Mukautettujen funktioiden käyttäminen
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Funktiotyypit
Funktio on kehittyneessä metsästyksessä käytettävä kyselytyyppi, jota voidaan käyttää muissa kyselyissä ikään kuin se olisi komento. Voit luoda omia mukautettuja funktioita, jotta voit käyttää mitä tahansa kyselylogiikkaa uudelleen, kun metsästät ympäristössäsi.
Kehittyneessä metsästyksessä on kolme erityyppistä funktiota:
- Sisäiset funktiot – Valmiit funktiot, jotka sisältyvät Microsoft Defender XDR kehittyneeseen metsästykseen. Ne ovat saatavilla kaikissa kehittyneen metsästyksen esiintymissä, eikä niitä voi muokata.
- Jaetut funktiot – Käyttäjien luomat mukautetut funktiot, jotka ovat käytettävissä tietyn vuokraajan kaikille käyttäjille ja joita käyttäjät voivat muokata ja hallita.
- Omat funktiot – Käyttäjän luomat mukautetut funktiot, joita voi tarkastella ja muokata vain sen luonut käyttäjä.
Oman mukautetun funktion kirjoittaminen
Jos haluat luoda funktion editorin nykyisestä kyselystä, valitse Tallenna ja sitten Tallenna funktiona.
Anna seuraavaksi seuraavat tiedot:
Name – Funktion nimi. Voi sisältää vain numeroita, englanninkielisiä kirjaimia ja alaviivoja. Jotta kusto-avainsanoja ei käytetä vahingossa, aloita tai lopeta funktioiden nimet alaviivalla tai aloita isolla kirjaimella.
Location – Kansio, johon haluat tallentaa funktion, joko jaettuna tai yksityisenä.
Description – Kuvaus, joka auttaa muita käyttäjiä ymmärtämään funktion tarkoituksen ja toiminnan.
Parametrit : lisää kullekin funktion muuttujalle parametri, joka edellyttää arvoa, kun sitä käytetään. Lisää funktioon parametreja, jotta voit antaa tiettyjen muuttujien argumentit tai arvot funktiota kutsuttaessa. Näin samaa funktiota voidaan käyttää eri kyselyissä, joista jokainen mahdollistaa parametrien eri arvot. Parametrit määritetään seuraavilla ominaisuuksilla:
- Type – Arvon tietotyyppi
- Name – Nimi, jota on käytettävä kyselyssä parametriarvon korvaamiseksi
- Oletusarvo – Arvo, jota käytetään parametrille, jos arvoa ei ole annettu
Parametrit luetellaan siinä järjestyksessä, jossa ne on luotu. Niiden parametrien yllä ei ole oletusarvoa, joilla on oletusarvo.
Käytä mukautettua funktiota
Käytä funktiota kyselyssä kirjoittamalla sen nimi ja minkä tahansa parametrin arvot samalla tavalla kuin komennossa. Funktion tulos voidaan joko palauttaa tuloksina tai putkittaa toiseen komentoon.
Lisää funktio nykyiseen kyselyyn kaksoisnapsauttamalla sen nimeä tai valitsemalla kolme pistettä funktion oikealla puolella ja valitsemalla Avaa kyselyeditorissa.
Jos kysely edellyttää argumentteja, anna ne käyttämällä seuraavaa syntaksia: function_name(parametri 1, parametri 2, ...)
Huomautus
Funktioita ei voi käyttää toisen funktion sisällä.
Funktiokoodien käsitteleminen
Voit tarkastella funktion koodia joko saadaksesi tietoa sen toiminnasta tai muokataksesi sen koodia. Valitse kolme kohtaa funktion oikealta puolelta ja valitse Lataa funktiokoodi avataksesi uuden välilehden, jossa on funktiokoodi.
Muokkaa mukautettua funktiota
Muokkaa funktion ominaisuuksia valitsemalla kolme pistettä funktion oikealta puolelta ja valitsemalla Muokkaa tietoja. Tee haluamasi muutokset funktion ominaisuuksiin ja parametreihin ja valitse sitten Tallenna.
Jos funktiokoodi on jo ladattu editoriin, voit myös valita Tallenna ottaaksesi muutokset käyttöön funktion koodissa tai ominaisuuksissa.
Huomautus
Kun funktio on käytössä tallennetussa kyselyssä tai tunnistussäännössä, et voi muokata funktiota laajentaaksesi sen vaikutusaluetta. Jos esimerkiksi tallensit funktion, joka tekee kyselyjä käyttäjätietotaulukoihin, ja tätä funktiota käytetään tunnistussäännössä, et voi muokata funktiota sisältämään laitetaulukkoa faktan jälkeen. Voit tehdä tämän tallentamalla uuden funktion. Tuotekopio voidaan kaventaa samalle funktiolle, mutta ei laajentaa.
Mukautetun funktion poistaminen
Voit poistaa funktioita Kohdasta Omat funktiot ja funktiot, jotka loit jaetuissa funktioissa. Et voi poistaa funktioita, joita et ole luonut, ellei sinulla ole suojaustietojen hallintaoikeuksia.
Jos haluat poistaa funktion, valitse kolme kohtaa funktion oikealla puolella ja valitse Poista.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Rakenteen ymmärtäminen
- Hae lisää kyselyesimerkkejä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle