שתף באמצעות

שימוש בפונקציות מותאמות אישית

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

סוגי פונקציות

פונקציה היא סוג של שאילתה בחיפוש מתקדם שניתן להשתמש בה בשאילתות אחרות כאילו זו פקודה. באפשרותך ליצור פונקציות מותאמות אישית משלך כדי שתוכל לעשות שימוש חוזר בכל לוגיקת שאילתה בעת ציד בסביבה שלך.

קיימים שלושה סוגים שונים של פונקציות בחיפוש מתקדם:

סוגי פונקציות

  • פונקציות מוכללות – פונקציות בנויות מראש הכלולות Microsoft Defender XDR מתקדם. אלה זמינים בכל מופעי הציד המתקדמים ולא ניתן לשנות אותם.
  • פונקציות משותפות – פונקציות מותאמות אישית שנוצרו על-ידי משתמשים, הזמינות עבור כל המשתמשים בדייר ספציפי, ומשתמשים יכולים לשנות ולשלט עבורך.
  • הפונקציות שלי – פונקציות מותאמות אישית שנוצרו על-ידי משתמש, שרק המשתמש שיצר אותו יכול להציג ולבצע בו שינויים.

כתיבת פונקציה מותאמת אישית משלך

כדי ליצור פונקציה מהשאילתה הנוכחית בעורך, בחר שמור ולאחר מכן בחר שמור כפונקציה.

שמירה כפונקציה

לאחר מכן, ספק את המידע הבא:

  • Name - שם הפונקציה. יכול להכיל מספרים, אותיות באנגלית ומקף תחתון בלבד. כדי להימנע משימוש בטעות במילות מפתח של Kusto, התחל או סיים שמות פונקציות במקף תחתון או התחל באות רישית.

  • מיקום - התיקיה שבה ברצונך לשמור את הפונקציה, משותפת או פרטית.

  • תיאור - תיאור ש יכול לעזור למשתמשים אחרים להבין את מטרת הפונקציה ואת אופן הפעולה שלה.

  • Parameters - הוסף פרמטר עבור כל משתנה בפונקציה הדורש ערך כאשר נעשה בו שימוש. הוסף פרמטרים לפונקציה כדי שתוכל לספק את הארגומנטים או הערכים עבור משתנים מסוימים בעת קריאה לפונקציה. הדבר מאפשר שימוש באותה פונקציה בשאילתות שונות, כאשר כל אחת מהן מאפשרת ערכים שונים עבור הפרמטרים. הפרמטרים מוגדרים על-ידי המאפיינים הבאים:

    • Type - סוג הנתונים עבור הערך
    • Name - השם שיש להשתמש בו בשאילתה כדי להחליף את ערך הפרמטר
    • ערך ברירת מחדל - ערך שישמש עבור הפרמטר אם לא סופק ערך

    הפרמטרים מפורטים בסדר שבו הם נוצרו, עם פרמטרים שאין להם ערך ברירת מחדל המפורט מעל אלה שיש להם ערך ברירת מחדל.

תיבת הדו-שיח 'שמירה כפונקציה'

שימוש בפונקציה מותאמת אישית

השתמש בפונקציה בשאילתה על-ידי הקלדת שמה יחד עם ערכים עבור כל פרמטר בדיוק כפי שאתה מקליד בפקודה. ניתן להחזיר את פלט הפונקציה כתוצאות או להעביר אותו לפקודה אחרת.

הוסף פונקציה לשאילתה הנוכחית על-ידי לחיצה כפולה על שמה או בחירת שלוש הנקודות משמאל לפונקציה ובחירה באפשרות פתח בעורך השאילתות.

אם שאילתה דורשת ארגומנטים, ספק אותם באמצעות התחביר הבא: function_name(parameter 1, parameter 2, ...)

פתח בעורך השאילתות

הערה

לא ניתן להשתמש בפונקציות בתוך פונקציה אחרת.

עבודה עם קודי פונקציה

באפשרותך להציג את הקוד של פונקציה כדי לקבל תובנות לגבי אופן הפעולה שלה או כדי לשנות את הקוד שלה. בחר את שלוש הנקודות משמאל לפונקציה ובחר טען קוד פונקציה כדי לפתוח כרטיסיה חדשה עם קוד הפונקציה.

טעינת קוד פונקציה

עריכת פונקציה מותאמת אישית

ערוך את המאפיינים של פונקציה על-ידי בחירת שלוש הנקודות משמאל לפונקציה ובחירה באפשרות ערוך פרטים. בצע את כל השינויים הרצויים במאפיינים ובפרמטרים של הפונקציה ולאחר מכן בחר שמור.

עריכת קוד פונקציה

אם קוד הפונקציה כבר נטען לעורך, באפשרותך גם לבחור שמור כדי להחיל שינויים על הקוד או על המאפיינים של הפונקציה.

הערה

לאחר שפונקציה נמצאת בשימוש בשאילתה שמורה או בכלל זיהוי, לא ניתן לערוך את הפונקציה כדי להרחיב את הטווח שלה. לדוגמה, אם שמרת פונקציה שמבצעת שאילתות על טבלאות זהויות, ופונקציה זו משמשת בכלל זיהוי, לא תוכל לערוך את הפונקציה כדי לכלול טבלת מכשירים לאחר העובדה. לשם כך, באפשרותך לשמור פונקציה חדשה. ניתן לצמצם את טווח המוצר עבור אותה פונקציה אך לא להרחיב אותה.

מחיקת פונקציה מותאמת אישית

באפשרותך למחוק פונקציות מהפונקציות והפונקציות שלי שיצרת בפונקציות Shared. אין באפשרותך למחוק פונקציות שלא יצרת, אלא אם יש לך הרשאות לניהול נתוני אבטחה.

כדי למחוק פונקציה, בחר את שלוש הנקודות משמאל לפונקציה ובחר מחק.

צילום מסך שמראה כיצד למחוק פונקציה מותאמת אישית.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.