DeviceFromIP()

Область применения:

• Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Используйте функцию DeviceFromIP() в расширенных запросах охоты , чтобы быстро получить список устройств, назначенных определенному IP-адресу в определенный момент времени.

Эта функция возвращает таблицу со следующими столбцами:

Столбец	Тип данных	Описание
IP	string	IP-адрес
DeviceId	string	Уникальный идентификатор устройства в службе

Синтаксис

invoke DeviceFromIP()

Аргументы

Эта функция вызывается как часть запроса.

• x — первый параметр обычно уже является столбцом в запросе. В этом случае это столбец с именем IP, IP-адрес, для которого вы хотите увидеть список устройств, назначенных ему. Это должен быть локальный IP-адрес. Внешние IP-адреса не поддерживаются.
• y — вторым необязательным параметром Timestampявляется , который указывает функции получить последние назначенные устройства за определенное время. Если этот параметр не указан, функция возвращает последние доступные записи.

Пример

Получение последних устройств, которым назначены определенные IP-адреса

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Статьи по теме

• Обзор расширенной охоты
• Изучение языка запросов
• Сведения о схеме

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.