DeviceFromIP()

Aplica-se a:

• Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Utilize a DeviceFromIP() função nas suas consultas de investigação avançadas para obter rapidamente a lista de dispositivos que foram atribuídos a um determinado endereço IP num determinado momento.

Esta função devolve uma tabela com as seguintes colunas:

Coluna	Tipo de dados	Descrição
IP	string	Endereço IP
DeviceId	string	Identificador exclusivo do dispositivo no serviço

Sintaxe

invoke DeviceFromIP()

Argumentos

Esta função é invocada como parte de uma consulta.

• x — Normalmente, o primeiro parâmetro já é uma coluna na consulta. Neste caso, é a coluna com o nome IP, o endereço IP para o qual pretende ver uma lista de dispositivos que lhe foram atribuídos. Deve ser um endereço IP local. Os endereços IP externos não são suportados.
• y — Um segundo parâmetro opcional é o Timestamp, que instrui a função a obter os dispositivos atribuídos mais recentemente a partir de uma hora específica. Se não for especificado, a função devolve os registos disponíveis mais recentes.

Exemplos:

Obter os dispositivos mais recentes aos quais foram atribuídos endereços IP específicos

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Tópicos relacionados

• Descrição geral da investigação avançada
• Aprender a linguagem de consulta
• Compreender o esquema

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.