次の方法で共有

AssignedIPAddresses()

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

AssignedIPAddresses() 高度なハンティング クエリの関数を使用して、デバイスに割り当てられている最新の IP アドレスをすばやく取得します。 timestamp 引数を指定すると、この関数は指定した時刻に最新の IP アドレスを取得します。

この関数は、次の列を含むテーブルを返します。

Column データ型 説明
Timestamp datetime IP アドレスを使用してデバイスが観察された最新時刻
IPAddress string デバイスで使用される IP アドレス
IPType string IP アドレスがパブリック アドレスかプライベート アドレスかを示します
NetworkAdapterType int IP アドレスが割り当てられているデバイスで使用されるネットワーク アダプターの種類。 使用可能な値については、この列挙体を参照してください
ConnectedNetworks int 割り当てられた IP アドレスを持つアダプターが接続されているネットワーク。 各 JSON 配列には、ネットワーク名、カテゴリ (パブリック、プライベート、またはドメイン)、説明、およびインターネットにパブリックに接続されているかどうかを示すフラグが含まれています

構文

AssignedIPAddresses(x, y)

引数

  • xDeviceId または DeviceName デバイスを識別する値
  • yTimestamp (datetime) 値は、特定の時刻から割り当てられた最新の IP アドレスを取得するように関数に指示します。 指定しない場合、関数は最新の IP アドレスを返します。

24 時間前にデバイスで使用される IP アドレスの一覧を取得する

AssignedIPAddresses('example-device-name', ago(1d))

デバイスで使用される IP アドレスを取得し、デバイスと通信しているデバイスを見つける

このクエリでは、 関数をAssignedIPAddresses()使用して、特定の日付example-date () 以前のデバイス (example-device-name) に割り当てられた IP アドレスを取得します。 その後、IP アドレスを使用して、他のデバイスによって開始されたデバイスへの接続を検索します。

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします