Partager via

Utiliser des fonctions personnalisées

  • S’applique à: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Une fonction est un type de requête dans la chasse avancée que vous pouvez utiliser dans d’autres requêtes comme s’il s’agissait d’une commande. En créant vos propres fonctions personnalisées, vous pouvez réutiliser n’importe quelle logique de requête lorsque vous recherchez dans votre environnement.

Cet article explique les différents types de fonctions disponibles dans la chasse avancée, ainsi que les étapes de création et d’utilisation de fonctions personnalisées.

Types de fonctions

La chasse avancée comprend trois types différents de fonctions :

Types de fonctions

  • Fonctions intégrées : fonctions prédéfinies incluses avec Microsoft Defender XDR repérage avancé. Toutes les instances de repérage avancées fournissent ces fonctions et vous ne pouvez pas les modifier.
  • Fonctions partagées : fonctions personnalisées créées par les utilisateurs. Tous les utilisateurs d’un locataire spécifique peuvent accéder à ces fonctions. Les utilisateurs peuvent modifier et contrôler ces fonctions.
  • Mes fonctions : fonctions personnalisées créées par un utilisateur. Seul l’utilisateur qui a créé ces fonctions peut les afficher et les modifier.

Fonctions personnalisées importées à partir de Microsoft Sentinel Log Analytics

Microsoft Sentinel les clients qui ont précédemment créé et enregistré des fonctions personnalisées dans leur espace de travail Log Analytics peuvent accéder à ces fonctions dans le portail Defender, sous Fonctions> partagées Sentinel fonctions de l’espace de travail. Vous pouvez utiliser ces fonctions pour les classeurs, les règles d’analyse et l’exécution de requêtes de repérage avancées dans le portail Defender, mais pas dans les règles de détection personnalisées.

Pour plus d’informations sur les détections personnalisées dans le portail Defender, consultez Créer des règles de détection personnalisées.

Remarque

Lors de la création d’une fonction dans la chasse avancée, vous ne pouvez pas utiliser le même nom que ceux importés et enregistrés dans les fonctions d’espace de travail Sentinel.

Écrire votre propre fonction personnalisée

Pour créer une fonction à partir de la requête actuelle dans l’éditeur :

  1. Sélectionnez Enregistrer , puis Enregistrer en tant que fonction. Enregistrer sous la fonction

  2. Dans le volet volant Enregistrer en tant que fonction , fournissez les informations suivantes :

    • Nom : nom de la fonction. Peut contenir uniquement des chiffres, des lettres anglaises et des traits de soulignement. Pour éviter d’utiliser accidentellement des mots clés Kusto, commencez ou terminez les noms de fonction avec un trait de soulignement ou commencez par une lettre majuscule.
    • Emplacement : dossier dans lequel vous souhaitez enregistrer la fonction, partagée ou privée.
    • Description : description qui permet aux autres utilisateurs de comprendre l’objectif de la fonction et son fonctionnement.
    • Paramètres : ajoutez un paramètre pour chaque variable de la fonction qui nécessite une valeur lorsqu’elle est utilisée. Pour plus d’informations, consultez Ajouter des paramètres à votre fonction personnalisée.

    Boîte de dialogue Enregistrer en tant que fonction

  3. Sélectionnez Enregistrer.

Importante

Vous pouvez utiliser des fonctions personnalisées que vous créez dans la chasse avancée dans des règles de détection personnalisées et des requêtes de chasse avancées, tant que vous n’enregistrez pas la fonction dans un espace de travail Microsoft Sentinel.

Si vous créez une fonction personnalisée et l’enregistrez dans un espace de travail Microsoft Sentinel, vous pouvez l’utiliser dans des classeurs et des règles d’analyse sur n’importe quel contenu Microsoft Sentinel de cet espace de travail, mais pas dans les règles de détection personnalisées.

Ajouter des paramètres à votre fonction personnalisée

Ajoutez des paramètres à une fonction afin de pouvoir fournir les arguments ou les valeurs de certaines variables lors de l’appel de la fonction. À l’aide de cette fonctionnalité, vous pouvez utiliser la même fonction dans différentes requêtes, chacune avec des valeurs différentes pour les paramètres.

Pour ajouter des paramètres lors de l’enregistrement de votre fonction personnalisée, sélectionnez Ajouter un paramètre, puis entrez les propriétés suivantes :

  • Type : type de données pour la valeur
  • Name : nom que vous devez utiliser dans la requête pour remplacer la valeur du paramètre
  • Valeur par défaut : valeur à utiliser pour le paramètre si vous ne fournissez pas de valeur

Répertoriez les paramètres dans l’ordre dans lequel vous les créez. Répertorie les paramètres qui n’ont pas de valeur par défaut avant ceux qui ont une valeur par défaut.

Créer des fonctions personnalisées avec des paramètres tabulaires

Créez des fonctions personnalisées qui utilisent des paramètres tabulaires. En utilisant des paramètres tabulaires, vous pouvez passer des tables entières en tant qu’entrées. Cette approche vous permet de créer une logique plus modulaire, réutilisable et expressive pour vos requêtes de chasse. Cette fonctionnalité est particulièrement utile pour les scénarios de chasse complexes qui nécessitent des entrées de données structurées.

Pour créer des paramètres tabulaires pour votre fonction personnalisée :

  1. Sélectionnez Ajouter un paramètre , puis choisissez table comme Type.
  2. Entrez un Nom et une valeur par défaut pour la table.
  3. Mappez chaque colonne référencée par votre requête à la table. Sélectionnez Ajouter une colonne, puis entrez les propriétés de la colonne.

Paramètre de table dans les fonctions personnalisées

Remarque

  • Vous pouvez enregistrer une fonction avec plusieurs tables.
  • Si votre requête ne fait référence à aucune colonne dans le paramètre table, vous pouvez toujours enregistrer et exécuter la fonction sans mapper les colonnes.
  • Vous pouvez définir des paramètres tabulaires et scalaires dans la même fonction.

Utiliser une fonction personnalisée

Utilisez une fonction dans une requête en tapant son nom avec des valeurs pour n’importe quel paramètre, comme vous le feriez dans une commande. La sortie de la fonction peut être retournée sous forme de résultats ou redirigée vers une autre commande.

Ajoutez une fonction à la requête actuelle en double-cliquant sur son nom ou en sélectionnant les trois points à droite de la fonction et en sélectionnant Ouvrir dans l’éditeur de requête.

Si une requête nécessite des arguments, fournissez-les à l’aide de la syntaxe suivante : function_name(paramètre 1, paramètre 2, ...)

Ouvrir dans l’éditeur de requête

Remarque

Vous ne pouvez pas utiliser de fonctions à l’intérieur d’une autre fonction.

Utiliser des codes de fonction

Vous pouvez afficher le code d’une fonction pour comprendre son fonctionnement ou pour modifier son code. Sélectionnez les trois points à droite de la fonction, puis sélectionnez Charger le code de la fonction pour ouvrir un nouvel onglet avec le code de la fonction.

Charger le code de la fonction

Modifier une fonction personnalisée

Modifiez les propriétés d’une fonction en sélectionnant les trois points à droite de la fonction et en sélectionnant Modifier les détails. Apportez les modifications souhaitées aux propriétés et paramètres de la fonction, puis sélectionnez Enregistrer.

Modifier le code de la fonction

Si le code de fonction est déjà chargé dans l’éditeur, vous pouvez également sélectionner Enregistrer pour appliquer des modifications au code ou aux propriétés de la fonction.

Remarque

Une fois qu’une fonction est utilisée dans une requête enregistrée ou une règle de détection, vous ne pouvez pas modifier la fonction pour étendre son étendue. Par exemple, si vous avez enregistré une fonction qui interroge des tables d’identité et que cette fonction est utilisée dans une règle de détection, vous ne pouvez pas modifier la fonction pour inclure une table d’appareils après coup. Pour effectuer la modification, enregistrez une nouvelle fonction. Vous pouvez limiter l’étendue du produit pour la même fonction, mais vous ne pouvez pas l’étendre.

Supprimer une fonction personnalisée

Vous pouvez supprimer des fonctions de Mes fonctions et des fonctions que vous avez créées dans Fonctions partagées. Vous ne pouvez pas supprimer des fonctions que vous n’avez pas créées, sauf si vous disposez des autorisations du gestionnaire de données de sécurité.

Pour supprimer une fonction, sélectionnez les trois points à droite de la fonction, puis sélectionnez Supprimer.

Capture d’écran montrant comment supprimer une fonction personnalisée.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.

  • Last updated on