DeviceFromIP()

Se aplica a:

• Microsoft Defender XDR

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Use la DeviceFromIP() función en las consultas de búsqueda avanzadas para obtener rápidamente la lista de dispositivos que se han asignado a una dirección IP determinada en un momento dado.

Esta función devuelve una tabla con las columnas siguientes:

Column	Tipo de datos	Descripción
IP	string	Dirección IP
DeviceId	string	Identificador único del dispositivo en el servicio

Sintaxis

invoke DeviceFromIP()

Argumentos

Esta función se invoca como parte de una consulta.

• x: el primer parámetro suele ser una columna de la consulta. En este caso, es la columna denominada IP, la dirección IP para la que desea ver una lista de dispositivos que se le han asignado. Debe ser una dirección IP local. No se admiten direcciones IP externas.
• y: un segundo parámetro opcional es , Timestampque indica a la función que obtenga los dispositivos asignados más recientes de una hora específica. Si no se especifica, la función devuelve los registros disponibles más recientes.

Ejemplo

Obtener los dispositivos más recientes a los que se han asignado direcciones IP específicas

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Temas relacionados

• Información general sobre la búsqueda avanzada de amenazas
• Aprender el lenguaje de consulta
• Entender el esquema

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.