Aracılığıyla paylaş

Özel işlevleri kullanma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

İşlev türleri

İşlev, gelişmiş avcılıkta bir komut gibi diğer sorgularda kullanılabilen bir sorgu türüdür. Ortamınızda avlanırken herhangi bir sorgu mantığını yeniden kullanabilmek için kendi özel işlevlerinizi oluşturabilirsiniz.

Gelişmiş avcılıkta üç farklı işlev türü vardır:

İşlev türleri

  • Yerleşik işlevler – gelişmiş Microsoft Defender XDR avcılık ile birlikte önceden oluşturulmuş işlevler. Bunlar tüm gelişmiş avcılık örneklerinde kullanılabilir ve değiştirilemez.
  • Paylaşılan işlevler – Kullanıcılar tarafından oluşturulan ve belirli bir kiracıdaki tüm kullanıcılar için kullanılabilen ve kullanıcılar tarafından değiştirilebilen ve denetlenebilen özel işlevler.
  • İşlevlerim – Kullanıcı tarafından oluşturulan ve yalnızca onu oluşturan kullanıcı tarafından görüntülenebilen ve değiştirilebilen özel işlevler.

Kendi özel işlevinizi yazma

Düzenleyicideki geçerli sorgudan işlev oluşturmak için Kaydet'i ve ardından İşlev olarak kaydet'i seçin.

İşlev olarak kaydet

Ardından, aşağıdaki bilgileri sağlayın:

  • Name - İşlevin adı. Yalnızca sayı, İngilizce harf ve alt çizgi içerebilir. Kusto anahtar sözcüklerini yanlışlıkla kullanmaktan kaçınmak için işlev adlarını alt çizgiyle veya büyük harfle başlatın veya bitirin.

  • Konum - İşlevi kaydetmek istediğiniz klasör (paylaşılan veya özel).

  • Açıklama - Diğer kullanıcıların işlevin amacını ve nasıl çalıştığını anlamasına yardımcı olabilecek bir açıklama.

  • Parametreler - İşlevdeki her değişken için kullanıldığında bir değer gerektiren bir parametre ekleyin. İşlevi çağırırken belirli değişkenlerin bağımsız değişkenlerini veya değerlerini sağlayabilmeniz için bir işleve parametre ekleyin. Bu, aynı işlevin farklı sorgularda kullanılmasını sağlar ve her birinde parametreler için farklı değerlere izin verir. Parametreler aşağıdaki özelliklerle tanımlanır:

    • Tür - Değer için veri türü
    • Ad - Parametre değerini değiştirmek için sorguda kullanılması gereken ad
    • Varsayılan değer - Bir değer sağlanmazsa parametre için kullanılacak değer

    Parametreler oluşturuldukları sırayla listelenir ve varsayılan değeri olmayan parametreler varsayılan değere sahip parametrelerin üzerinde listelenir.

İşlev olarak kaydet iletişim kutusu

Özel işlev kullanma

Bir komutu yazdığınız gibi herhangi bir parametrenin değerleriyle birlikte adını yazarak sorgudaki bir işlevi kullanın. İşlevin çıkışı sonuç olarak döndürülebilir veya başka bir komuta yöneltilebilir.

Geçerli sorguya, adına çift tıklayarak veya işlevin sağındaki üç noktayı seçip Sorgu düzenleyicisinde aç'ı seçerek bir işlev ekleyin.

Bir sorgu bağımsız değişken gerektiriyorsa, bunları aşağıdaki söz dizimini kullanarak sağlayın: function_name(parametre 1, parametre 2, ...)

Sorgu düzenleyicisinde aç

Not

İşlevler başka bir işlev içinde kullanılamaz.

İşlev kodlarıyla çalışma

İşlevin nasıl çalıştığı hakkında içgörü elde etmek veya kodunu değiştirmek için kodunu görüntüleyebilirsiniz. İşlevin sağındaki üç noktayı seçin ve İşlev koduyla yeni bir sekme açmak için İşlev kodunu yükle'yi seçin.

İşlev kodunu yükleme

Özel işlevi düzenleme

İşlevin sağındaki üç noktayı seçip Ayrıntıları düzenle'yi seçerek işlevin özelliklerini düzenleyin. İşlevin özelliklerinde ve parametrelerinde istediğiniz değişiklikleri yapın ve Kaydet'i seçin.

İşlev kodunu düzenleme

İşlev kodu düzenleyiciye zaten yüklenmişse, işlevin kodunda veya özelliklerinde yapılan değişiklikleri uygulamak için Kaydet'i de seçebilirsiniz.

Not

Kaydedilmiş bir sorguda veya algılama kuralında işlev kullanımda olduğunda, işlevini kapsamını genişletecek şekilde düzenleyemezsiniz. Örneğin, kimlik tablolarını sorgulayan bir işlevi kaydettiyseniz ve bu işlev bir algılama kuralında kullanılıyorsa, işlevden sonra bir cihaz tablosu içerecek şekilde düzenleyemezsiniz. Bunu yapmak için yeni bir işlev kaydedebilirsiniz. Ürün kapsamı aynı işlev için daraltılabilir ancak genişletilmeyebilir.

Özel işlevi silme

Paylaşılan işlevler'de oluşturduğunuz İşlevlerim ve işlevlerim bölümünden işlevleri silebilirsiniz. Güvenlik verilerini yönetme izinleriniz olmadığı sürece, oluşturmadığınız işlevleri silemezsiniz.

Bir işlevi silmek için, işlevin sağındaki üç noktayı ve ardından Sil'i seçin.

Özel işlevin nasıl silindiğini gösteren ekran görüntüsü.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.