Usar funções personalizadas
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Tipos de funções
Uma função é um tipo de consulta na caça avançada que pode ser usada em outras consultas como se fosse um comando. Você pode criar suas próprias funções personalizadas para poder reutilizar qualquer lógica de consulta ao caçar em seu ambiente.
Há três tipos diferentes de funções na caça avançada:
- Funções internas – funções predefinidas incluídas com Microsoft Defender XDR caça avançada. Elas estão disponíveis em todas as instâncias avançadas de caça e não podem ser modificadas.
- Funções compartilhadas – Funções personalizadas criadas pelos usuários, que estão disponíveis para todos os usuários em um locatário específico e podem ser modificadas e controladas pelos usuários.
- Minhas funções – funções personalizadas criadas por um usuário, que podem ser visualizadas e modificadas apenas pelo usuário que a criou.
Escreva sua própria função personalizada
Para criar uma função a partir da consulta atual no editor, selecione Salvar e, em seguida, Salvar como função.
Em seguida, forneça as seguintes informações:
Nome – Nome da função. Pode conter apenas números, letras em inglês e sublinhados. Para evitar usar acidentalmente palavras-chave kusto, comece ou termine nomes de funções com um sublinhado ou comece com uma letra maiúscula.
Local – a pasta na qual você gostaria de salvar a função, compartilhada ou privada.
Descrição – Uma descrição que pode ajudar outros usuários a entender a finalidade da função e como ela funciona.
Parâmetros – Adicionar um parâmetro para cada variável na função que requer um valor quando ele é usado. Adicione parâmetros a uma função para que você possa fornecer os argumentos ou valores para determinadas variáveis ao chamar a função. Isso permite que a mesma função seja usada em consultas diferentes, cada uma permitindo valores diferentes para os parâmetros. Os parâmetros são definidos pelas seguintes propriedades:
- Tipo – Tipo de dados para o valor
- Nome – O nome que deve ser usado na consulta para substituir o valor do parâmetro
- Valor padrão – valor a ser usado para o parâmetro se um valor não for fornecido
Os parâmetros são listados na ordem em que foram criados, com parâmetros que não têm nenhum valor padrão listado acima daqueles que têm um valor padrão.
Usar uma função personalizada
Use uma função em uma consulta digitando seu nome junto com valores para qualquer parâmetro, assim como você digitaria em um comando. A saída da função pode ser retornada como resultados ou canalizada para outro comando.
Adicione uma função à consulta atual clicando duas vezes em seu nome ou selecionando os três pontos à direita da função e selecionando Abrir no editor de consultas.
Se uma consulta exigir argumentos, forneça-os usando a seguinte sintaxe: function_name(parâmetro 1, parâmetro 2, ...)
Observação
As funções não podem ser usadas dentro de outra função.
Trabalhar com códigos de função
Você pode exibir o código de uma função para obter informações sobre como ela funciona ou modificar seu código. Selecione os três pontos à direita da função e selecione Carregar código de função para abrir uma nova guia com o código da função.
Editar uma função personalizada
Edite as propriedades de uma função selecionando os três pontos à direita da função e selecionando Editar detalhes. Faça as modificações que você deseja para as propriedades e parâmetros da função e selecione Salvar.
Se o código de função já estiver carregado no editor, você também poderá selecionar Salvar para aplicar quaisquer alterações no código ou nas propriedades da função.
Observação
Depois que uma função estiver em uso em uma consulta salva ou em uma regra de detecção, você não poderá editar a função para expandir seu escopo. Por exemplo, se você salvou uma função que consulta tabelas de identidade e essa função é usada em uma regra de detecção, você não poderá editar a função para incluir uma tabela de dispositivo após o fato. Para fazer isso, você pode salvar uma nova função. O escopo do produto pode ser restrito para a mesma função, mas não estendido.
Excluir uma função personalizada
Você pode excluir funções de Minhas funções e funções criadas em funções compartilhadas. Você não pode excluir funções que não criou, a menos que tenha permissões de gerenciamento de dados de segurança.
Para excluir uma função, selecione os três pontos à direita da função e selecione Excluir.
Confira também
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Compreender o esquema
- Obter mais exemplos de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.