Share via

사용자 지정 함수 사용

  • 아티클

적용 대상:

  • Microsoft Defender XDR

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

함수 형식

함수는 명령인 것처럼 다른 쿼리에서 사용할 수 있는 고급 헌팅의 쿼리 유형입니다. 사용자 환경에서 헌팅할 때 쿼리 논리를 다시 사용할 수 있도록 고유한 사용자 지정 함수를 만들 수 있습니다.

고급 헌팅에는 세 가지 유형의 함수가 있습니다.

함수 형식

  • 기본 제공 함수 – Microsoft Defender XDR 고급 헌팅에 포함된 미리 빌드된 함수입니다. 이러한 인스턴스는 모든 고급 헌팅 인스턴스에서 사용할 수 있으며 수정할 수 없습니다.
  • 공유 함수 – 사용자가 만든 사용자 지정 함수로, 특정 테넌트에서 모든 사용자가 사용할 수 있으며 사용자가 수정하고 제어할 수 있습니다.
  • 내 함수 – 사용자가 만든 사용자 지정 함수로, 만든 사용자만 보고 수정할 수 있습니다.

사용자 고유의 사용자 지정 함수 작성

편집기에서 현재 쿼리에서 함수를 만들려면 저장 을 선택한 다음, 함수로 저장을 선택합니다.

함수로 저장

다음으로, 다음 정보를 제공합니다.

  • 이름 - 함수의 이름입니다. 숫자, 영어 문자 및 밑줄만 포함할 수 있습니다. Kusto 키워드를 실수로 사용하지 않도록 하려면 밑줄로 함수 이름을 시작하거나 종료하거나 대문자로 시작합니다.

  • 위치 - 함수를 저장하려는 폴더(공유 또는 비공개)입니다.

  • 설명 - 다른 사용자가 함수의 목적과 작동 방식을 이해하는 데 도움이 될 수 있는 설명입니다.

  • 매개 변수 - 사용할 때 값이 필요한 함수의 각 변수에 대한 매개 변수를 추가합니다. 함수를 호출할 때 특정 변수에 대한 인수 또는 값을 제공할 수 있도록 함수에 매개 변수를 추가합니다. 이렇게 하면 서로 다른 쿼리에서 동일한 함수를 사용할 수 있으며, 각 함수는 매개 변수에 대해 서로 다른 값을 허용합니다. 매개 변수는 다음 속성으로 정의됩니다.

    • 형식 - 값의 데이터 형식
    • 이름 - 매개 변수 값을 바꾸기 위해 쿼리에서 사용해야 하는 이름입니다.
    • 기본값 - 값이 제공되지 않은 경우 매개 변수에 사용할 값입니다.

    매개 변수는 생성된 순서대로 나열되며 기본값이 있는 매개 변수 위에 기본값이 없는 매개 변수가 나열됩니다.

함수로 저장 대화 상자

사용자 지정 함수 사용

명령에 입력하는 것과 마찬가지로 매개 변수의 값과 함께 이름을 입력하여 쿼리에서 함수를 사용합니다. 함수의 출력은 결과로 반환되거나 다른 명령으로 파이프될 수 있습니다.

해당 이름을 두 번 클릭하거나 함수 오른쪽에 있는 세 개의 점을 선택하고 쿼리 편집기에서 열기를 선택하여 현재 쿼리에 함수를 추가합니다.

쿼리에 인수가 필요한 경우 function_name(매개 변수 1, 매개 변수 2, ...) 구문을 사용하여 제공합니다.

쿼리 편집기에서 열기

참고

함수는 다른 함수 내에서 사용할 수 없습니다.

함수 코드 작업

함수의 코드를 확인하여 함수의 작동 방식에 대한 인사이트를 얻거나 해당 코드를 수정할 수 있습니다. 함수 오른쪽에 있는 세 개의 점을 선택하고 함수 코드 로드를 선택하여 함수 코드 가 있는 새 탭을 엽니다.

함수 코드 로드

사용자 지정 함수 편집

함수 오른쪽에 있는 세 개의 점을 선택하고 세부 정보 편집을 선택하여 함수의 속성을 편집합니다. 함수의 속성 및 매개 변수를 수정한 다음 저장을 선택합니다.

함수 코드 편집

함수 코드가 이미 편집기로 로드된 경우 저장 을 선택하여 함수의 코드 또는 속성에 변경 내용을 적용할 수도 있습니다.

참고

저장된 쿼리 또는 검색 규칙에서 함수를 사용 중이면 함수를 편집하여 scope 확장할 수 없습니다. 예를 들어 ID 테이블을 쿼리하는 함수를 저장하고 검색 규칙에 이 함수를 사용하는 경우 실제로 디바이스 테이블을 포함하도록 함수를 편집할 수 없습니다. 이렇게 하려면 새 함수를 저장할 수 있습니다. 제품 범위는 동일한 함수에 대해 좁힐 수 있지만 확장되지는 않습니다.

사용자 지정 함수 삭제

공유 함수에서 만든 내 함수 및 함수에서 함수를 삭제할 수 있습니다. 보안 데이터 관리 권한이 없는 한 생성하지 않은 함수는 삭제할 수 없습니다.

함수를 삭제하려면 함수 오른쪽에 있는 세 개의 점을 선택하고 삭제를 선택합니다.

사용자 지정 함수를 삭제하는 방법을 보여 주는 스크린샷

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.