Grundlegendes zu parametrisierten KQL-Funktionen
Beim Aufrufen von KQL-Funktionen können Sie eine Reihe von Parametern bereitstellen. Dies ist ein wichtiges Konzept für das Erstellen von ASIM-Parsern, da Sie die Funktionsergebnisse mit dynamischen Werten filtern können, bevor die Ergebnisse zurückgegeben werden.
Navigieren Sie zunächst im Microsoft Sentinel-Arbeitsbereich zu „Protokolle“.
Die folgende Beispielfunktion gibt alle Ereignisse im Azure-Aktivitätsprotokoll seit einem bestimmten Datum zurück, die einer bestimmten Kategorie entsprechen.
Beginnen Sie mit der folgenden Abfrage mit hartcodierten Werten. Dadurch wird überprüft, ob die Abfrage wie erwartet funktioniert.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Ersetzen Sie als Nächstes die hartcodierten Werte durch Parameternamen, und speichern Sie dann die Funktion, indem Sie Speichern und dann Als Funktion speichernauswählen.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Geben Sie den Funktionsnamen als AzureActivityByCategory ein, und erstellen Sie dann zwei Parameter:
| type | Name | Standardwert |
|---|---|---|
| Zeichenfolge | CategoryParam | „Administrative“ |
| datetime | DateParam |
Der Bildschirm sollte wie die folgende Abbildung aussehen:
Erstellen Sie eine neue Abfrage. Geben Sie dann Folgendes ein:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
