分享方式:


使用自訂函式

適用於:

  • Microsoft Defender XDR

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

函式類型

函式是進階搜捕中的一種查詢,可在其他查詢中使用,就像是命令一樣。 您可以建立自己的自定義函式,以便在環境中搜捕時重複使用任何查詢邏輯。

進階搜捕中有三種不同類型的函式:

函式類型

  • 內建函式 – Microsoft Defender 全面偵測回應 進階搜捕隨附的預建函式。 這些可在所有進階搜捕實例中使用,且無法修改。
  • 共用函 式 – 使用者所建立的自定義函式,適用於特定租使用者中的所有使用者,而且可由使用者修改及控制。
  • 我的函 式 – 使用者所建立的自定義函式,只能由建立它的用戶檢視和修改。

撰寫您自己的自定義函式

若要在編輯器中從目前的查詢建立函式 ,請選 取 [儲存],然後選取 [ 另存為函式]

另存為函式

接下來,提供下列資訊:

  • 名稱 - 函式的名稱。 只能包含數位、英文字母和底線。 若要避免不小心使用 Kusto 關鍵詞,請以底線開頭或結尾函式名稱,或以大寫字母開頭。

  • 位置 - 您要儲存函式的資料夾,包括共用或私用。

  • 描述 - 可協助其他使用者瞭解函式用途及其運作方式的描述。

  • 參數 - 為函式中需要使用值的每個變數新增參數。 將參數新增至函式,以便在呼叫函式時提供特定變數的自變數或值。 這允許在不同的查詢中使用相同的函式,每個查詢都允許參數有不同的值。 參數是由下列屬性所定義:

    • 類型 - 值的數據類型
    • 名稱 - 查詢中必須使用的名稱,才能取代參數值
    • 預設值 - 未提供值時要用於參數的值

    參數會依其建立順序列出,且參數的預設值未列在具有預設值的參數上方。

另存為函式對話框

使用自訂函式

在查詢中使用函式,方法是輸入其名稱以及任何參數的值,就像您在命令中輸入一樣。 函式的輸出可以傳回為結果,或透過管道傳送至另一個命令。

按兩下函式的名稱,或選取函式右邊的三個點,然後選取 [ 在查詢編輯器中開啟],將函式新增至目前的查詢。

如果查詢需要自變數,請使用下列語法提供自變數: function_name (参数 1、參數 2、...)

在查詢編輯器中開啟

注意事項

函式無法在另一個函式內使用。

使用函式程序代碼

您可以檢視函式的程式碼,以深入瞭解函式的運作方式或修改其程序代碼。 選取函式右邊的三個點,然後選取 [載入函式程序代碼 ],以使用函式程式碼開啟新的索引標籤。

載入函式程序代碼

編輯自定義函式

選取函式右邊的三個點,然後選取 [ 編輯詳細數據],以編輯函式的屬性。 對函式的屬性和參數進行任何修改,然後選取 [儲存 ]

編輯函式程序代碼

如果函式程式代碼已載入編輯器,您也可以選取 [ 儲存 ] 將任何變更套用至函式的程式代碼或屬性。

注意事項

一旦函式在已儲存的查詢或偵測規則中使用,您就無法編輯函式來擴充其範圍。 例如,如果您儲存的函式會查詢識別數據表,而且此函式用於偵測規則中,則無法編輯函式以在事實之後包含裝置數據表。 若要這樣做,您可以儲存新的函式。 可以針對相同的函式縮小產品範圍,但無法擴充。

刪除自訂函式

您可以從 [我的函式 ] 中刪除函式,以及您在共用函式中建立的 函式。 除非您具有安全性數據管理許可權,否則無法刪除尚未建立的函式。

若要刪除函式,請選取函式右邊的三個點,然後選取 [ 刪除]

顯示如何刪除自定義函式的螢幕快照。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群