AssignedIPAddresses()
Érintett szolgáltatás:
- Microsoft Defender XDR
AssignedIPAddresses()
A speciális veszélyforrás-keresési lekérdezések függvényével gyorsan lekérte az eszközhöz rendelt legújabb IP-címeket. Ha időbélyeg argumentumot ad meg, ez a függvény a megadott időpontban szerzi be a legújabb IP-címeket.
Ez a függvény egy táblát ad vissza a következő oszlopokkal:
Oszlop | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
A legutóbbi időpont, amikor az eszközt az IP-cím használatával figyelték meg |
IPAddress |
string |
Az eszköz által használt IP-cím |
IPType |
string |
Azt jelzi, hogy az IP-cím nyilvános vagy privát cím-e |
NetworkAdapterType |
int |
Az IP-címhez rendelt eszköz által használt hálózati adapter típusa. A lehetséges értékekért tekintse meg ezt az enumerálást |
ConnectedNetworks |
int |
Azok a hálózatok, amelyekhez a hozzárendelt IP-címmel rendelkező adapter csatlakozik. Minden JSON-tömb tartalmazza a hálózat nevét, kategóriáját (nyilvános, privát vagy tartomány), egy leírást és egy jelzőt, amely jelzi, hogy nyilvánosan csatlakozik-e az internethez |
Szintaxis
AssignedIPAddresses(x, y)
Érvek
- x –
DeviceId
vagyDeviceName
az eszközt azonosító érték - y –
Timestamp
(datetime) érték, amely arra utasítja a függvényt, hogy egy adott időpontból szerezze be a legutóbbi hozzárendelt IP-címeket. Ha nincs megadva, a függvény a legújabb IP-címeket adja vissza.
Példák
Az eszköz által 24 órával ezelőtt használt IP-címek listájának lekérése
AssignedIPAddresses('example-device-name', ago(1d))
Az eszköz által használt IP-címek lekérése és a vele kommunikáló eszközök megkeresése
Ez a lekérdezés a AssignedIPAddresses()
függvénnyel lekéri az eszközhöz (example-device-name
) hozzárendelt IP-címeket egy adott dátumon vagy előtt (example-date
). Ezután az IP-címekkel megkeresi a más eszközök által kezdeményezett eszközkapcsolatokat.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Kapcsolódó témakörök
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.