Parametreli KQL işlevlerini anlama
KQL işlevlerini çağırırken bir dizi parametre sağlayabilirsiniz. Bu, sonuç döndürmeden önce işlev sonuçlarını dinamik değerlerle filtrelemenize olanak sağladığından ASIM ayrıştırıcıları oluşturmak için önemli bir kavramdır.
İlk olarak, Microsoft Sentinel çalışma alanında Günlükler'e gidin.
Aşağıdaki örnek işlev, azure etkinlik günlüğünde belirli bir tarihten bu yana ve belirli bir kategoriyle eşleşen tüm olayları döndürür.
Sabit kodlanmış değerleri kullanarak aşağıdaki sorguyla başlayın. Bu, sorgunun beklendiği gibi çalıştığını doğrular.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Ardından, sabit kodlanmış değerleri parametre adlarıyla değiştirin ve Kaydet'i, ardından İşlev Olarak Kaydet'i seçerek işlevi kaydedin.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
İşlev adını AzureActivityByCategory olarak girin Ve iki parametre oluşturun:
| Türü | İsim | Varsayılan değer |
|---|---|---|
| String | CategoryParam | İdari |
| tarih/zaman | DateParam |
Ekranınız aşağıdaki görüntüye benzemelidir:
Yeni bir sorgu oluşturun. Ardından girin:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
