AssignedIPAddresses()
Van toepassing op:
- Microsoft Defender XDR
Gebruik de AssignedIPAddresses()
functie in uw geavanceerde opsporingsquery's om snel de meest recente IP-adressen te verkrijgen die zijn toegewezen aan een apparaat. Als u een tijdstempelargument opgeeft, verkrijgt deze functie de meest recente IP-adressen op het opgegeven tijdstip.
Deze functie retourneert een tabel met de volgende kolommen:
Kolom | Gegevenstype: | Beschrijving |
---|---|---|
Timestamp |
datetime |
Laatste tijdstip waarop het apparaat is waargenomen met behulp van het IP-adres |
IPAddress |
string |
IP-adres dat wordt gebruikt door het apparaat |
IPType |
string |
Geeft aan of het IP-adres een openbaar of privé-adres is |
NetworkAdapterType |
int |
Het type netwerkadapter dat wordt gebruikt door het apparaat waaraan het IP-adres is toegewezen. Raadpleeg deze opsomming voor de mogelijke waarden |
ConnectedNetworks |
int |
Netwerken waarmee de adapter met het toegewezen IP-adres is verbonden. Elke JSON-matrix bevat de netwerknaam, categorie (openbaar, privé of domein), een beschrijving en een vlag die aangeeft of deze openbaar is verbonden met internet |
Syntaxis
AssignedIPAddresses(x, y)
Argumenten
- x—
DeviceId
ofDeviceName
waarde die het apparaat identificeert - y—
Timestamp
(datum/tijd) waarde die de functie instrueert om de meest recent toegewezen IP-adressen van een specifieke tijd op te halen. Als deze niet is opgegeven, retourneert de functie de meest recente IP-adressen.
Voorbeelden
De lijst met IP-adressen ophalen die 24 uur geleden door een apparaat worden gebruikt
AssignedIPAddresses('example-device-name', ago(1d))
IP-adressen ophalen die door een apparaat worden gebruikt en apparaten zoeken die ermee communiceren
Deze query gebruikt de AssignedIPAddresses()
functie om toegewezen IP-adressen op te halen voor het apparaat (example-device-name
) op of vóór een specifieke datum (example-date
). Vervolgens worden de IP-adressen gebruikt om verbindingen met het apparaat te vinden die door andere apparaten zijn geïnitieerd.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Verwante onderwerpen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.