AssignedIPAddresses()
Platí pro:
- Microsoft Defender XDR
AssignedIPAddresses() Pomocí funkce v pokročilých dotazech proaktivního vyhledávání můžete rychle získat nejnovější IP adresy, které byly přiřazeny k zařízení. Pokud zadáte argument časového razítka, získá tato funkce nejnovější IP adresy v zadaném čase.
Tato funkce vrátí tabulku s následujícími sloupci:
| Sloupec | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Poslední čas, kdy bylo zařízení zjištěno pomocí IP adresy |
IPAddress |
string |
IP adresa používaná zařízením |
IPType |
string |
Určuje, jestli je IP adresa veřejnou nebo privátní adresou. |
NetworkAdapterType |
int |
Typ síťového adaptéru používaný zařízením, kterému byla přiřazena IP adresa. Možné hodnoty najdete v tomto výčtu. |
ConnectedNetworks |
int |
Sítě, ke kterým je adaptér s přiřazenou IP adresou připojený. Každé pole JSON obsahuje název sítě, kategorii (veřejná, privátní nebo doména), popis a příznak označující, jestli je veřejně připojené k internetu. |
Syntaxe
AssignedIPAddresses(x, y)
Argumenty
-
x –
DeviceIdneboDeviceNamehodnota identifikující zařízení -
y —
Timestamphodnota (datetime), která dává funkci pokyn, aby získala nejnovější přiřazené IP adresy od určitého času. Pokud není zadaný, vrátí funkce nejnovější IP adresy.
Příklady
Získání seznamu IP adres používaných zařízením před 24 hodinami
AssignedIPAddresses('example-device-name', ago(1d))
Získání IP adres používaných zařízením a vyhledání zařízení, která s ním komunikují
Tento dotaz používá AssignedIPAddresses() funkci k získání přiřazených IP adres pro zařízení (example-device-name) k určitému datu nebo před určitým datem (example-date). Pak pomocí IP adres vyhledá připojení k zařízení iniciovaná jinými zařízeními.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Související témata
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.