Comprendre les fonctions KQL paramétrables
Lorsque vous appelez des fonctions KQL, vous pouvez fournir un ensemble de paramètres. Il s’agit d’un concept important pour la génération d’analyseurs ASIM, car il vous permet de filtrer les résultats de la fonction avec des valeurs dynamiques avant de retourner des résultats.
Tout d’abord, accédez aux journaux dans l’espace de travail Microsoft Sentinel.
L’exemple de fonction suivant retourne tous les événements du journal d’activité Azure depuis une date précise et qui correspondent à une catégorie précise.
Commencez par la requête suivante en utilisant des valeurs codées en dur. Cela vérifie que la requête fonctionne comme prévu.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Ensuite, remplacez les valeurs codées en dur par des noms de paramètres, puis enregistrez la fonction en sélectionnant Enregistrer, puis Enregistrer en tant que fonction.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Entrez le nom de la fonction en tant qu’AzureActivityByCategory, puis créez deux paramètres :
| Type | Nom | Valeur par défaut |
|---|---|---|
| string | CategoryParam | « Administratif » |
| DATETIME | DateParam |
Votre écran doit ressembler à l’image ci-dessous :
Créez une requête. Entrez ensuite :
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
