AssignedIPAddresses()
Aplica-se a:
- Microsoft Defender XDR
Utilize a AssignedIPAddresses()
função nas consultas de investigação avançadas para obter rapidamente os endereços IP mais recentes que foram atribuídos a um dispositivo. Se especificar um argumento de carimbo de data/hora, esta função obtém os endereços IP mais recentes no momento especificado.
Esta função devolve uma tabela com as seguintes colunas:
Coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Hora mais recente em que o dispositivo foi observado com o endereço IP |
IPAddress |
string |
Endereço IP utilizado pelo dispositivo |
IPType |
string |
Indica se o endereço IP é um endereço público ou privado |
NetworkAdapterType |
int |
Tipo de adaptador de rede utilizado pelo dispositivo a que foi atribuído o endereço IP. Para obter os valores possíveis, veja esta enumeração |
ConnectedNetworks |
int |
Redes às quais o adaptador com o endereço IP atribuído está ligado. Cada matriz JSON contém o nome da rede, categoria (público, privado ou domínio), uma descrição e um sinalizador que indica se está ligado publicamente à Internet |
Sintaxe
AssignedIPAddresses(x, y)
Argumentos
- x—
DeviceId
ouDeviceName
valor que identifica o dispositivo - y —
Timestamp
(datetime) valor a instruir a função para obter os endereços IP atribuídos mais recentemente a partir de uma hora específica. Se não for especificado, a função devolve os endereços IP mais recentes.
Exemplos
Obter a lista de endereços IP utilizados por um dispositivo há 24 horas
AssignedIPAddresses('example-device-name', ago(1d))
Obter endereços IP utilizados por um dispositivo e localizar dispositivos que comunicam com o mesmo
Esta consulta utiliza a AssignedIPAddresses()
função para obter endereços IP atribuídos ao dispositivo (example-device-name
) numa data específica (example-date
). Em seguida, utiliza os endereços IP para localizar ligações ao dispositivo iniciadas por outros dispositivos.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Tópicos relacionados
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.