Partager via


DeviceFromIP()

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Utilisez la DeviceFromIP() fonction dans vos requêtes de repérage avancées pour obtenir rapidement la liste des appareils qui ont été affectés à une certaine adresse IP à un moment donné.

Cette fonction retourne une table avec les colonnes suivantes :

Column Type de données Description
IP string Adresse IP
DeviceId string Identificateur unique de l’appareil dans le service

Syntaxe

invoke DeviceFromIP()

Arguments

Cette fonction est appelée dans le cadre d’une requête.

  • x : le premier paramètre est généralement déjà une colonne dans la requête. Dans ce cas, il s’agit de la colonne nommée IP, l’adresse IP pour laquelle vous souhaitez voir la liste des appareils qui lui ont été affectés. Il doit s’agir d’une adresse IP locale. Les adresses IP externes ne sont pas prises en charge.
  • y : un deuxième paramètre facultatif est , Timestampqui indique à la fonction d’obtenir les appareils affectés les plus récents à partir d’une heure spécifique. Si elle n’est pas spécifiée, la fonction retourne les derniers enregistrements disponibles.

Exemple

Obtenir les derniers appareils auxquels des adresses IP spécifiques ont été affectées

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.