AssignedIPAddresses()
Koskee seuraavia:
- Microsoft Defender XDR
Käytä -funktiota AssignedIPAddresses()
kehittyneissä metsästyskyselyissä , jotta saat nopeasti uusimmat IP-osoitteet, jotka on määritetty laitteelle. Jos määrität aikaleima-argumentin, tämä funktio saa uusimmat IP-osoitteet määritettynä ajankohtana.
Tämä funktio palauttaa taulukon, jossa on seuraavat sarakkeet:
Sarake | Tietotyyppi | Kuvaus |
---|---|---|
Timestamp |
datetime |
Viimeisin aika, jolloin laitteen havaittiin käyttävän IP-osoitetta |
IPAddress |
string |
Laitteen käyttämä IP-osoite |
IPType |
string |
Ilmaisee, onko IP-osoite julkinen vai yksityinen osoite |
NetworkAdapterType |
int |
IP-osoitteelle määritetyn laitteen käyttämä verkkosovitintyyppi. Katso mahdolliset arvot tästä luetteloinnista |
ConnectedNetworks |
int |
Verkot, joihin sovitin, jolla on MÄÄRITETTY IP-osoite, on yhdistetty. Jokainen JSON-matriisi sisältää verkkonimen, luokan (julkinen, yksityinen tai toimialue), kuvauksen ja merkinnän, joka ilmaisee, onko se yhdistetty julkisesti Internetiin |
Syntaksi
AssignedIPAddresses(x, y)
Argumentit
- x–
DeviceId
taiDeviceName
arvo, joka määrittää laitteen - y—
Timestamp
(datetime)-arvo, joka ohjaa funktiota hankkimaan uusimmat määritetyt IP-osoitteet tietystä ajasta. Jos tätä ei määritetä, funktio palauttaa uusimmat IP-osoitteet.
Esimerkkejä
Hae laitteen käyttämä IP-osoitteiden luettelo 24 tuntia sitten
AssignedIPAddresses('example-device-name', ago(1d))
Hae laitteen käyttämät IP-osoitteet ja etsi sen kanssa kommunikoivia laitteita
Tämä kysely käyttää funktiota AssignedIPAddresses()
saadakseen laitteen (example-device-name
) määritetyt IP-osoitteet tiettynä päivämääränä (example-date
). Sen jälkeen se käyttää IP-osoitteita löytääkseen yhteydet muiden laitteiden käynnistämään laitteeseen.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Aiheeseen liittyvät artikkelit
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.