AssignedIPAddresses()
Gäller för:
- Microsoft Defender XDR
AssignedIPAddresses() Använd funktionen i dina avancerade jaktfrågor för att snabbt hämta de senaste IP-adresserna som har tilldelats till en enhet. Om du anger ett tidsstämpelargument hämtar den här funktionen de senaste IP-adresserna vid den angivna tidpunkten.
Den här funktionen returnerar en tabell med följande kolumner:
| Kolumn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Senaste gången enheten observerades med IP-adressen |
IPAddress |
string |
IP-adress som används av enheten |
IPType |
string |
Anger om IP-adressen är en offentlig eller privat adress |
NetworkAdapterType |
int |
Nätverkskortstyp som används av den enhet som har tilldelats IP-adressen. Information om möjliga värden finns i den här uppräkningen |
ConnectedNetworks |
int |
Nätverk som nätverkskortet med den tilldelade IP-adressen är anslutet till. Varje JSON-matris innehåller nätverksnamn, kategori (offentlig, privat eller domän), en beskrivning och en flagga som anger om den är ansluten offentligt till Internet |
Syntax
AssignedIPAddresses(x, y)
Argument
- x –
DeviceIdellerDeviceNamevärde som identifierar enheten - y–
Timestamp(datetime)-värde som instruerar funktionen att hämta de senaste tilldelade IP-adresserna från en viss tid. Om den inte anges returnerar funktionen de senaste IP-adresserna.
Exempel
Hämta listan över IP-adresser som används av en enhet för 24 timmar sedan
AssignedIPAddresses('example-device-name', ago(1d))
Hämta IP-adresser som används av en enhet och hitta enheter som kommunicerar med den
Den här frågan använder AssignedIPAddresses() funktionen för att hämta tilldelade IP-adresser för enheten (example-device-name) på eller före ett visst datum (example-date). Den använder sedan IP-adresserna för att hitta anslutningar till enheten som initieras av andra enheter.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Relaterade ämnen
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för