Comprendere le funzioni KQL con parametri
Quando si chiamano le funzioni KQL, è possibile fornire un set di parametri. Si tratta di un concetto importante per la creazione di parser ASIM in quanto consente di filtrare i risultati della funzione con valori dinamici prima di restituire i risultati.
Passare prima di tutto a Log nell'area di lavoro di Microsoft Sentinel.
La funzione di esempio seguente restituisce tutti gli eventi nel log attività di Azure a partire da una determinata data e che corrispondono a una determinata categoria.
Iniziare con la query seguente usando valori hardcoded. In questo modo viene verificato che la query funzioni come previsto.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Sostituire quindi i valori hardcoded con i nomi dei parametri e quindi salvare la funzione selezionando Salva e quindi Salva come funzione.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Immettere AzureActivityByCategory come nome della funzione, quindi creare due parametri:
| Type | Nome | Valore predefinito |
|---|---|---|
| string | CategoryParam | "Amministrativo" |
| datetime | DateParam |
L'aspetto dovrebbe essere simile all'immagine seguente:
Creare una nuova query. Immettere quindi:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
