Använda anpassade funktioner

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Typer av funktioner

En funktion är en typ av fråga i avancerad jakt som kan användas i andra frågor som om det vore ett kommando. Du kan skapa egna anpassade funktioner så att du kan återanvända valfri frågelogik när du jagar i din miljö.

Det finns tre olika typer av funktioner i avancerad jakt:

Funktionstyper

  • Inbyggda funktioner – Fördefinierade funktioner som ingår i Microsoft Defender XDR avancerad jakt. Dessa är tillgängliga i alla avancerade jaktinstanser och kan inte ändras.
  • Delade funktioner – Anpassade funktioner som skapats av användare, som är tillgängliga för alla användare i en specifik klientorganisation och kan ändras och styras av användare.
  • Mina funktioner – Anpassade funktioner som skapats av en användare, som endast kan visas och ändras av den användare som skapade den.

Skriva en egen anpassad funktion

Om du vill skapa en funktion från den aktuella frågan i redigeraren väljer du Spara och sedan Funktionen Spara som.

Spara som-funktion

Ange sedan följande information:

  • Namn – namnet på funktionen. Får endast innehålla siffror, engelska bokstäver och understreck. För att undvika att oavsiktligt använda Kusto-nyckelord börjar eller avslutar du funktionsnamn med ett understreck eller börjar med en versal bokstav.

  • Plats – den mapp där du vill spara funktionen, antingen delad eller privat.

  • Beskrivning – en beskrivning som kan hjälpa andra användare att förstå syftet med funktionen och hur den fungerar.

  • Parametrar – Lägg till en parameter för varje variabel i funktionen som kräver ett värde när den används. Lägg till parametrar i en funktion så att du kan ange argument eller värden för vissa variabler när du anropar funktionen. Detta gör att samma funktion kan användas i olika frågor, där var och en tillåter olika värden för parametrarna. Parametrar definieras av följande egenskaper:

    • Typ – Datatyp för värdet
    • Namn – det namn som måste användas i frågan för att ersätta parametervärdet
    • Standardvärde – värde som ska användas för parametern om ett värde inte anges

    Parametrar visas i den ordning de skapades, med parametrar som inte har något standardvärde som anges ovan de som har ett standardvärde.

Dialogrutan Spara som funktion

Använda en anpassad funktion

Använd en funktion i en fråga genom att skriva dess namn tillsammans med värden för valfri parameter precis som du skulle skriva i ett kommando. Utdata från funktionen kan antingen returneras som resultat eller skickas till ett annat kommando.

Lägg till en funktion i den aktuella frågan genom att dubbelklicka på dess namn eller välja de tre punkterna till höger om funktionen och välja Öppna i frågeredigeraren.

Om en fråga kräver argument anger du dem med följande syntax: function_name(parameter 1, parameter 2, ...)

Öppna i frågeredigeraren

Obs!

Funktioner kan inte användas i en annan funktion.

Arbeta med funktionskoder

Du kan visa koden för en funktion antingen för att få insikt i hur den fungerar eller för att ändra dess kod. Välj de tre punkterna till höger om funktionen och välj Läs in funktionskod för att öppna en ny flik med funktionskoden.

Läsa in funktionskod

Redigera en anpassad funktion

Redigera egenskaperna för en funktion genom att välja de tre punkterna till höger om funktionen och välja Redigera information. Gör eventuella ändringar som du vill ha i egenskaperna och parametrarna för funktionen och välj sedan Spara.

Redigera funktionskod

Om funktionskoden redan har lästs in i redigeraren kan du också välja Spara för att tillämpa ändringar i koden eller egenskaperna för funktionen.

Obs!

När en funktion används i en sparad fråga eller en identifieringsregel kan du inte redigera funktionen för att utöka dess omfång. Om du till exempel har sparat en funktion som frågar identitetstabeller och den här funktionen används i en identifieringsregel kan du inte redigera funktionen så att den inkluderar en enhetstabell i efterhand. Om du vill göra det kan du spara en ny funktion. Produktomfånget kan begränsas för samma funktion men inte utökas.

Ta bort en anpassad funktion

Du kan ta bort funktioner från Mina funktioner och funktioner som du skapade i Delade funktioner. Du kan inte ta bort funktioner som du inte har skapat, såvida du inte har behörighet att hantera säkerhetsdata.

Om du vill ta bort en funktion väljer du de tre punkterna till höger om funktionen och väljer Ta bort.

Skärmbild som visar hur du tar bort en anpassad funktion.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.