DeviceFromIP()

Si applica a:

• Microsoft Defender XDR

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Usare la DeviceFromIP() funzione nelle query di ricerca avanzate per ottenere rapidamente l'elenco dei dispositivi assegnati a un determinato indirizzo IP in un determinato momento.

Questa funzione restituisce una tabella con le colonne seguenti:

Colonna	Tipo di dati	Descrizione
IP	string	Indirizzo IP
DeviceId	string	Identificatore univoco per il dispositivo nel servizio

Sintassi

invoke DeviceFromIP()

Argomenti

Questa funzione viene richiamata come parte di una query.

• x: il primo parametro è in genere già una colonna nella query. In questo caso, si tratta della colonna denominata IP, l'indirizzo IP per cui si vuole visualizzare un elenco di dispositivi a cui è stato assegnato. Deve essere un indirizzo IP locale. Gli indirizzi IP esterni non sono supportati.
• y: un secondo parametro facoltativo è Timestamp, che indica alla funzione di ottenere i dispositivi assegnati più recenti da un'ora specifica. Se non specificato, la funzione restituisce i record disponibili più recenti.

Esempio

Ottenere i dispositivi più recenti a cui sono stati assegnati indirizzi IP specifici

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Argomenti correlati

• Panoramica della rilevazione avanzata
• Capire il linguaggio delle query
• Comprendere lo schema

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.