueda avanzadas y no se pueden modificar.
  • Funciones compartidas : funciones personalizadas creadas por los usuarios, que están disponibles para todos los usuarios de un inquilino específico y que los usuarios pueden modificar y controlar.
  • Mis funciones : funciones personalizadas creadas por un usuario, que solo el usuario que la creó puede ver y modificar.

Escribir su propia función personalizada

Para crear una función a partir de la consulta actual en el editor, seleccione Guardar y, a continuación, Guardar como función.

Guardar como función

A continuación, proporcione la siguiente información:

  • Nombre : nombre de la función. Solo puede contener números, letras en inglés y caracteres de subrayado. Para evitar el uso accidental de palabras clave de Kusto, comience o finalice los nombres de función con un carácter de subrayado o comience con una letra mayúscula.

  • Ubicación : la carpeta en la que desea guardar la función, ya sea compartida o privada.

  • Descripción : una descripción que puede ayudar a otros usuarios a comprender el propósito de la función y cómo funciona.

  • Parámetros : agregue un parámetro para cada variable de la función que requiera un valor cuando se use. Agregue parámetros a una función para que pueda proporcionar los argumentos o valores de determinadas variables al llamar a la función. Esto permite que la misma función se use en consultas diferentes, cada una de las cuales permite valores diferentes para los parámetros. Los parámetros se definen mediante las siguientes propiedades:

    • Tipo : tipo de datos para el valor
    • Nombre : el nombre que se debe usar en la consulta para reemplazar el valor del parámetro.
    • Valor predeterminado : valor que se usará para el parámetro si no se proporciona un valor

    Los parámetros se enumeran en el orden en que se crearon, con parámetros que no tienen ningún valor predeterminado enumerado encima de los que tienen un valor predeterminado.

Cuadro de diálogo Guardar como función

Uso de una función personalizada

Use una función en una consulta escribiendo su nombre junto con los valores de cualquier parámetro del mismo modo que escribiría en un comando. La salida de la función se puede devolver como resultados o canalizarse a otro comando.

Agregue una función a la consulta actual haciendo doble clic en su nombre o seleccionando los tres puntos a la derecha de la función y seleccionando Abrir en el editor de consultas.

Si una consulta requiere argumentos, proporcione los argumentos mediante la siguiente sintaxis: function_name(parámetro 1, parámetro 2, ...)

Abrir en el editor de consultas

Nota:

Las funciones no se pueden usar dentro de otra función.

Trabajar con códigos de función

Puede ver el código de una función para obtener información sobre cómo funciona o modificar su código. Seleccione los tres puntos situados a la derecha de la función y seleccione Cargar código de función para abrir una nueva pestaña con el código de función.

Cargar código de función

Edición de una función personalizada

Edite las propiedades de una función seleccionando los tres puntos a la derecha de la función y seleccionando Editar detalles. Realice las modificaciones que desee en las propiedades y parámetros de la función y, a continuación, seleccione Guardar.

Editar código de función

Si el código de función ya está cargado en el editor, también puede seleccionar Guardar para aplicar cualquier cambio en el código o las propiedades de la función.

Nota:

Una vez que una función está en uso en una consulta guardada o una regla de detección, no se puede editar la función para expandir su ámbito. Por ejemplo, si guardó una función que consulta tablas de identidad y esta función se usa en una regla de detección, no puede editar la función para incluir una tabla de dispositivos después del hecho. Para ello, puede guardar una nueva función. El ámbito del producto se puede restringir para la misma función, pero no extenderse.

Eliminación de una función personalizada

Puede eliminar funciones de Mis funciones y funciones que creó en Funciones compartidas. No puede eliminar funciones que no haya creado, a menos que tenga permisos de administración de datos de seguridad.

Para eliminar una función, seleccione los tres puntos situados a la derecha de la función y seleccione Eliminar.

Captura de pantalla que muestra cómo eliminar una función personalizada.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.