DeviceFromIP()

Gælder for:

• Microsoft Defender XDR

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Brug funktionen DeviceFromIP() i dine avancerede jagtforespørgsler til hurtigt at få listen over enheder, der er tildelt til en bestemt IP-adresse på et givet tidspunkt.

Denne funktion returnerer en tabel med følgende kolonner:

Kolonne	Datatype	Beskrivelse
IP	string	IP-adresse
DeviceId	string	Entydigt id for enheden i tjenesten

Syntaks

invoke DeviceFromIP()

Argumenter

Denne funktion aktiveres som en del af en forespørgsel.

• x – Den første parameter er normalt allerede en kolonne i forespørgslen. I dette tilfælde er det kolonnen med navnet IP, den IP-adresse, du vil have vist en liste over enheder, der er tildelt til den. Det skal være en lokal IP-adresse. Eksterne IP-adresser understøttes ikke.
• y – En anden valgfri parameter er Timestamp, som instruerer funktionen til at hente de nyeste tildelte enheder fra et bestemt tidspunkt. Hvis den ikke er angivet, returnerer funktionen de senest tilgængelige poster.

Eksempel

Hent de nyeste enheder, der er tildelt specifikke IP-adresser

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Relaterede emner

• Oversigt over avanceret jagt
• Få mere at vide om forespørgselssproget
• Forstå skemaet

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.