使用自訂函式

適用於: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

適用於：

Microsoft Defender XDR

重要事項

部分資訊與發行前版本產品有關，在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

函式是進階狩獵中的一種查詢，你可以在其他查詢中使用，就像指令一樣。透過建立自訂函式，你可以在環境中搜尋時重用任何查詢邏輯。

本文說明進階狩獵中可用的不同功能類型，以及建立與使用自訂功能的步驟。

功能類型

進階狩獵包含三種不同功能：

功能類型

內建功能 – 包含於 Microsoft Defender 全面偵測回應進階狩獵功能中的預設功能。所有進階狩獵實例都提供這些功能，且無法修改。
共享函式 – 使用者建立的自訂函式。特定租戶中的所有使用者都能存取這些功能。使用者可以修改和控制這些功能。
我的函式 – 使用者自訂的函式。只有創建這些函式的使用者才能查看並修改它們。

自訂函數由 Microsoft Sentinel log analytics 匯入

先前在日誌分析工作區建立並儲存自訂函式的 Microsoft Sentinel 客戶，可以在 Defender 入口網站的共享函數下存取這些函式，該功能屬於 Shared functionsSentinel> 工作區函數。你可以在 Defender 入口網站中使用這些功能來管理工作簿、分析規則，以及執行進階搜尋查詢，但無法在自訂偵測規則中使用。

欲了解更多關於 Defender 入口網站自訂偵測的資訊，請參閱建立自訂偵測規則。

注意事項

在進階狩獵中建立新函式時，不能使用與匯入並儲存在 Sentinel 工作區函式中的函式相同的名稱。

寫你自己的自訂函式

要從編輯器中目前的查詢建立函式：

選擇儲存，然後選擇 另存為功能。
在 「另存為功能 」飛出面板中，提供以下資訊：
- 名稱 - 函數名稱。只能包含數字、英文字母和底線。為避免誤用 Kusto 關鍵字，請以底線或大寫字母開頭或結尾。
- 位置 - 你想儲存該函式的資料夾，可以是共享或私人。
- 說明 - 幫助其他使用者理解函式目的及其運作方式的說明。
- 參數 - 為函式中的每個變數加入一個參數，該變數在使用時需要一個值。欲了解更多資訊，請參閱「新增參數至您的自訂函式」。
選取 [儲存]。

重要事項

你可以在自訂偵測規則和進階狩獵查詢中使用進階狩獵中創建的自訂函式。它們不被工作簿或分析規則支援。

為你的自訂函式加入參數

在函式中加入參數，這樣你在呼叫函式時可以提供某些變數的參數或值。透過此功能，你可以在不同的查詢中使用相同的函式，每個查詢的參數值都不同。

儲存自訂函式時要新增參數，請選擇 「新增參數」，然後輸入以下屬性：

類型 - 該值的資料型別
名稱 - 你必須在查詢中使用來取代參數值的名稱
預設值 - 如果你沒有提供值，該參數的值

依照你建立參數的順序列出。先列出沒有預設值的參數，再放在有預設值的參數之前。

建立帶有表格參數的自訂函式

建立使用表格參數的自訂函式。透過使用表格參數，你可以將整個表格當作輸入傳遞。這種方法讓你能在搜尋查詢中建立更模組化、可重用且具表達力的邏輯。這項功能對於需要結構化資料輸入的複雜狩獵場景特別有用。

要為你的自訂函式建立表格參數：

選擇 新增參數 ，然後選擇表格作為 其類型。
輸入 表格的名稱 和 預設值 。
將查詢所參考的每一欄對應到表格。選擇 新增欄位，然後輸入欄位的屬性。

自訂函式中的表格參數

注意事項

你可以用多個資料表儲存一個函式。
如果你的查詢沒有參考表格參數中的欄位，你仍然可以儲存並執行函式，而不做任何欄位映射。
你可以在同一函式中設定表格和純量參數。