[英]In KQL is there an 'strcat_if' function?
我一直在使用 Defender ATP,并解析了多个列,但由于电子邮件安全性,我不得不解析格式为“potentialPhishURL”和“potentialPhishURL_vendor”的单独列,这样做我现在有两列,通常当供应商已对 URL 应用了 shim,标准解析失败,因此 strcat("potentialPhishURL", "potentialPhishURL_vendor") 不起作用,因为有时两个字段都被填充。
当这两个列都被填充时(potentialPhishURL 和 potentialPhishURL_vendor),它们显然令人作呕地合并,而不是我需要它的方式(唯一值或 strcat_if 为空)我猜。
有没有人对如何做到这一点有任何经验? 当同一行上的一列为空时,合并 KQL 中的几列?
如果可以的话,感谢您的阅读/帮助!
CB
您应该使用iff()函数,例如:
iff(isempty(col2), col1, strcat(col1, col2))
KQL - 如何排除在 Sentinel 中不返回任何日志的函数?
[英]KQL - How do I exclude a function that returns no logs in Sentinel?
如何使用 KQL extractjson function 引用以 @ 符号开头的 XML 属性?
[英]How do I reference an XML attribute which begins with an @ symbol using KQL extractjson function?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
