DeviceFromIP()
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Gebruik de DeviceFromIP() functie in uw geavanceerde opsporingsquery's om snel de lijst met apparaten te verkrijgen die op een bepaald moment aan een bepaald IP-adres zijn toegewezen.
Deze functie retourneert een tabel met de volgende kolommen:
| Kolom | Gegevenstype: | Beschrijving |
|---|---|---|
IP |
string |
IP-adres |
DeviceId |
string |
Unieke id voor het apparaat in de service |
Syntaxis
invoke DeviceFromIP()
Argumenten
Deze functie wordt aangeroepen als onderdeel van een query.
- x: de eerste parameter is doorgaans al een kolom in de query. In dit geval is het de kolom met de naam
IP, het IP-adres waarvoor u een lijst met apparaten wilt zien die eraan zijn toegewezen. Dit moet een lokaal IP-adres zijn. Externe IP-adressen worden niet ondersteund. - y: een tweede optionele parameter is de
Timestamp, waarmee de functie wordt geïnstrueerd om de meest recent toegewezen apparaten van een specifieke tijd op te halen. Als dit niet is opgegeven, retourneert de functie de meest recente beschikbare records.
Voorbeeld
De meest recente apparaten ophalen waaraan specifieke IP-adressen zijn toegewezen
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
Verwante onderwerpen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor