Megosztás a következőn keresztül:


AssignedIPAddresses()

Érintett szolgáltatás:

  • Microsoft Defender XDR

AssignedIPAddresses() A speciális veszélyforrás-keresési lekérdezések függvényével gyorsan lekérte az eszközhöz rendelt legújabb IP-címeket. Ha időbélyeg argumentumot ad meg, ez a függvény a megadott időpontban szerzi be a legújabb IP-címeket.

Ez a függvény egy táblát ad vissza a következő oszlopokkal:

Oszlop Adattípus Leírás
Timestamp datetime A legutóbbi időpont, amikor az eszközt az IP-cím használatával figyelték meg
IPAddress string Az eszköz által használt IP-cím
IPType string Azt jelzi, hogy az IP-cím nyilvános vagy privát cím-e
NetworkAdapterType int Az IP-címhez rendelt eszköz által használt hálózati adapter típusa. A lehetséges értékekért tekintse meg ezt az enumerálást
ConnectedNetworks int Azok a hálózatok, amelyekhez a hozzárendelt IP-címmel rendelkező adapter csatlakozik. Minden JSON-tömb tartalmazza a hálózat nevét, kategóriáját (nyilvános, privát vagy tartomány), egy leírást és egy jelzőt, amely jelzi, hogy nyilvánosan csatlakozik-e az internethez

Szintaxis

AssignedIPAddresses(x, y)

Érvek

  • xDeviceId vagy DeviceName az eszközt azonosító érték
  • yTimestamp (datetime) érték, amely arra utasítja a függvényt, hogy egy adott időpontból szerezze be a legutóbbi hozzárendelt IP-címeket. Ha nincs megadva, a függvény a legújabb IP-címeket adja vissza.

Példák

Az eszköz által 24 órával ezelőtt használt IP-címek listájának lekérése

AssignedIPAddresses('example-device-name', ago(1d))

Az eszköz által használt IP-címek lekérése és a vele kommunikáló eszközök megkeresése

Ez a lekérdezés a AssignedIPAddresses() függvénnyel lekéri az eszközhöz (example-device-name) hozzárendelt IP-címeket egy adott dátumon vagy előtt (example-date). Ezután az IP-címekkel megkeresi a más eszközök által kezdeményezett eszközkapcsolatokat.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.