Partilhar via

Utilizar funções personalizadas

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Tipos de funções

Uma função é um tipo de consulta na investigação avançada que pode ser utilizada noutras consultas como se fosse um comando. Pode criar as suas próprias funções personalizadas para poder reutilizar qualquer lógica de consulta quando procura no seu ambiente.

Existem três tipos diferentes de funções na investigação avançada:

Tipos de funções

  • Funções incorporadas – funções pré-criadas incluídas com Microsoft Defender XDR investigação avançada. Estes estão disponíveis em todas as instâncias de investigação avançadas e não podem ser modificados.
  • Funções partilhadas – funções personalizadas criadas por utilizadores, que estão disponíveis para todos os utilizadores num inquilino específico e podem ser modificadas e controladas pelos utilizadores.
  • As minhas funções – funções personalizadas criadas por um utilizador, que só podem ser visualizadas e modificadas pelo utilizador que as criou.

Escrever a sua própria função personalizada

Para criar uma função a partir da consulta atual no editor, selecione Guardar e, em seguida, Guardar como função.

Guardar como função

Em seguida, forneça as seguintes informações:

  • Nome - Nome da função. Pode conter apenas números, letras em inglês e carateres de sublinhado. Para evitar a utilização acidental de palavras-chave do Kusto, comece ou termine os nomes das funções com um caráter de sublinhado ou comece com uma letra maiúscula.

  • Localização – a pasta na qual pretende guardar a função, partilhada ou privada.

  • Descrição – uma descrição que pode ajudar outros utilizadores a compreender o objetivo da função e como funciona.

  • Parâmetros – adicione um parâmetro para cada variável na função que requer um valor quando é utilizado. Adicione parâmetros a uma função para que possa fornecer os argumentos ou valores para determinadas variáveis ao chamar a função. Isto permite que a mesma função seja utilizada em consultas diferentes, cada uma permitindo valores diferentes para os parâmetros. Os parâmetros são definidos pelas seguintes propriedades:

    • Tipo - Tipo de dados para o valor
    • Nome – o nome que tem de ser utilizado na consulta para substituir o valor do parâmetro
    • Valor predefinido – valor a ser utilizado para o parâmetro se não for fornecido um valor

    Os parâmetros são listados pela ordem em que foram criados, com parâmetros que não têm nenhum valor predefinido listado acima daqueles que têm um valor predefinido.

Caixa de diálogo Guardar como função

Utilizar uma função personalizada

Utilize uma função numa consulta ao escrever o respetivo nome juntamente com valores para qualquer parâmetro, tal como escreveria num comando. A saída da função pode ser devolvida como resultados ou encaminhada para outro comando.

Adicione uma função à consulta atual ao fazer duplo clique no respetivo nome ou ao selecionar os três pontos à direita da função e ao selecionar Abrir no editor de consultas.

Se uma consulta necessitar de argumentos, forneça-os com a seguinte sintaxe: function_name(parâmetro 1, parâmetro 2, ...)

Abrir no editor de consultas

Nota

As funções não podem ser utilizadas dentro de outra função.

Trabalhar com códigos de função

Pode ver o código de uma função para obter informações sobre como funciona ou para modificar o respetivo código. Selecione os três pontos à direita da função e selecione Carregar código de função para abrir um novo separador com o código da função.

Carregar código da função

Editar uma função personalizada

Edite as propriedades de uma função ao selecionar os três pontos à direita da função e ao selecionar Editar detalhes. Efetue quaisquer modificações que pretenda às propriedades e parâmetros da função e, em seguida, selecione Guardar.

Editar código de função

Se o código da função já estiver carregado para o editor, também pode selecionar Guardar para aplicar quaisquer alterações ao código ou propriedades da função.

Nota

Quando uma função está a ser utilizada numa consulta guardada ou numa regra de deteção, não pode editar a função para expandir o âmbito. Por exemplo, se tiver guardado uma função que consulta tabelas de identidade e esta função for utilizada numa regra de deteção, não poderá editar a função para incluir uma tabela de dispositivos após o facto. Para tal, pode guardar uma nova função. O âmbito do produto pode ser reduzido para a mesma função, mas não expandido.

Eliminar uma função personalizada

Pode eliminar funções de As minhas funções e funções que criou em Funções partilhadas. Não pode eliminar funções que não tenha criado, a menos que tenha permissões de gestão de dados de segurança.

Para eliminar uma função, selecione os três pontos à direita da função e selecione Eliminar.

Captura de ecrã que mostra como eliminar uma função personalizada.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.