DeviceFromIP()

S’applique à :

• Microsoft Defender XDR

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Utilisez la DeviceFromIP() fonction dans vos requêtes de repérage avancées pour obtenir rapidement la liste des appareils qui ont été affectés à une certaine adresse IP à un moment donné.

Cette fonction retourne une table avec les colonnes suivantes :

Column	Type de données	Description
IP	string	Adresse IP
DeviceId	string	Identificateur unique de l’appareil dans le service

Syntaxe

invoke DeviceFromIP()

Arguments

Cette fonction est appelée dans le cadre d’une requête.

• x : le premier paramètre est généralement déjà une colonne dans la requête. Dans ce cas, il s’agit de la colonne nommée IP, l’adresse IP pour laquelle vous souhaitez voir la liste des appareils qui lui ont été affectés. Il doit s’agir d’une adresse IP locale. Les adresses IP externes ne sont pas prises en charge.
• y : un deuxième paramètre facultatif est , Timestampqui indique à la fonction d’obtenir les appareils affectés les plus récents à partir d’une heure spécifique. Si elle n’est pas spécifiée, la fonction retourne les derniers enregistrements disponibles.

Exemple

Obtenir les derniers appareils auxquels des adresses IP spécifiques ont été affectées

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Voir aussi

• Vue d’ensemble du repérage avancé
• Apprendre le langage de requête
• Comprendre le schéma

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.