Condividi tramite

Usare funzioni personalizzate

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Tipi di funzioni

Una funzione è un tipo di query nella ricerca avanzata che può essere usata in altre query come se si trattasse di un comando. È possibile creare funzioni personalizzate in modo da poter riutilizzare qualsiasi logica di query quando si esegue la ricerca nell'ambiente.

Esistono tre diversi tipi di funzioni nella ricerca avanzata:

Tipi di funzione

  • Funzioni predefinite: funzioni predefinite incluse in Microsoft Defender XDR ricerca avanzata. Questi sono disponibili in tutte le istanze di ricerca avanzata e non possono essere modificati.
  • Funzioni condivise : funzioni personalizzate create dagli utenti, disponibili per tutti gli utenti in un tenant specifico e che possono essere modificate e controllate dagli utenti.
  • Funzioni personali : funzioni personalizzate create da un utente, che possono essere visualizzate e modificate solo dall'utente che l'ha creata.

Scrivere una funzione personalizzata

Per creare una funzione dalla query corrente nell'editor, selezionare Salva e quindi Salva come funzione.

Salva come funzione

Specificare quindi le informazioni seguenti:

  • Nome : nome della funzione. Può contenere solo numeri, lettere inglesi e caratteri di sottolineatura. Per evitare di usare accidentalmente parole chiave Kusto, i nomi di funzione iniziale o finale con un carattere di sottolineatura o iniziare con una lettera maiuscola.

  • Percorso : cartella in cui si vuole salvare la funzione, condivisa o privata.

  • Descrizione : descrizione che può aiutare altri utenti a comprendere lo scopo della funzione e il suo funzionamento.

  • Parametri : aggiungere un parametro per ogni variabile nella funzione che richiede un valore quando viene usato. Aggiungere parametri a una funzione in modo che sia possibile specificare gli argomenti o i valori per determinate variabili quando si chiama la funzione. In questo modo è possibile usare la stessa funzione in query diverse, ognuna delle quali consente valori diversi per i parametri. I parametri sono definiti dalle proprietà seguenti:

    • Tipo - Tipo di dati per il valore
    • Nome : nome che deve essere usato nella query per sostituire il valore del parametro
    • Valore predefinito : valore da usare per il parametro se non viene specificato un valore

    I parametri sono elencati nell'ordine in cui sono stati creati, con parametri che non hanno alcun valore predefinito elencato sopra quelli con un valore predefinito.

Finestra di dialogo Salva come funzione

Usare una funzione personalizzata

Usare una funzione in una query digitandone il nome insieme ai valori per qualsiasi parametro esattamente come si digita in un comando. L'output della funzione può essere restituito come risultati o inviato tramite pipe a un altro comando.

Aggiungere una funzione alla query corrente facendo doppio clic sul relativo nome o selezionando i tre puntini a destra della funzione e selezionando Apri nell'editor di query.

Se una query richiede argomenti, specificarli usando la sintassi seguente: function_name(parametro 1, parametro 2, ...)

Aprire nell'editor di query

Nota

Le funzioni non possono essere usate all'interno di un'altra funzione.

Usare i codici funzione

È possibile visualizzare il codice di una funzione per ottenere informazioni dettagliate sul funzionamento o per modificarne il codice. Selezionare i tre puntini a destra della funzione e selezionare Carica codice funzione per aprire una nuova scheda con il codice della funzione.

Caricare il codice della funzione

Modificare una funzione personalizzata

Modificare le proprietà di una funzione selezionando i tre punti a destra della funzione e selezionando Modifica dettagli. Apportare le modifiche desiderate alle proprietà e ai parametri della funzione, quindi selezionare Salva.

Modificare il codice della funzione

Se il codice della funzione è già stato caricato nell'editor, è anche possibile selezionare Salva per applicare eventuali modifiche al codice o alle proprietà della funzione.

Nota

Una volta che una funzione è in uso in una query salvata o in una regola di rilevamento, non è possibile modificare la funzione per espanderne l'ambito. Ad esempio, se è stata salvata una funzione che esegue query sulle tabelle identity e questa funzione viene usata in una regola di rilevamento, non è possibile modificare la funzione per includere una tabella del dispositivo dopo il fatto. A tale scopo, è possibile salvare una nuova funzione. L'ambito del prodotto può essere limitato per la stessa funzione, ma non esteso.

Eliminare una funzione personalizzata

È possibile eliminare le funzioni dalle funzioni personali e dalle funzioni create in Funzioni condivise. Non è possibile eliminare le funzioni che non sono state create, a meno che non si disponga delle autorizzazioni di gestione dei dati di sicurezza.

Per eliminare una funzione, selezionare i tre puntini a destra della funzione e selezionare Elimina.

Screenshot che mostra come eliminare una funzione personalizzata.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.