Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Een functie is een type query in geavanceerde opsporing dat u in andere query's kunt gebruiken alsof het een opdracht is. Door uw eigen aangepaste functies te maken, kunt u querylogica opnieuw gebruiken wanneer u in uw omgeving opzoekt.
In dit artikel worden de verschillende typen functies uitgelegd die beschikbaar zijn in geavanceerde opsporing en de stappen voor het maken en gebruiken van aangepaste functies.
Typen functies
Geavanceerde opsporing omvat drie verschillende soorten functies:
- Ingebouwde functies: vooraf gemaakte functies die zijn opgenomen in Microsoft Defender XDR geavanceerde opsporing. Alle geavanceerde opsporingsexemplaren bieden deze functies en u kunt ze niet wijzigen.
- Gedeelde functies : aangepaste functies die gebruikers maken. Alle gebruikers in een specifieke tenant hebben toegang tot deze functies. Gebruikers kunnen deze functies wijzigen en beheren.
- Mijn functies : aangepaste functies die een gebruiker maakt. Alleen de gebruiker die deze functies heeft gemaakt, kan deze bekijken en wijzigen.
Aangepaste functies geïmporteerd uit Microsoft Sentinel log analytics
Microsoft Sentinel klanten die eerder aangepaste functies hebben gemaakt en opgeslagen in hun Log Analytics-werkruimte, hebben toegang tot deze functies in de Defender-portal, onder Gedeelde functies>Sentinel werkruimtefuncties. U kunt deze functies gebruiken voor werkmappen, analyseregels en het uitvoeren van geavanceerde opsporingsquery's in de Defender-portal, maar niet in aangepaste detectieregels.
Zie Aangepaste detectieregels maken voor meer informatie over aangepaste detecties in de Defender-portal.
Opmerking
Wanneer u een nieuwe functie maakt in geavanceerde opsporing, kunt u niet dezelfde naam gebruiken als degene die zijn geïmporteerd en opgeslagen in de Sentinel werkruimtefuncties.
Uw eigen aangepaste functie schrijven
Een functie maken van de huidige query in de editor:
Selecteer Opslaan en vervolgens Opslaan als functie.
Geef in het flyoutvenster Opslaan als functie de volgende informatie op:
- Naam : de naam van de functie. Mag alleen cijfers, Engelse letters en onderstrepingstekens bevatten. Als u wilt voorkomen dat u per ongeluk Kusto-trefwoorden gebruikt, begint of beëindigt u functienamen met een onderstrepingsteken of begint u met een hoofdletter.
- Locatie : de map waarin u de functie wilt opslaan, gedeeld of privé.
- Beschrijving : een beschrijving die andere gebruikers helpt het doel van de functie te begrijpen en hoe deze werkt.
- Parameters : voeg een parameter toe voor elke variabele in de functie waarvoor een waarde is vereist wanneer deze wordt gebruikt. Zie Parameters toevoegen aan uw aangepaste functie voor meer informatie.
Klik op Opslaan.
Belangrijk
U kunt aangepaste functies gebruiken die u maakt in geavanceerde opsporing in aangepaste detectieregels en geavanceerde opsporingsquery's, zolang u de functie maar niet opslaat in een Microsoft Sentinel werkruimte.
Als u een aangepaste functie maakt en opslaat in een Microsoft Sentinel werkruimte, kunt u deze gebruiken in werkmappen en analyseregels voor elke Microsoft Sentinel inhoud in deze werkruimte, maar niet in aangepaste detectieregels.
Parameters toevoegen aan uw aangepaste functie
Voeg parameters toe aan een functie, zodat u de argumenten of waarden voor bepaalde variabelen kunt opgeven wanneer u de functie aanroept. Met deze functie kunt u dezelfde functie gebruiken in verschillende query's, elk met verschillende waarden voor de parameters.
