SeenBy()
Область применения:
- Microsoft Defender XDR
Функция SeenBy() вызывается для просмотра списка подключенных устройств, которые видели определенное устройство с помощью функции обнаружения устройств.
Эта функция возвращает таблицу со следующим столбцом:
| Столбец | Тип данных | Описание |
|---|---|---|
DeviceId |
string |
Уникальный идентификатор устройства в службе |
Синтаксис
invoke SeenBy(x)
- где x — это интересующий идентификатор устройства.
Совет
Функции обогащения будут отображать дополнительные сведения только в том случае, если они доступны. Доступность информации разнообразна и зависит от множества факторов. Обязательно учитывайте это при использовании SeenBy() в запросах или при создании пользовательских обнаружений. Для достижения наилучших результатов рекомендуется использовать функцию SeenBy() с таблицей DeviceInfo.
Пример. Получение списка подключенных устройств, которые видели устройство
DeviceInfo
| where OnboardingStatus <> "Onboarded"
| limit 100 | invoke SeenBy()
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Сведения о схеме
- Получение дополнительных примеров запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.