Del via

Bruke egendefinerte funksjoner

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Funksjonstyper

En funksjon er en spørringstype i avansert jakt som kan brukes i andre spørringer som om det er en kommando. Du kan opprette dine egne egendefinerte funksjoner slik at du kan bruke spørringslogikken på nytt når du jakter i miljøet.

Det finnes tre forskjellige typer funksjoner i avansert jakt:

Funksjonstyper

  • Innebygde funksjoner – forhåndsbygde funksjoner som følger med Microsoft Defender XDR avansert jakt. Disse er tilgjengelige i alle avanserte jaktforekomster og kan ikke endres.
  • Delte funksjoner – egendefinerte funksjoner som er opprettet av brukere, som er tilgjengelige for alle brukere i en bestemt leier og kan endres og kontrolleres av brukere.
  • Mine funksjoner – egendefinerte funksjoner som er opprettet av en bruker, som bare kan vises og endres av brukeren som opprettet den.

Skriv din egen egendefinerte funksjon

Hvis du vil opprette en funksjon fra gjeldende spørring i redigeringsprogrammet, velger du Lagre og deretter Lagre som funksjon.

Lagre som funksjon

Deretter angir du følgende informasjon:

  • Navn - Navnet på funksjonen. Kan bare inneholde tall, engelske bokstaver og understrekingsstreker. Hvis du vil unngå å bruke Kusto-nøkkelord ved et uhell, begynner eller avslutter du funksjonsnavn med et understrekingstegn eller begynner med en stor bokstav.

  • Plassering – mappen der du vil lagre funksjonen, enten delt eller privat.

  • Beskrivelse – En beskrivelse som kan hjelpe andre brukere med å forstå formålet med funksjonen og hvordan den fungerer.

  • Parametere – Legg til en parameter for hver variabel i funksjonen som krever en verdi når den brukes. Legg til parametere i en funksjon, slik at du kan angi argumenter eller verdier for bestemte variabler når du kaller funksjonen. Dette gjør at den samme funksjonen kan brukes i forskjellige spørringer, og hver av dem tillater forskjellige verdier for parameterne. Parametere defineres av følgende egenskaper:

    • Type – datatype for verdien
    • Navn – navnet som må brukes i spørringen for å erstatte parameterverdien
    • Standardverdi – verdi som skal brukes for parameteren hvis en verdi ikke er angitt

    Parametere er oppført i rekkefølgen de ble opprettet, med parametere som ikke har noen standardverdi oppført over de som har en standardverdi.

Dialogboksen Lagre som funksjon

Bruke en egendefinert funksjon

Bruk en funksjon i en spørring ved å skrive inn navnet sammen med verdier for en parameter på samme måte som du skriver inn en kommando. Utdataene for funksjonen kan enten returneres som resultater eller flyttes til en annen kommando.

Legg til en funksjon i gjeldende spørring ved å dobbeltklikke på navnet eller velge de tre prikkene til høyre for funksjonen og velge Åpne i redigeringsprogrammet for spørring.

Hvis en spørring krever argumenter, gir du dem følgende syntaks: function_name(parameter 1, parameter 2, ...)

Åpne i redigeringsprogrammet for spørring

Obs!

Funksjoner kan ikke brukes i en annen funksjon.

Arbeide med funksjonskoder

Du kan vise koden for en funksjon for å få innsikt i hvordan den fungerer eller for å endre koden. Velg de tre prikkene til høyre for funksjonen, og velg Last inn funksjonskode for å åpne en ny fane med funksjonskoden.

Kode for innlastingsfunksjon

Redigere en egendefinert funksjon

Rediger egenskapene for en funksjon ved å velge de tre prikkene til høyre for funksjonen og velge Rediger detaljer. Foreta eventuelle endringer du vil gjøre i egenskapene og parameterne for funksjonen, og velg deretter Lagre.

Rediger funksjonskode

Hvis funksjonskoden allerede er lastet inn i redigeringsprogrammet, kan du også velge Lagre for å bruke eventuelle endringer i koden eller egenskapene for funksjonen.

Obs!

Når en funksjon er i bruk i en lagret spørring eller en gjenkjenningsregel, kan du ikke redigere funksjonen for å utvide omfanget. Hvis du for eksempel lagret en funksjon som spør etter identitetstabeller, og denne funksjonen brukes i en gjenkjenningsregel, kan du ikke redigere funksjonen for å inkludere en enhetstabell etter faktumet. Hvis du vil gjøre dette, kan du lagre en ny funksjon. Produkt omfang kan begrenses for samme funksjon, men ikke utvides.

Slette en egendefinert funksjon

Du kan slette funksjoner fra Mine funksjoner og funksjoner du opprettet i delte funksjoner. Du kan ikke slette funksjoner som du ikke har opprettet, med mindre du har tillatelse til å behandle sikkerhetsdata.

Hvis du vil slette en funksjon, merker du de tre prikkene til høyre for funksjonen og velger Slett.

Skjermbilde som viser hvordan du sletter en egendefinert funksjon.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.