Compreender funções de KQL parametrizadas
Ao chamar funções KQL, é possível fornecer um conjunto de parâmetros. Esse é um conceito importante para a criação de analisadores ASIM, pois permite filtrar os resultados das funções com valores dinâmicos antes de retornar resultados.
Primeiro, acesse Logs no workspace do Microsoft Sentinel.
A função de amostra a seguir retorna todos os eventos no log de atividades do Azure desde uma determinada data e que correspondem a uma categoria específica.
Comece com a consulta a seguir usando valores codificados. Isso verifica se a consulta funciona conforme esperado.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Em seguida, substitua os valores codificados por nomes de parâmetro e salve a função selecionando Salvar e Salvar como função.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Insira o nome da função como AzureActivityByCategory e crie dois parâmetros:
| Type | Nome | Valor padrão |
|---|---|---|
| string | CategoryParam | "Administrativo" |
| DATETIME | DateParam |
A tela deverá ter a aparência mostrada na imagem abaixo:
Crie uma nova consulta. Em seguida, insira:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
