Korzystanie z funkcji niestandardowych
Dotyczy:
- Microsoft Defender XDR
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Typy funkcji
Funkcja jest typem zapytania w zaawansowanym wyszukiwaniu, które może być używane w innych zapytaniach tak, jakby było to polecenie. Możesz utworzyć własne funkcje niestandardowe, aby móc ponownie używać dowolnej logiki zapytań podczas wyszukiwania w środowisku.
Istnieją trzy różne typy funkcji w zaawansowanym polowaniu:
- Wbudowane funkcje — wstępnie utworzone funkcje dołączone do Microsoft Defender XDR zaawansowanego wyszukiwania zagrożeń. Są one dostępne we wszystkich zaawansowanych wystąpieniach wyszukiwania zagrożeń i nie można ich modyfikować.
- Funkcje udostępnione — funkcje niestandardowe utworzone przez użytkowników, które są dostępne dla wszystkich użytkowników w określonej dzierżawie i mogą być modyfikowane i kontrolowane przez użytkowników.
- Moje funkcje — funkcje niestandardowe utworzone przez użytkownika, które mogą być wyświetlane i modyfikowane tylko przez użytkownika, który go utworzył.
Pisanie własnej funkcji niestandardowej
Aby utworzyć funkcję na podstawie bieżącego zapytania w edytorze, wybierz pozycję Zapisz , a następnie zapisz jako funkcję.
Następnie podaj następujące informacje:
Nazwa — nazwa funkcji. Może zawierać tylko cyfry, angielskie litery i podkreślenia. Aby uniknąć przypadkowego używania słów kluczowych Kusto, rozpocznij lub zakończ nazwy funkcji znakiem podkreślenia lub zacznij od wielkiej litery.
Lokalizacja — folder, w którym chcesz zapisać funkcję udostępnioną lub prywatną.
Opis — opis, który może pomóc innym użytkownikom zrozumieć przeznaczenie funkcji i jej działanie.
Parametry — dodaj parametr dla każdej zmiennej w funkcji, która wymaga wartości, gdy jest używana. Dodaj parametry do funkcji, aby można było podać argumenty lub wartości dla niektórych zmiennych podczas wywoływania funkcji. Dzięki temu ta sama funkcja może być używana w różnych zapytaniach, z których każda umożliwia różne wartości parametrów. Parametry są definiowane przez następujące właściwości:
- Typ — typ danych dla wartości
- Nazwa — nazwa, która musi być używana w zapytaniu w celu zastąpienia wartości parametru
- Wartość domyślna — wartość, która ma być używana dla parametru, jeśli nie podano wartości
Parametry są wymienione w kolejności, w jakiej zostały utworzone, z parametrami, które nie mają wartości domyślnej wymienione powyżej tych, które mają wartość domyślną.
Korzystanie z funkcji niestandardowej
Użyj funkcji w zapytaniu, wpisując jej nazwę wraz z wartościami dla dowolnego parametru, tak jak wpisać w poleceniu. Dane wyjściowe funkcji mogą być zwracane jako wyniki lub przesyłane potokami do innego polecenia.
Dodaj funkcję do bieżącego zapytania, klikając dwukrotnie jej nazwę lub wybierając trzy kropki po prawej stronie funkcji i wybierając pozycję Otwórz w edytorze zapytań.
Jeśli zapytanie wymaga argumentów, podaj je przy użyciu następującej składni: function_name(parametr 1, parametr 2, ...)
Uwaga
Funkcji nie można używać wewnątrz innej funkcji.
Praca z kodami funkcji
Możesz wyświetlić kod funkcji, aby uzyskać wgląd w jej działanie lub zmodyfikować jej kod. Wybierz trzy kropki po prawej stronie funkcji i wybierz pozycję Załaduj kod funkcji , aby otworzyć nową kartę z kodem funkcji.
Edytowanie funkcji niestandardowej
Edytuj właściwości funkcji, wybierając trzy kropki po prawej stronie funkcji i wybierając pozycję Edytuj szczegóły. Wprowadź wszelkie modyfikacje, które mają zostać wprowadzone we właściwościach i parametrach funkcji, a następnie wybierz pozycję Zapisz.
Jeśli kod funkcji jest już załadowany do edytora, możesz również wybrać pozycję Zapisz , aby zastosować wszelkie zmiany w kodzie lub właściwościach funkcji.
Uwaga
Gdy funkcja jest używana w zapisanym zapytaniu lub w regule wykrywania, nie można edytować funkcji w celu rozszerzenia jej zakresu. Jeśli na przykład zapisano funkcję, która wykonuje zapytania dotyczące tabel tożsamości, a ta funkcja jest używana w regule wykrywania, nie można edytować funkcji w celu uwzględnienia tabeli urządzenia po fakcie. W tym celu można zapisać nową funkcję. Zakres produktu można zawęzić dla tej samej funkcji, ale nie może być rozszerzony.
Usuwanie funkcji niestandardowej
Funkcje można usunąć z obszaru Moje funkcje i funkcje utworzone w funkcjach udostępnionych. Nie można usunąć utworzonych funkcji, chyba że masz uprawnienia do zarządzania danymi zabezpieczeń.
Aby usunąć funkcję, wybierz trzy kropki po prawej stronie funkcji i wybierz pozycję Usuń.
Zobacz też
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Analiza schematu
- Uzyskiwanie większej liczby przykładów zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.