Egyéni függvények használata
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A függvények típusai
A függvény olyan lekérdezéstípus a speciális veszélyforrás-keresésben, amely más lekérdezésekben is használható, mintha parancs lenne. Létrehozhat saját egyéni függvényeket, hogy a környezetben való kereséskor újra felhasználhassa a lekérdezési logikát.
A speciális veszélyforrás-keresésben három különböző típusú függvény létezik:
- Beépített függvények – Előre összeállított függvények Microsoft Defender XDR speciális veszélyforrás-kereséshez. Ezek minden speciális veszélyforrás-keresési példányban elérhetők, és nem módosíthatók.
- Megosztott függvények – A felhasználók által létrehozott egyéni függvények, amelyek egy adott bérlő összes felhasználója számára elérhetők, és a felhasználók módosíthatják és vezérelhetik őket.
- Saját függvények – A felhasználó által létrehozott egyéni függvények, amelyeket csak az azt létrehozó felhasználó tekinthet meg és módosíthat.
Saját egyéni függvény írása
Ha a szerkesztőben az aktuális lekérdezésből szeretne függvényt létrehozni, válassza a Mentés , majd a Mentés függvényként lehetőséget.
Ezután adja meg a következő információkat:
Name – A függvény neve. Csak számokat, angol betűket és aláhúzásjeleket tartalmazhat. Ha el szeretné kerülni a Kusto-kulcsszavak véletlen használatát, kezdje vagy fejezheti be a függvényneveket aláhúzásjellel vagy nagybetűvel.
Location (Hely ) – Az a mappa, amelybe menteni szeretné a függvényt, akár megosztott, akár privát.
Leírás – Olyan leírás, amely segíthet más felhasználóknak megérteni a függvény célját és működését.
Paraméterek – Adjon hozzá egy paramétert a függvény minden olyan változója számára, amely a használat során értéket igényel. Adjon hozzá paramétereket egy függvényhez, hogy meg tudja adni bizonyos változók argumentumait vagy értékeit a függvény meghívásakor. Ez lehetővé teszi, hogy ugyanazt a függvényt különböző lekérdezésekben használjuk, amelyek mindegyike különböző értékeket tesz lehetővé a paraméterek számára. A paramétereket a következő tulajdonságok határozzák meg:
- Type – Az érték adattípusa
- Name – Az a név, amelyet a lekérdezésben használni kell a paraméter értékének cseréjéhez
- Alapértelmezett érték – A paraméterhez használandó érték, ha nincs megadva érték
A paraméterek a létrehozásuk sorrendjében jelennek meg, az alapértelmezett értékkel nem rendelkező paraméterek pedig az alapértelmezett értékkel rendelkeznek.
Egyéni függvény használata
Használjon függvényt egy lekérdezésben úgy, hogy beírja a nevét és a paraméterek értékeit, ugyanúgy, mint egy parancsban. A függvény kimenete visszaadható eredményként, vagy átirányítható egy másik parancsba.
Adjon hozzá egy függvényt az aktuális lekérdezéshez. Ehhez kattintson duplán a nevére, vagy válassza a függvény jobb oldalán található három elemet, és válassza a Megnyitás a lekérdezésszerkesztőben lehetőséget.
Ha egy lekérdezés argumentumokat igényel, adja meg őket a következő szintaxissal: function_name(1. paraméter, 2. paraméter, ...)
Megjegyzés:
A függvények nem használhatók egy másik függvényen belül.
Függvénykódok használata
A függvény kódját megtekintheti, hogy betekintést nyerjen a működésébe, vagy módosítsa annak kódját. Kattintson a függvény jobb oldalán található három pontra, és válassza a Függvénykód betöltése lehetőséget egy új lap megnyitásához a függvénykóddal.
Egyéni függvény szerkesztése
A függvény tulajdonságainak szerkesztéséhez kattintson a függvény jobb oldalán található három pontra, és válassza a Részletek szerkesztése lehetőséget. Módosítsa a függvény tulajdonságait és paramétereit, majd válassza a Mentés lehetőséget.
Ha a függvénykód már be van töltve a szerkesztőbe, a Save ( Mentés ) gombra kattintva bármilyen módosítást alkalmazhat a függvény kódjára vagy tulajdonságaira.
Megjegyzés:
Ha egy függvény már használatban van egy mentett lekérdezésben vagy észlelési szabályban, nem szerkesztheti a függvényt a hatókörének kibontásához. Ha például olyan függvényt mentett, amely lekérdezi az identitástáblákat, és ezt a függvényt egy észlelési szabály használja, a függvény nem szerkeszthető úgy, hogy a tény után eszköztáblát is tartalmazzon. Ehhez menthet egy új függvényt. A termék hatókörkezelése szűkíthető ugyanahhoz a függvényhez, de nem bővíthető ki.
Egyéni függvény törlése
A megosztott függvényekben létrehozott Saját függvények és függvények közül törölheti a függvényeket. Nem törölheti a nem létrehozott függvényeket, hacsak nem rendelkezik biztonsági adatok kezelésére vonatkozó engedélyekkel.
Egy függvény törléséhez kattintson a függvény jobb oldalán található három pontra, majd válassza a Törlés lehetőséget.
Lásd még
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A séma értelmezése
- További lekérdezési példák lekérése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: