שתף באמצעות


AssignedIPAddresses()

חל על:

  • Microsoft Defender XDR

השתמש בפונקציה AssignedIPAddresses()בשאילתות הציד המתקדמות שלך כדי להשיג במהירות את כתובות ה- IP העדכניות ביותר שהוקצו למכשיר. אם תציין ארגומנט של חותמת זמן, פונקציה זו תקבל את כתובות ה- IP העדכניות ביותר בזמן שצוין.

פונקציה זו מחזירה טבלה עם העמודות הבאות:

עמודה סוג נתונים תיאור
Timestamp datetime השעה האחרונה שבה המכשיר נצפה באמצעות כתובת ה- IP
IPAddress string כתובת IP המשמשת את המכשיר
IPType string ציון אם כתובת ה- IP היא כתובת ציבורית או פרטית
NetworkAdapterType int סוג מתאם הרשת שבו משתמש המכשיר שהוקצתה לו כתובת ה- IP. עבור הערכים האפשריים, עיין בספירה זו
ConnectedNetworks int רשתות שאליהן מחוברת המתאם עם כתובת ה- IP שהוקצתה. כל מערך JSON מכיל את שם הרשת, הקטגוריה (ציבורית, פרטית או תחום), תיאור ודגגל המציין אם הוא מחובר באופן ציבורי לאינטרנט

תחביר

AssignedIPAddresses(x, y)

ארגומנטים

  • xDeviceId או DeviceName ערך המזהה את המכשיר
  • yTimestamp (datetime) ערך המורה לפונקציה להשיג את כתובות ה- IP המוקצות העדכניות ביותר משעה ספציפית. אם לא צוין, הפונקציה מחזירה את כתובות ה- IP העדכניות ביותר.

דוגמאות

קבל את רשימת כתובות ה- IP שנמצאות בשימוש על-ידי מכשיר לפני 24 שעות

AssignedIPAddresses('example-device-name', ago(1d))

קבל כתובות IP המשמשות מכשיר ומצא מכשירים המתקשרים איתו

שאילתה זו משתמשת AssignedIPAddresses() בפונקציה כדי לקבל כתובות IP מוקצות עבור המכשיר (example-device-name) בתאריך ספציפי (example-date) או לפניו. לאחר מכן, הוא משתמש בכתובות ה- IP כדי למצוא חיבורים למכשיר שהותחל על-ידי מכשירים אחרים.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.