Utiliser des fonctions personnalisées
S’applique à :
- Microsoft Defender XDR
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Types de fonctions
Une fonction est un type de requête dans la chasse avancée qui peut être utilisé dans d’autres requêtes comme s’il s’agit d’une commande. Vous pouvez créer vos propres fonctions personnalisées afin de pouvoir réutiliser n’importe quelle logique de requête lorsque vous recherchez dans votre environnement.
Il existe trois types de fonctions différents dans la chasse avancée :
- Fonctions intégrées : fonctions prédéfinies incluses avec Microsoft Defender XDR repérage avancé. Ceux-ci sont disponibles dans toutes les instances de repérage avancées et ne peuvent pas être modifiés.
- Fonctions partagées : fonctions personnalisées créées par les utilisateurs, qui sont disponibles pour tous les utilisateurs d’un locataire spécifique et peuvent être modifiées et contrôlées par les utilisateurs.
- Mes fonctions : fonctions personnalisées créées par un utilisateur, qui peuvent être consultées et modifiées uniquement par l’utilisateur qui l’a créée.
Écrire votre propre fonction personnalisée
Pour créer une fonction à partir de la requête actuelle dans l’éditeur, sélectionnez Enregistrer , puis Enregistrer en tant que fonction.
Ensuite, fournissez les informations suivantes :
Nom : nom de la fonction. Peut contenir uniquement des chiffres, des lettres anglaises et des traits de soulignement. Pour éviter d’utiliser accidentellement des mots clés Kusto, commencez ou terminez les noms de fonction avec un trait de soulignement ou commencez par une lettre majuscule.
Emplacement : dossier dans lequel vous souhaitez enregistrer la fonction, partagée ou privée.
Description : description qui peut aider les autres utilisateurs à comprendre l’objectif de la fonction et son fonctionnement.
Paramètres : ajoutez un paramètre pour chaque variable de la fonction qui nécessite une valeur lorsqu’elle est utilisée. Ajoutez des paramètres à une fonction afin de pouvoir fournir les arguments ou les valeurs de certaines variables lors de l’appel de la fonction. Cela permet d’utiliser la même fonction dans différentes requêtes, chacune autorisant des valeurs différentes pour les paramètres. Les paramètres sont définis par les propriétés suivantes :
- Type : type de données pour la valeur
- Name : nom qui doit être utilisé dans la requête pour remplacer la valeur du paramètre
- Valeur par défaut : valeur à utiliser pour le paramètre si aucune valeur n’est fournie
Les paramètres sont répertoriés dans l’ordre dans lequel ils ont été créés, avec les paramètres qui n’ont aucune valeur par défaut répertoriés au-dessus de ceux qui ont une valeur par défaut.
Utiliser une fonction personnalisée
Utilisez une fonction dans une requête en tapant son nom avec des valeurs pour n’importe quel paramètre, comme vous le feriez dans une commande. La sortie de la fonction peut être retournée sous forme de résultats ou redirigée vers une autre commande.
Ajoutez une fonction à la requête actuelle en double-cliquant sur son nom ou en sélectionnant les trois points à droite de la fonction et en sélectionnant Ouvrir dans l’éditeur de requête.
Si une requête nécessite des arguments, fournissez-les à l’aide de la syntaxe suivante : function_name(paramètre 1, paramètre 2, ...)
Remarque
Les fonctions ne peuvent pas être utilisées à l’intérieur d’une autre fonction.
Utiliser des codes de fonction
Vous pouvez afficher le code d’une fonction pour obtenir des informations sur son fonctionnement ou pour modifier son code. Sélectionnez les trois points à droite de la fonction, puis sélectionnez Charger le code de la fonction pour ouvrir un nouvel onglet avec le code de la fonction.
Modifier une fonction personnalisée
Modifiez les propriétés d’une fonction en sélectionnant les trois points à droite de la fonction et en sélectionnant Modifier les détails. Apportez les modifications souhaitées aux propriétés et paramètres de la fonction, puis sélectionnez Enregistrer.
Si le code de fonction est déjà chargé dans l’éditeur, vous pouvez également sélectionner Enregistrer pour appliquer des modifications au code ou aux propriétés de la fonction.
Remarque
Une fois qu’une fonction est utilisée dans une requête enregistrée ou une règle de détection, vous ne pouvez pas modifier la fonction pour étendre son étendue. Par exemple, si vous avez enregistré une fonction qui interroge des tables d’identité et que cette fonction est utilisée dans une règle de détection, vous ne pouvez pas modifier la fonction pour inclure une table d’appareils après coup. Pour ce faire, vous pouvez enregistrer une nouvelle fonction. L’étendue du produit peut être limitée pour la même fonction, mais pas étendue.
Supprimer une fonction personnalisée
Vous pouvez supprimer des fonctions de Mes fonctions et des fonctions que vous avez créées dans Fonctions partagées. Vous ne pouvez pas supprimer des fonctions que vous n’avez pas créées, sauf si vous disposez des autorisations de gestion des données de sécurité.
Pour supprimer une fonction, sélectionnez les trois points à droite de la fonction, puis sélectionnez Supprimer.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Comprendre le schéma
- Obtenir d’autres exemples de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.