DeviceFromIP()

Aplica-se a:

• Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Use a DeviceFromIP() função em suas consultas de caça avançadas para obter rapidamente a lista de dispositivos atribuídos a um determinado endereço IP em um determinado ponto no tempo.

Essa função retorna uma tabela com as seguintes colunas:

Coluna	Tipo de dados	Descrição
IP	string	Endereço IP
DeviceId	string	Identificador exclusivo para o dispositivo no serviço

Sintaxe

invoke DeviceFromIP()

Argumentos

Essa função é invocada como parte de uma consulta.

• x— O primeiro parâmetro normalmente já é uma coluna na consulta. Nesse caso, é a coluna chamada IP, o endereço IP para o qual você deseja ver uma lista de dispositivos atribuídos a ele. Deve ser um endereço IP local. Não há suporte para endereços IP externos.
• y— Um segundo parâmetro opcional é o Timestamp, que instrui a função a obter os dispositivos atribuídos mais recentes de uma hora específica. Se não for especificado, a função retornará os registros disponíveis mais recentes.

Exemplo

Obtenha os dispositivos mais recentes atribuídos a endereços IP específicos

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Tópicos relacionados

• Visão geral da busca avançada
• Aprender a linguagem de consulta
• Compreender o esquema

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.