Jaa


AssignedIPAddresses()

Koskee seuraavia:

  • Microsoft Defender XDR

Käytä -funktiota AssignedIPAddresses()kehittyneissä metsästyskyselyissä , jotta saat nopeasti uusimmat IP-osoitteet, jotka on määritetty laitteelle. Jos määrität aikaleima-argumentin, tämä funktio saa uusimmat IP-osoitteet määritettynä ajankohtana.

Tämä funktio palauttaa taulukon, jossa on seuraavat sarakkeet:

Sarake Tietotyyppi Kuvaus
Timestamp datetime Viimeisin aika, jolloin laitteen havaittiin käyttävän IP-osoitetta
IPAddress string Laitteen käyttämä IP-osoite
IPType string Ilmaisee, onko IP-osoite julkinen vai yksityinen osoite
NetworkAdapterType int IP-osoitteelle määritetyn laitteen käyttämä verkkosovitintyyppi. Katso mahdolliset arvot tästä luetteloinnista
ConnectedNetworks int Verkot, joihin sovitin, jolla on MÄÄRITETTY IP-osoite, on yhdistetty. Jokainen JSON-matriisi sisältää verkkonimen, luokan (julkinen, yksityinen tai toimialue), kuvauksen ja merkinnän, joka ilmaisee, onko se yhdistetty julkisesti Internetiin

Syntaksi

AssignedIPAddresses(x, y)

Argumentit

  • xDeviceId tai DeviceName arvo, joka määrittää laitteen
  • yTimestamp (datetime)-arvo, joka ohjaa funktiota hankkimaan uusimmat määritetyt IP-osoitteet tietystä ajasta. Jos tätä ei määritetä, funktio palauttaa uusimmat IP-osoitteet.

Esimerkkejä

Hae laitteen käyttämä IP-osoitteiden luettelo 24 tuntia sitten

AssignedIPAddresses('example-device-name', ago(1d))

Hae laitteen käyttämät IP-osoitteet ja etsi sen kanssa kommunikoivia laitteita

Tämä kysely käyttää funktiota AssignedIPAddresses() saadakseen laitteen (example-device-name) määritetyt IP-osoitteet tiettynä päivämääränä (example-date). Sen jälkeen se käyttää IP-osoitteita löytääkseen yhteydet muiden laitteiden käynnistämään laitteeseen.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.