Partilhar via


AssignedIPAddresses()

Aplica-se a:

  • Microsoft Defender XDR

Utilize a AssignedIPAddresses() função nas consultas de investigação avançadas para obter rapidamente os endereços IP mais recentes que foram atribuídos a um dispositivo. Se especificar um argumento de carimbo de data/hora, esta função obtém os endereços IP mais recentes no momento especificado.

Esta função devolve uma tabela com as seguintes colunas:

Coluna Tipo de dados Descrição
Timestamp datetime Hora mais recente em que o dispositivo foi observado com o endereço IP
IPAddress string Endereço IP utilizado pelo dispositivo
IPType string Indica se o endereço IP é um endereço público ou privado
NetworkAdapterType int Tipo de adaptador de rede utilizado pelo dispositivo a que foi atribuído o endereço IP. Para obter os valores possíveis, veja esta enumeração
ConnectedNetworks int Redes às quais o adaptador com o endereço IP atribuído está ligado. Cada matriz JSON contém o nome da rede, categoria (público, privado ou domínio), uma descrição e um sinalizador que indica se está ligado publicamente à Internet

Sintaxe

AssignedIPAddresses(x, y)

Argumentos

  • xDeviceId ou DeviceName valor que identifica o dispositivo
  • yTimestamp (datetime) valor a instruir a função para obter os endereços IP atribuídos mais recentemente a partir de uma hora específica. Se não for especificado, a função devolve os endereços IP mais recentes.

Exemplos

Obter a lista de endereços IP utilizados por um dispositivo há 24 horas

AssignedIPAddresses('example-device-name', ago(1d))

Obter endereços IP utilizados por um dispositivo e localizar dispositivos que comunicam com o mesmo

Esta consulta utiliza a AssignedIPAddresses() função para obter endereços IP atribuídos ao dispositivo (example-device-name) numa data específica (example-date). Em seguida, utiliza os endereços IP para localizar ligações ao dispositivo iniciadas por outros dispositivos.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.