매개 변수가 있는 KQL 함수 이해

  • 10분

KQL 함수를 호출할 때 매개 변수 집합을 제공할 수 있습니다. 결과를 반환하기 전에 동적 값으로 함수 결과를 필터링할 수 있으므로 ASIM 파서를 빌드하기 위한 중요한 개념입니다.

먼저 Microsoft Sentinel 작업 영역의 로그로 이동합니다.

다음 샘플 함수는 특정 범주와 일치하는 특정 날짜 이후의 Azure 활동 로그의 모든 이벤트를 반환합니다.

하드코딩된 값을 사용하여 다음 쿼리로 시작합니다. 쿼리가 예상대로 작동하는지 확인합니다.

AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")

다음으로, 하드코딩된 값을 매개 변수 이름으로 바꾼 다음, 저장 및 함수로 저장을 차례로 선택하여 함수를 저장합니다.

AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam

함수 이름을 AzureActivityByCategory로 입력한 다음, 두 개의 매개 변수를 만듭니다.

Type 속성 기본값
문자열 CategoryParam "Administrative"
Datetime DateParam

다음 이미지와 같은 화면이 표시됩니다.

Screenshot of K Q L Function properties.

새 쿼리를 만듭니다. 그런 후 다음을 입력합니다.

AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))

Screenshot of the K Q L calling Function.