Vysvětlení parametrizovaných funkcí KQL
Při volání funkcí KQL můžete zadat sadu parametrů. Toto je důležitý koncept vytváření analyzátorů ASIM, protože umožňuje filtrovat výsledky funkce pomocí dynamických hodnot před vrácením výsledků.
Nejprve přejděte do části Protokoly v pracovním prostoru Služby Microsoft Sentinel.
Následující ukázková funkce vrátí všechny události v protokolu aktivit Azure od konkrétního data a odpovídají určité kategorii.
Začněte následujícím dotazem s použitím pevně zakódovaných hodnot. Tím ověříte, že dotaz funguje podle očekávání.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Dále nahraďte pevně zakódované hodnoty názvy parametrů a potom funkci uložte tak, že vyberete Uložit a pak uložíte funkci Uložit jako.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Zadejte název funkce jako AzureActivityByCategory a pak vytvořte dva parametry:
| Typ | Název | Výchozí hodnota |
|---|---|---|
| string | CategoryParam | "Správa istrative" |
| datetime | DateParam |
Obrazovka by měla vypadat jako na následujícím obrázku:
Vytvořte nový dotaz. Pak zadejte:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
