Omówienie sparametryzowanych funkcji KQL
Podczas wywoływania funkcji KQL można podać zestaw parametrów. Jest to ważna koncepcja tworzenia analizatorów ASIM, ponieważ umożliwia filtrowanie wyników funkcji za pomocą wartości dynamicznych przed zwróceniem wyników.
Najpierw przejdź do pozycji Dzienniki w obszarze roboczym usługi Microsoft Sentinel.
Poniższa przykładowa funkcja zwraca wszystkie zdarzenia w dzienniku aktywności platformy Azure od określonej daty i pasujące do określonej kategorii.
Rozpocznij od następującego zapytania przy użyciu zakodowanych na stałe wartości. Sprawdza to, czy zapytanie działa zgodnie z oczekiwaniami.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Następnie zastąp zakodowane na stałe wartości nazwami parametrów, a następnie zapisz funkcję, wybierając pozycję Zapisz, a następnie zapisz jako funkcję.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Wprowadź nazwę funkcji jako AzureActivityByCategory Następnie utwórz dwa parametry:
| Type | Nazwisko | Wartość domyślna |
|---|---|---|
| string | CategoryParam | "Administracja istrative" |
| datetime | DateParam |
Ekran powinien wyglądać podobnie do poniższego obrazu:
Utwórz nowe zapytanie. Następnie wprowadź:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
