DeviceFromIP()
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Use la DeviceFromIP() función en las consultas de búsqueda avanzadas para obtener rápidamente la lista de dispositivos que se han asignado a una dirección IP determinada en un momento dado.
Esta función devuelve una tabla con las columnas siguientes:
| Column | Tipo de datos | Descripción |
|---|---|---|
IP |
string |
Dirección IP |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
Sintaxis
invoke DeviceFromIP()
Argumentos
Esta función se invoca como parte de una consulta.
-
x: el primer parámetro suele ser una columna de la consulta. En este caso, es la columna denominada
IP, la dirección IP para la que desea ver una lista de dispositivos que se le han asignado. Debe ser una dirección IP local. No se admiten direcciones IP externas. -
y: un segundo parámetro opcional es ,
Timestampque indica a la función que obtenga los dispositivos asignados más recientes de una hora específica. Si no se especifica, la función devuelve los registros disponibles más recientes.
Ejemplo
Obtener los dispositivos más recientes a los que se han asignado direcciones IP específicas
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Entender el esquema
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.