DeviceFromIP()

Gjelder for:

• Microsoft Defender XDR

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

DeviceFromIP() Bruk funksjonen i avanserte jaktspørringer til raskt å hente listen over enheter som er tilordnet en bestemt IP-adresse på et gitt tidspunkt.

Denne funksjonen returnerer en tabell med følgende kolonner:

Kolonne	Datatype	Beskrivelse
IP	string	IP-adresse
DeviceId	string	Unik identifikator for enheten i tjenesten

Syntaks

invoke DeviceFromIP()

Argumenter

Denne funksjonen aktiveres som en del av en spørring.

• x – Den første parameteren er vanligvis allerede en kolonne i spørringen. I dette tilfellet er det kolonnen med navnet IP, IP-adressen som du vil se en liste over enheter som er tilordnet til den. Det må være en lokal IP-adresse. Eksterne IP-adresser støttes ikke.
• y – En annen valgfri parameter er Timestamp, som instruerer funksjonen om å hente de nyeste tilordnede enhetene fra et bestemt tidspunkt. Hvis den ikke er angitt, returnerer funksjonen de nyeste tilgjengelige postene.

Eksempel

Få de nyeste enhetene som er tilordnet bestemte IP-adresser

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Beslektede emner

• Oversikt over avansert jakt
• Lær spørringsspråket
• Forstå skjemaet

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.