AssignedIPAddresses()
Se aplica a:
- Microsoft Defender XDR
Use la AssignedIPAddresses() función en las consultas de búsqueda avanzadas para obtener rápidamente las direcciones IP más recientes que se han asignado a un dispositivo. Si especifica un argumento timestamp, esta función obtiene las direcciones IP más recientes en el momento especificado.
Esta función devuelve una tabla con las columnas siguientes:
| Column | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Hora más reciente en que se observó el dispositivo mediante la dirección IP |
IPAddress |
string |
Dirección IP usada por el dispositivo |
IPType |
string |
Indica si la dirección IP es una dirección pública o privada. |
NetworkAdapterType |
int |
Tipo de adaptador de red usado por el dispositivo al que se ha asignado la dirección IP. Para conocer los valores posibles, consulte esta enumeración. |
ConnectedNetworks |
int |
Redes a las que está conectado el adaptador con la dirección IP asignada. Cada matriz JSON contiene el nombre de red, la categoría (pública, privada o dominio), una descripción y una marca que indica si está conectada públicamente a Internet. |
Sintaxis
AssignedIPAddresses(x, y)
Argumentos
-
x:
DeviceIdoDeviceNamevalor que identifica el dispositivo -
y:
Timestampvalor (datetime) que indica a la función que obtenga las direcciones IP asignadas más recientes de una hora específica. Si no se especifica, la función devuelve las direcciones IP más recientes.
Ejemplos
Obtener la lista de direcciones IP usadas por un dispositivo hace 24 horas
AssignedIPAddresses('example-device-name', ago(1d))
Obtención de direcciones IP usadas por un dispositivo y búsqueda de dispositivos que se comunican con él
Esta consulta usa la AssignedIPAddresses() función para obtener direcciones IP asignadas para el dispositivo (example-device-name) en o antes de una fecha específica (example-date). A continuación, usa las direcciones IP para buscar conexiones al dispositivo iniciado por otros dispositivos.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Entender el esquema
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.