Delen via


AssignedIPAddresses()

Van toepassing op:

  • Microsoft Defender XDR

Gebruik de AssignedIPAddresses() functie in uw geavanceerde opsporingsquery's om snel de meest recente IP-adressen te verkrijgen die zijn toegewezen aan een apparaat. Als u een tijdstempelargument opgeeft, verkrijgt deze functie de meest recente IP-adressen op het opgegeven tijdstip.

Deze functie retourneert een tabel met de volgende kolommen:

Kolom Gegevenstype: Beschrijving
Timestamp datetime Laatste tijdstip waarop het apparaat is waargenomen met behulp van het IP-adres
IPAddress string IP-adres dat wordt gebruikt door het apparaat
IPType string Geeft aan of het IP-adres een openbaar of privé-adres is
NetworkAdapterType int Het type netwerkadapter dat wordt gebruikt door het apparaat waaraan het IP-adres is toegewezen. Raadpleeg deze opsomming voor de mogelijke waarden
ConnectedNetworks int Netwerken waarmee de adapter met het toegewezen IP-adres is verbonden. Elke JSON-matrix bevat de netwerknaam, categorie (openbaar, privé of domein), een beschrijving en een vlag die aangeeft of deze openbaar is verbonden met internet

Syntaxis

AssignedIPAddresses(x, y)

Argumenten

  • xDeviceId of DeviceName waarde die het apparaat identificeert
  • yTimestamp (datum/tijd) waarde die de functie instrueert om de meest recent toegewezen IP-adressen van een specifieke tijd op te halen. Als deze niet is opgegeven, retourneert de functie de meest recente IP-adressen.

Voorbeelden

De lijst met IP-adressen ophalen die 24 uur geleden door een apparaat worden gebruikt

AssignedIPAddresses('example-device-name', ago(1d))

IP-adressen ophalen die door een apparaat worden gebruikt en apparaten zoeken die ermee communiceren

Deze query gebruikt de AssignedIPAddresses() functie om toegewezen IP-adressen op te halen voor het apparaat (example-device-name) op of vóór een specifieke datum (example-date). Vervolgens worden de IP-adressen gebruikt om verbindingen met het apparaat te vinden die door andere apparaten zijn geïnitieerd.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.