DeviceFromIP()
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Use a DeviceFromIP() função em suas consultas de caça avançadas para obter rapidamente a lista de dispositivos atribuídos a um determinado endereço IP em um determinado ponto no tempo.
Essa função retorna uma tabela com as seguintes colunas:
| Coluna | Tipo de dados | Descrição |
|---|---|---|
IP |
string |
Endereço IP |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
Sintaxe
invoke DeviceFromIP()
Argumentos
Essa função é invocada como parte de uma consulta.
- x— O primeiro parâmetro normalmente já é uma coluna na consulta. Nesse caso, é a coluna chamada
IP, o endereço IP para o qual você deseja ver uma lista de dispositivos atribuídos a ele. Deve ser um endereço IP local. Não há suporte para endereços IP externos. - y— Um segundo parâmetro opcional é o
Timestamp, que instrui a função a obter os dispositivos atribuídos mais recentes de uma hora específica. Se não for especificado, a função retornará os registros disponíveis mais recentes.
Exemplo
Obtenha os dispositivos mais recentes atribuídos a endereços IP específicos
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
Tópicos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de