AssignedIPAddresses()

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Använd funktionen AssignedIPAddresses() för avancerade sökfrågor för att snabbt hämta de senaste IP-adresserna som har tilldelats till en enhet. Om du anger ett tidsstämpelargument hämtar den här funktionen de senaste IP-adresserna vid den angivna tiden.

Den här funktionen returnerar en tabell med följande kolumner:

Kolumn Datatyp Beskrivning
Timestamp datetime Senaste gången då enheten observerades med HJÄLP av IP-adressen
IPAddress string IP-adress som används av enheten
IPType string Anger om IP-adressen är en offentlig eller privat adress
NetworkAdapterType int Nätverksadaptertyp som används av enheten som har tilldelats IP-adressen. Information om möjliga värden finns i denna uppräkning
ConnectedNetworks int Nätverk som adaptern med den tilldelade IP-adressen är ansluten till. Varje JSON-matris innehåller nätverksnamn, kategori (offentlig, privat eller domän), en beskrivning och en flagga som anger om den är ansluten offentligt till Internet

Syntax

AssignedIPAddresses(x, y)

Argument

  • xDeviceId eller värde som identifierar DeviceName enheten
  • y– (datetime)-värde som instruerar funktionen för att hämta de senast tilldelade Timestamp IP-adresserna från en viss tid. Om detta inte anges returnerar funktionen de senaste IP-adresserna.

Exempel

Hämta listan med IP-adresser som användes av en enhet för 24 timmar sedan

AssignedIPAddresses('example-device-name', ago(1d))

Få IP-adresser använda av en enhet och hitta enheter som kommunicerar med den

Den här frågan använder AssignedIPAddresses() funktionen för att hämta tilldelade IP-adresser för enheten example-device-name () på eller före ett visst datum ( example-date ). Därefter används IP-adresserna för att hitta anslutningar till enheten initierad av andra enheter.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))