Als u parameters wilt toevoegen bij het opslaan van uw aangepaste functie, selecteert u Parameter toevoegen en voert u de volgende eigenschappen in:
- Type : gegevenstype voor de waarde
- Naam : de naam die u in de query moet gebruiken om de parameterwaarde te vervangen
- Standaardwaarde : waarde die moet worden gebruikt voor de parameter als u geen waarde opgeeft
Geef parameters weer in de volgorde waarin u ze maakt. Geef parameters weer die geen standaardwaarde hebben vóór de parameters met een standaardwaarde.
Aangepaste functies maken met parameters in tabelvorm
Aangepaste functies maken die gebruikmaken van tabellaire parameters. Met behulp van tabellaire parameters kunt u hele tabellen doorgeven als invoer. Met deze aanpak kunt u meer modulaire, herbruikbare en expressieve logica bouwen voor uw opsporingsquery's. Deze mogelijkheid is met name handig voor complexe opsporingsscenario's waarvoor gestructureerde gegevensinvoer is vereist.
Ga als volgende te werk om tabellaire parameters te maken voor uw aangepaste functie:
- Selecteer Parameter toevoegen en kies vervolgens tabel als type.
- Voer een naam - en standaardwaarde in voor de tabel.
- Wijs elke kolom toe waarnaar uw query verwijst naar de tabel. Selecteer Kolom toevoegen en voer vervolgens de eigenschappen van de kolom in.
Opmerking
- U kunt een functie opslaan met meer dan één tabel.
- Als uw query niet verwijst naar kolommen in de tabelparameter, kunt u de functie nog steeds opslaan en uitvoeren zonder kolommen toe te voegen.
- U kunt tabellaire en scalaire parameters instellen in dezelfde functie.
Een aangepaste functie gebruiken
Gebruik een functie in een query door de naam ervan samen met waarden voor een parameter te typen, net zoals u een opdracht zou typen. De uitvoer van de functie kan worden geretourneerd als resultaten of worden doorgesluisd naar een andere opdracht.
Voeg een functie toe aan de huidige query door te dubbelklikken op de naam ervan of de drie puntjes rechts van de functie te selecteren en Openen in queryeditor te selecteren.
Als een query argumenten vereist, geeft u deze op met behulp van de volgende syntaxis: function_name(parameter 1, parameter 2, ...)
Opmerking
U kunt geen functies in een andere functie gebruiken.
Werken met functiecodes
U kunt de code van een functie bekijken om te begrijpen hoe deze werkt of om de code ervan te wijzigen. Selecteer de drie puntjes rechts van de functie en selecteer Functiecode laden om een nieuw tabblad met de functiecode te openen.
Een aangepaste functie bewerken
Bewerk de eigenschappen van een functie door de drie puntjes rechts van de functie te selecteren en Details bewerken te selecteren. Breng de gewenste wijzigingen aan in de eigenschappen en parameters van de functie en selecteer vervolgens Opslaan.
Als de functiecode al in de editor is geladen, kunt u ook Opslaan selecteren om eventuele wijzigingen in de code of eigenschappen van de functie toe te passen.
Opmerking
Zodra een functie in gebruik is in een opgeslagen query of een detectieregel, kunt u de functie niet bewerken om het bereik ervan uit te breiden. Als u bijvoorbeeld een functie hebt opgeslagen waarmee identiteitstabellen worden opgevraagd en deze functie wordt gebruikt in een detectieregel, kunt u de functie niet later bewerken om een apparaattabel op te nemen. Sla een nieuwe functie op om de wijziging aan te brengen. U kunt het bereik van producten beperken voor dezelfde functie, maar u kunt het niet uitbreiden.
Een aangepaste functie verwijderen
U kunt functies verwijderen uit Mijn functies en functies die u hebt gemaakt in Gedeelde functies. U kunt geen functies verwijderen die u niet hebt gemaakt, tenzij u beschikt over beveiligingsgegevensbeheermachtigingen.
Als u een functie wilt verwijderen, selecteert u de drie puntjes rechts van de functie en selecteert u Verwijderen.
Zie ook
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Meer informatie over het schema
- Meer queryvoorbeelden ophalen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.