Comprendere le funzioni KQL con parametri

  • 10 minuti

Quando si chiamano le funzioni KQL, è possibile fornire un set di parametri. Si tratta di un concetto importante per la creazione di parser ASIM in quanto consente di filtrare i risultati della funzione con valori dinamici prima di restituire i risultati.

Per prima cosa, passa al Registro nell'area di lavoro Microsoft Sentinel.

La funzione di esempio seguente restituisce tutti gli eventi nel log attività Azure da una determinata data e che corrispondono a una determinata categoria.

Inizia con la seguente query utilizzando valori codificati in modo rigido. In questo modo viene verificato che la query funzioni come previsto.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

Sostituire quindi i valori hardcoded con i nomi dei parametri e quindi salvare la funzione selezionando Salva e quindi Salva come funzione.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Immettere Nome funzione come AzureActivityByCategory Quindi creare due parametri:

TIPO Nome Valore predefinito
string CategoryParam "Amministrativo"
data e ora DateParam

La schermata dovrebbe essere simile all'immagine seguente:

Screenshot delle proprietà della funzione KQL.

Creare una nuova query. Immettere quindi:

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Screenshot di una query KQL che chiama una funzione parametrizzata.