Udostępnij za pośrednictwem


Korzystanie z funkcji niestandardowych

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Typy funkcji

Funkcja jest typem zapytania w zaawansowanym wyszukiwaniu, które może być używane w innych zapytaniach tak, jakby było to polecenie. Możesz utworzyć własne funkcje niestandardowe, aby móc ponownie używać dowolnej logiki zapytań podczas wyszukiwania w środowisku.

Istnieją trzy różne typy funkcji w zaawansowanym polowaniu:

Typy funkcji

  • Wbudowane funkcje — wstępnie utworzone funkcje dołączone do Microsoft Defender XDR zaawansowanego wyszukiwania zagrożeń. Są one dostępne we wszystkich zaawansowanych wystąpieniach wyszukiwania zagrożeń i nie można ich modyfikować.
  • Funkcje udostępnione — funkcje niestandardowe utworzone przez użytkowników, które są dostępne dla wszystkich użytkowników w określonej dzierżawie i mogą być modyfikowane i kontrolowane przez użytkowników.
  • Moje funkcje — funkcje niestandardowe utworzone przez użytkownika, które mogą być wyświetlane i modyfikowane tylko przez użytkownika, który go utworzył.

Pisanie własnej funkcji niestandardowej

Aby utworzyć funkcję na podstawie bieżącego zapytania w edytorze, wybierz pozycję Zapisz , a następnie zapisz jako funkcję.

Zapisz jako funkcję

Następnie podaj następujące informacje:

  • Nazwa — nazwa funkcji. Może zawierać tylko cyfry, angielskie litery i podkreślenia. Aby uniknąć przypadkowego używania słów kluczowych Kusto, rozpocznij lub zakończ nazwy funkcji znakiem podkreślenia lub zacznij od wielkiej litery.

  • Lokalizacja — folder, w którym chcesz zapisać funkcję udostępnioną lub prywatną.

  • Opis — opis, który może pomóc innym użytkownikom zrozumieć przeznaczenie funkcji i jej działanie.

  • Parametry — dodaj parametr dla każdej zmiennej w funkcji, która wymaga wartości, gdy jest używana. Dodaj parametry do funkcji, aby można było podać argumenty lub wartości dla niektórych zmiennych podczas wywoływania funkcji. Dzięki temu ta sama funkcja może być używana w różnych zapytaniach, z których każda umożliwia różne wartości parametrów. Parametry są definiowane przez następujące właściwości:

    • Typ — typ danych dla wartości
    • Nazwa — nazwa, która musi być używana w zapytaniu w celu zastąpienia wartości parametru
    • Wartość domyślna — wartość, która ma być używana dla parametru, jeśli nie podano wartości

    Parametry są wymienione w kolejności, w jakiej zostały utworzone, z parametrami, które nie mają wartości domyślnej wymienione powyżej tych, które mają wartość domyślną.

Okno dialogowe Zapisywanie jako funkcji

Korzystanie z funkcji niestandardowej

Użyj funkcji w zapytaniu, wpisując jej nazwę wraz z wartościami dla dowolnego parametru, tak jak wpisać w poleceniu. Dane wyjściowe funkcji mogą być zwracane jako wyniki lub przesyłane potokami do innego polecenia.

Dodaj funkcję do bieżącego zapytania, klikając dwukrotnie jej nazwę lub wybierając trzy kropki po prawej stronie funkcji i wybierając pozycję Otwórz w edytorze zapytań.

Jeśli zapytanie wymaga argumentów, podaj je przy użyciu następującej składni: function_name(parametr 1, parametr 2, ...)

Otwórz w edytorze zapytań

Uwaga

Funkcji nie można używać wewnątrz innej funkcji.

Praca z kodami funkcji

Możesz wyświetlić kod funkcji, aby uzyskać wgląd w jej działanie lub zmodyfikować jej kod. Wybierz trzy kropki po prawej stronie funkcji i wybierz pozycję Załaduj kod funkcji , aby otworzyć nową kartę z kodem funkcji.

Ładowanie kodu funkcji

Edytowanie funkcji niestandardowej

Edytuj właściwości funkcji, wybierając trzy kropki po prawej stronie funkcji i wybierając pozycję Edytuj szczegóły. Wprowadź wszelkie modyfikacje, które mają zostać wprowadzone we właściwościach i parametrach funkcji, a następnie wybierz pozycję Zapisz.

Edytowanie kodu funkcji

Jeśli kod funkcji jest już załadowany do edytora, możesz również wybrać pozycję Zapisz , aby zastosować wszelkie zmiany w kodzie lub właściwościach funkcji.

Uwaga

Gdy funkcja jest używana w zapisanym zapytaniu lub w regule wykrywania, nie można edytować funkcji w celu rozszerzenia jej zakresu. Jeśli na przykład zapisano funkcję, która wykonuje zapytania dotyczące tabel tożsamości, a ta funkcja jest używana w regule wykrywania, nie można edytować funkcji w celu uwzględnienia tabeli urządzenia po fakcie. W tym celu można zapisać nową funkcję. Zakres produktu można zawęzić dla tej samej funkcji, ale nie może być rozszerzony.

Usuwanie funkcji niestandardowej

Funkcje można usunąć z obszaru Moje funkcje i funkcje utworzone w funkcjach udostępnionych. Nie można usunąć utworzonych funkcji, chyba że masz uprawnienia do zarządzania danymi zabezpieczeń.

Aby usunąć funkcję, wybierz trzy kropki po prawej stronie funkcji i wybierz pozycję Usuń.

Zrzut ekranu przedstawiający sposób usuwania funkcji niestandardowej.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.