DeviceFromIP()

Dotyczy:

• Microsoft Defender XDR

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

DeviceFromIP() Użyj funkcji w zaawansowanych zapytaniach wyszukiwania zagrożeń, aby szybko uzyskać listę urządzeń, które zostały przypisane do określonego adresu IP w danym momencie.

Ta funkcja zwraca tabelę z następującymi kolumnami:

Kolumna	Typ danych	Opis
IP	string	Adres IP
DeviceId	string	Unikatowy identyfikator urządzenia w usłudze

Składni

invoke DeviceFromIP()

Argumenty

Ta funkcja jest wywoływana w ramach zapytania.

• x — pierwszy parametr jest zwykle już kolumną w zapytaniu. W tym przypadku jest to kolumna o nazwie IP, adres IP, dla którego chcesz wyświetlić listę urządzeń, które zostały do niego przypisane. Powinien to być lokalny adres IP. Zewnętrzne adresy IP nie są obsługiwane.
• y — drugim opcjonalnym parametrem Timestampjest , który instruuje funkcję, aby uzyskała najnowsze przypisane urządzenia z określonego czasu. Jeśli nie zostanie określony, funkcja zwraca najnowsze dostępne rekordy.

Przykład

Pobieranie najnowszych urządzeń, do których przypisano określone adresy IP

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Tematy pokrewne

• Omówienie zaawansowanego wyszukiwania zagrożeń
• Nauka języka zapytań
• Analiza schematu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.