Înțelegerea funcțiilor KQL parametrizate

  • 10 minute

Atunci când apelați funcțiile KQL, puteți furniza un set de parametri. Acesta este un concept important pentru construirea analizatorilor ASIM, deoarece vă permite să filtrați rezultatele funcției cu valori dinamice înainte de a returna rezultate.

Mai întâi, navighează la Jurnale în spațiul de lucru Microsoft Sentinel.

Următoarea funcție exemplu returnează toate evenimentele din jurnalul de activitate Azure de la o anumită dată și care corespund unei anumite categorii.

Începeți cu următoarea interogare utilizând valori codificate. Acest lucru verifică dacă interogarea funcționează așa cum vă așteptați.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

În continuare, înlocuiți valorile codificate cu nume de parametri, apoi salvați funcția selectând Salvare, apoi Salvare ca funcție.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

Introduceți Numele funcției ca AzureActivityByCategory Apoi creați doi parametri:

Tip Nume Valoare implicită
șir CategoryParam "Administrativ"
dată-oră DateParam

Ecranul ar trebui să arate ca imaginea de mai jos:

Captură de ecran a proprietăților funcțiilor KQL.

Creați o interogare nouă. Apoi introduceți:

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Captură de ecran a unei interogări KQL care apelează o funcție parametrizată.