Inzicht in geparameteriseerde KQL-functies
Wanneer u KQL-functies aanroept, kunt u een set parameters opgeven. Dit is een belangrijk concept voor het bouwen van ASIM-parsers, omdat u hiermee de functieresultaten kunt filteren met dynamische waarden voordat u resultaten retourneert.
Navigeer eerst naar Logboeken in de Microsoft Sentinel-werkruimte.
De volgende voorbeeldfunctie retourneert alle gebeurtenissen in het Azure-activiteitenlogboek sinds een bepaalde datum en die overeenkomen met een bepaalde categorie.
Begin met de volgende query met behulp van vastgelegde waarden. Hiermee wordt gecontroleerd of de query werkt zoals verwacht.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Vervang vervolgens de hard-coded waarden door parameternamen. Sla daarna de functie op door eerst Opslaan en vervolgens Opslaan als te selecteren.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Voer de functienaam in als AzureActivityByCategory En maak vervolgens twee parameters:
| Typologie | Naam | Standaardwaarde |
|---|---|---|
| touw | CategorieParam | 'Administratief' |
| datum/tijd | DateParam |
Uw scherm moet eruitzien zoals in de onderstaande afbeelding:
Maak een nieuwe query. Voer vervolgens het volgende in:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
