DeviceFromIP()
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Använd funktionen i dina avancerade sökfrågor för att snabbt hämta listan över enheter som har tilldelats en DeviceFromIP() viss IP-adress vid en viss tidpunkt.
Den här funktionen returnerar en tabell med följande kolumner:
| Kolumn | Datatyp | Beskrivning |
|---|---|---|
IP |
string |
IP-adress |
DeviceId |
string |
Unikt ID för enheten i tjänsten |
Syntax
invoke DeviceFromIP()
Argument
Den här funktionen anropas som en del av en fråga.
- x– Den första parametern är vanligtvis redan en kolumn i frågan. I det här fallet är det kolumnen med namnet , IP-adressen som du vill se en lista med enheter
IPsom har tilldelats till den. Det ska vara en lokal IP-adress. Externa IP-adresser stöds inte. - y– En andra valfri parameter är , som instruerar funktionen för att hämta de senast tilldelade
Timestampenheterna från en viss tid. Om den inte anges returnerar funktionen de senaste tillgängliga posterna.
Exempel
Hämta de senaste enheterna som har tilldelats specifika IP-adresser
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()