Megosztás a következőn keresztül:

Egyéni függvények használata

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A függvények típusai

A függvény olyan lekérdezéstípus a speciális veszélyforrás-keresésben, amely más lekérdezésekben is használható, mintha parancs lenne. Létrehozhat saját egyéni függvényeket, hogy a környezetben való kereséskor újra felhasználhassa a lekérdezési logikát.

A speciális veszélyforrás-keresésben három különböző típusú függvény létezik:

Függvénytípusok

  • Beépített függvények – Előre összeállított függvények Microsoft Defender XDR speciális veszélyforrás-kereséshez. Ezek minden speciális veszélyforrás-keresési példányban elérhetők, és nem módosíthatók.
  • Megosztott függvények – A felhasználók által létrehozott egyéni függvények, amelyek egy adott bérlő összes felhasználója számára elérhetők, és a felhasználók módosíthatják és vezérelhetik őket.
  • Saját függvények – A felhasználó által létrehozott egyéni függvények, amelyeket csak az azt létrehozó felhasználó tekinthet meg és módosíthat.

Saját egyéni függvény írása

Ha a szerkesztőben az aktuális lekérdezésből szeretne függvényt létrehozni, válassza a Mentés , majd a Mentés függvényként lehetőséget.

Mentés függvényként

Ezután adja meg a következő információkat:

  • Name – A függvény neve. Csak számokat, angol betűket és aláhúzásjeleket tartalmazhat. Ha el szeretné kerülni a Kusto-kulcsszavak véletlen használatát, kezdje vagy fejezheti be a függvényneveket aláhúzásjellel vagy nagybetűvel.

  • Location (Hely ) – Az a mappa, amelybe menteni szeretné a függvényt, akár megosztott, akár privát.

  • Leírás – Olyan leírás, amely segíthet más felhasználóknak megérteni a függvény célját és működését.

  • Paraméterek – Adjon hozzá egy paramétert a függvény minden olyan változója számára, amely a használat során értéket igényel. Adjon hozzá paramétereket egy függvényhez, hogy meg tudja adni bizonyos változók argumentumait vagy értékeit a függvény meghívásakor. Ez lehetővé teszi, hogy ugyanazt a függvényt különböző lekérdezésekben használjuk, amelyek mindegyike különböző értékeket tesz lehetővé a paraméterek számára. A paramétereket a következő tulajdonságok határozzák meg:

    • Type – Az érték adattípusa
    • Name – Az a név, amelyet a lekérdezésben használni kell a paraméter értékének cseréjéhez
    • Alapértelmezett érték – A paraméterhez használandó érték, ha nincs megadva érték

    A paraméterek a létrehozásuk sorrendjében jelennek meg, az alapértelmezett értékkel nem rendelkező paraméterek pedig az alapértelmezett értékkel rendelkeznek.

Mentés függvényként párbeszédpanel

Egyéni függvény használata

Használjon függvényt egy lekérdezésben úgy, hogy beírja a nevét és a paraméterek értékeit, ugyanúgy, mint egy parancsban. A függvény kimenete visszaadható eredményként, vagy átirányítható egy másik parancsba.

Adjon hozzá egy függvényt az aktuális lekérdezéshez. Ehhez kattintson duplán a nevére, vagy válassza a függvény jobb oldalán található három elemet, és válassza a Megnyitás a lekérdezésszerkesztőben lehetőséget.

Ha egy lekérdezés argumentumokat igényel, adja meg őket a következő szintaxissal: function_name(1. paraméter, 2. paraméter, ...)

Megnyitás a lekérdezésszerkesztőben

Megjegyzés:

A függvények nem használhatók egy másik függvényen belül.

Függvénykódok használata

A függvény kódját megtekintheti, hogy betekintést nyerjen a működésébe, vagy módosítsa annak kódját. Kattintson a függvény jobb oldalán található három pontra, és válassza a Függvénykód betöltése lehetőséget egy új lap megnyitásához a függvénykóddal.

Függvénykód betöltése

Egyéni függvény szerkesztése

A függvény tulajdonságainak szerkesztéséhez kattintson a függvény jobb oldalán található három pontra, és válassza a Részletek szerkesztése lehetőséget. Módosítsa a függvény tulajdonságait és paramétereit, majd válassza a Mentés lehetőséget.

Függvénykód szerkesztése

Ha a függvénykód már be van töltve a szerkesztőbe, a Save ( Mentés ) gombra kattintva bármilyen módosítást alkalmazhat a függvény kódjára vagy tulajdonságaira.

Megjegyzés:

Ha egy függvény már használatban van egy mentett lekérdezésben vagy észlelési szabályban, nem szerkesztheti a függvényt a hatókörének kibontásához. Ha például olyan függvényt mentett, amely lekérdezi az identitástáblákat, és ezt a függvényt egy észlelési szabály használja, a függvény nem szerkeszthető úgy, hogy a tény után eszköztáblát is tartalmazzon. Ehhez menthet egy új függvényt. A termék hatókörkezelése szűkíthető ugyanahhoz a függvényhez, de nem bővíthető ki.

Egyéni függvény törlése

A megosztott függvényekben létrehozott Saját függvények és függvények közül törölheti a függvényeket. Nem törölheti a nem létrehozott függvényeket, hacsak nem rendelkezik biztonsági adatok kezelésére vonatkozó engedélyekkel.

Egy függvény törléséhez kattintson a függvény jobb oldalán található három pontra, majd válassza a Törlés lehetőséget.

Képernyőkép az egyéni függvények törléséről.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.