Aangepaste functies gebruiken
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Typen functies
Een functie is een type query in geavanceerde opsporing dat kan worden gebruikt in andere query's alsof het een opdracht is. U kunt uw eigen aangepaste functies maken, zodat u querylogica opnieuw kunt gebruiken wanneer u in uw omgeving opzoekt.
Er zijn drie verschillende soorten functies in geavanceerde opsporing:
- Ingebouwde functies: vooraf gemaakte functies die zijn opgenomen in Microsoft Defender XDR geavanceerde opsporing. Deze zijn beschikbaar in alle geavanceerde opsporingsexemplaren en kunnen niet worden gewijzigd.
- Gedeelde functies : aangepaste functies die door gebruikers zijn gemaakt, die beschikbaar zijn voor alle gebruikers in een specifieke tenant en kunnen worden gewijzigd en beheerd door gebruikers.
- Mijn functies : aangepaste functies die zijn gemaakt door een gebruiker, die alleen kunnen worden bekeken en gewijzigd door de gebruiker die de functie heeft gemaakt.
Uw eigen aangepaste functie schrijven
Als u een functie wilt maken op basis van de huidige query in de editor, selecteert u Opslaan en vervolgens Opslaan als functie.
Geef vervolgens de volgende informatie op:
Naam : de naam van de functie. Mag alleen cijfers, Engelse letters en onderstrepingstekens bevatten. Als u wilt voorkomen dat u per ongeluk Kusto-trefwoorden gebruikt, begint of beëindigt u functienamen met een onderstrepingsteken of begint u met een hoofdletter.
Locatie : de map waarin u de functie wilt opslaan, gedeeld of privé.
Beschrijving : een beschrijving die andere gebruikers kan helpen het doel van de functie te begrijpen en hoe deze werkt.
Parameters : voeg een parameter toe voor elke variabele in de functie waarvoor een waarde is vereist wanneer deze wordt gebruikt. Voeg parameters toe aan een functie, zodat u de argumenten of waarden voor bepaalde variabelen kunt opgeven wanneer u de functie aanroept. Hierdoor kan dezelfde functie worden gebruikt in verschillende query's, die elk verschillende waarden voor de parameters toestaan. Parameters worden gedefinieerd door de volgende eigenschappen:
- Type : gegevenstype voor de waarde
- Naam : de naam die in de query moet worden gebruikt om de parameterwaarde te vervangen
- Standaardwaarde : waarde die moet worden gebruikt voor de parameter als er geen waarde is opgegeven
Parameters worden weergegeven in de volgorde waarin ze zijn gemaakt, met parameters die geen standaardwaarde hebben boven de parameters met een standaardwaarde.
Een aangepaste functie gebruiken
Gebruik een functie in een query door de naam ervan samen met waarden voor een parameter te typen, net zoals u in een opdracht zou typen. De uitvoer van de functie kan worden geretourneerd als resultaten of worden doorgesluisd naar een andere opdracht.
Voeg een functie toe aan de huidige query door te dubbelklikken op de naam ervan of de drie puntjes rechts van de functie te selecteren en Openen in queryeditor te selecteren.
Als een query argumenten vereist, geeft u deze op met behulp van de volgende syntaxis: function_name(parameter 1, parameter 2, ...)
Opmerking
Functies kunnen niet worden gebruikt in een andere functie.
Werken met functiecodes
U kunt de code van een functie bekijken om inzicht te krijgen in hoe deze werkt of om de code ervan te wijzigen. Selecteer de drie puntjes rechts van de functie en selecteer Functiecode laden om een nieuw tabblad met de functiecode te openen.
Een aangepaste functie bewerken
Bewerk de eigenschappen van een functie door de drie puntjes rechts van de functie te selecteren en Details bewerken te selecteren. Breng de gewenste wijzigingen aan in de eigenschappen en parameters van de functie en selecteer vervolgens Opslaan.
Als de functiecode al in de editor is geladen, kunt u ook Opslaan selecteren om eventuele wijzigingen in de code of eigenschappen van de functie toe te passen.
Opmerking
Zodra een functie in gebruik is in een opgeslagen query of een detectieregel, kunt u de functie niet bewerken om het bereik ervan uit te breiden. Als u bijvoorbeeld een functie hebt opgeslagen waarmee identiteitstabellen worden opgevraagd en deze functie wordt gebruikt in een detectieregel, kunt u de functie niet later bewerken om een apparaattabel op te nemen. Hiervoor kunt u een nieuwe functie opslaan. Productbereik kan worden beperkt voor dezelfde functie, maar niet worden uitgebreid.
Een aangepaste functie verwijderen
U kunt functies verwijderen uit Mijn functies en functies die u hebt gemaakt in Gedeelde functies. U kunt geen functies verwijderen die u niet hebt gemaakt, tenzij u machtigingen voor het beheren van beveiligingsgegevens hebt.
Als u een functie wilt verwijderen, selecteert u de drie puntjes rechts van de functie en selecteert u Verwijderen.
Zie ook
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Meer informatie over het schema
- Meer queryvoorbeelden ophalen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor