Compreender as funções parametrizadas do KQL
Ao chamar funções KQL, você pode fornecer um conjunto de parâmetros. Este é um conceito importante para a criação de analisadores ASIM, pois permite filtrar os resultados da função com valores dinâmicos antes de retornar os resultados.
Primeiro, navegue até Logs no espaço de trabalho do Microsoft Sentinel.
A função de exemplo a seguir retorna todos os eventos no log de atividades do Azure desde uma data específica e que correspondem a uma categoria específica.
Comece com a seguinte consulta usando valores codificados. Isso verifica se a consulta funciona conforme o esperado.
AzureActivity
| where CategoryValue == "Administrative"
| where TimeGenerated > todatetime("2021/04/05 5:40:01.032 PM")
Em seguida, substitua os valores codificados por nomes de parâmetros e, em seguida, salve a função selecionando Salvar e, em seguida, Salvar como função.
AzureActivity
| where CategoryValue == CategoryParam
| where TimeGenerated > DateParam
Insira o nome da função como AzureActivityByCategory Em seguida, crie dois parâmetros:
| Type | Name | Valor predefinido |
|---|---|---|
| string | CategoriaParam | "Administrativo" |
| datetime | DataParam |
Sua tela deve se parecer com a imagem abaixo:
Crie uma nova consulta. Em seguida, digite:
AzureActivityByCategory("Administrative", todatetime("2021/04/05 5:40:01.032 PM"))
