Использование пользовательских функций
Область применения:
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Типы функций
Функция — это тип запроса в расширенном поиске, который можно использовать в других запросах, как если бы это команда. Вы можете создавать собственные пользовательские функции, чтобы повторно использовать любую логику запросов при поиске в среде.
Существует три различных типа функций в расширенной охоте:
- Встроенные функции — предварительно созданные функции, включенные в Microsoft Defender XDR расширенной охоты. Они доступны во всех расширенных экземплярах охоты и не могут быть изменены.
- Общие функции — пользовательские функции, созданные пользователями, которые доступны всем пользователям в определенном клиенте и могут изменяться и контролироваться пользователями.
- Мои функции — пользовательские функции, созданные пользователем, которые могут просматриваться и изменяться только тем пользователем, который их создал.
Написание собственной пользовательской функции
Чтобы создать функцию из текущего запроса в редакторе, выберите Сохранить , а затем Сохранить как функцию.
Затем укажите следующие сведения:
Name — имя функции. Может содержать только цифры, английские буквы и символы подчеркивания. Чтобы избежать случайного использования ключевых слов Kusto, имена функций начинаются или заканчиваются символом подчеркивания или начинаются с прописной буквы.
Расположение — папка, в которой вы хотите сохранить функцию, общую или частную.
Описание — описание, которое может помочь другим пользователям понять назначение функции и ее работу.
Параметры . Добавьте параметр для каждой переменной в функции, для которых требуется значение при его использовании. Добавьте параметры в функцию, чтобы можно было указать аргументы или значения для определенных переменных при вызове функции. Это позволяет использовать одну и ту же функцию в разных запросах, каждый из которых допускает различные значения параметров. Параметры определяются следующими свойствами:
- Тип — тип данных для значения.
- Name — имя, которое должно использоваться в запросе для замены значения параметра.
- Значение по умолчанию — значение, используемое для параметра, если значение не указано.
Параметры перечислены в том порядке, в который они были созданы, с параметрами, которые не имеют значения по умолчанию, перечисленными выше тех, которые имеют значение по умолчанию.
Использование пользовательской функции
Используйте функцию в запросе, введя ее имя вместе со значениями для любого параметра так же, как и в команде. Выходные данные функции могут быть возвращены в виде результатов или переданы в другую команду.
Добавьте функцию в текущий запрос, дважды щелкнув ее имя или выбрав три точки справа от функции и выбрав Открыть в редакторе запросов.
Если запрос требует аргументов, предоставьте их с помощью следующего синтаксиса: function_name(параметр 1, параметр 2, ...)
Примечание.
Функции нельзя использовать внутри другой функции.
Работа с кодами функций
Вы можете просмотреть код функции, чтобы получить представление о ее работе или изменить ее код. Щелкните три точки справа от функции и выберите Загрузить код функции , чтобы открыть новую вкладку с кодом функции.
Изменение пользовательской функции
Измените свойства функции, выбрав три точки справа от функции и выбрав Изменить сведения. Внесите необходимые изменения в свойства и параметры функции, а затем нажмите кнопку Сохранить.
Если код функции уже загружен в редактор, можно также выбрать Сохранить , чтобы применить любые изменения к коду или свойствам функции.
Примечание.
После использования функции в сохраненном запросе или правиле обнаружения вы не сможете изменить функцию, чтобы расширить ее область. Например, если вы сохранили функцию, которая запрашивает таблицы удостоверений, и эта функция используется в правиле обнаружения, вы не сможете изменить функцию, чтобы включить таблицу устройств после факта. Для этого можно сохранить новую функцию. Область продукта может быть сужена для той же функции, но не расширена.
Удаление пользовательской функции
Вы можете удалить функции из раздела Мои функции и функции, созданные в разделе Общие функции. Вы не можете удалить функции, которые вы не создали, если у вас нет разрешений на управление данными безопасности.
Чтобы удалить функцию, выделите три точки справа от функции и нажмите кнопку Удалить.
См. также
- Обзор расширенной охоты
- Изучение языка запросов
- Сведения о схеме
- Получение дополнительных примеров запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по