DeviceFromIP()

Gilt für:

• Microsoft Defender XDR

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Verwenden Sie die DeviceFromIP() Funktion in Ihren erweiterten Hunting-Abfragen , um schnell die Liste der Geräte abzurufen, die zu einem bestimmten Zeitpunkt einer bestimmten IP-Adresse zugewiesen wurden.

Diese Funktion gibt eine Tabelle mit den folgenden Spalten zurück:

Spalte	Datentyp	Beschreibung
IP	string	IP-Adresse
DeviceId	string	Eindeutiger Bezeichner für das Gerät im Dienst

Syntax

invoke DeviceFromIP()

Argumente

Diese Funktion wird als Teil einer Abfrage aufgerufen.

• x– Der erste Parameter ist in der Regel bereits eine Spalte in der Abfrage. In diesem Fall handelt es sich um die Spalte mit dem Namen IP, die IP-Adresse, für die Sie eine Liste der Geräte anzeigen möchten, die ihr zugewiesen wurden. Es sollte sich um eine lokale IP-Adresse handeln. Externe IP-Adressen werden nicht unterstützt.
• y – Ein zweiter optionaler Parameter ist der Timestamp, der die Funktion anweist, die zuletzt zugewiesenen Geräte aus einem bestimmten Zeitpunkt abzurufen. Wenn nicht angegeben, gibt die Funktion die neuesten verfügbaren Datensätze zurück.

Beispiel

Abrufen der neuesten Geräte, denen bestimmte IP-Adressen zugewiesen wurden

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Verwandte Themen

• Übersicht über die erweiterte Suche
• Lernen der Abfragesprache
• Grundlegendes zum Schema

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.