Поделиться через


DeviceFromIP()

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Используйте функцию DeviceFromIP() в расширенных запросах охоты , чтобы быстро получить список устройств, назначенных определенному IP-адресу в определенный момент времени.

Эта функция возвращает таблицу со следующими столбцами:

Столбец Тип данных Описание
IP string IP-адрес
DeviceId string Уникальный идентификатор устройства в службе

Синтаксис

invoke DeviceFromIP()

Аргументы

Эта функция вызывается как часть запроса.

  • x — первый параметр обычно уже является столбцом в запросе. В этом случае это столбец с именем IP, IP-адрес, для которого вы хотите увидеть список устройств, назначенных ему. Это должен быть локальный IP-адрес. Внешние IP-адреса не поддерживаются.
  • y — вторым необязательным параметром Timestampявляется , который указывает функции получить последние назначенные устройства за определенное время. Если этот параметр не указан, функция возвращает последние доступные записи.

Пример

Получение последних устройств, которым назначены определенные IP-адреса

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.