DeviceFromIP()
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
DeviceFromIP()在進階搜捕查詢中使用 函式,快速取得在指定時間點指派給特定IP位址的裝置清單。
此函式會傳回具有下列資料行的數據表:
| 欄 | 資料類型 | 描述 |
|---|---|---|
IP |
string |
IP 位址 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
語法
invoke DeviceFromIP()
引數
此函式會當做查詢的一部分叫用。
-
x— 第一個參數通常已經是查詢中的數據行。 在此情況下,這是名為的數據
IP行,這是您想要查看已指派給它的裝置清單的IP位址。 它應該是本機IP位址。 不支援外部IP位址。 -
y— 第二個選擇性參數是
Timestamp,它會指示函式從特定時間取得最近指派的裝置。 如果未指定,此函式會傳回最新的可用記錄。
範例
取得已指派特定IP位址的最新裝置
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。