Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
AssignedIPAddresses() Använd funktionen i dina avancerade jaktfrågor för att snabbt hämta de senaste IP-adresserna som har tilldelats till en enhet. Om du anger ett tidsstämpelargument hämtar den här funktionen de senaste IP-adresserna vid den angivna tidpunkten.
Den här funktionen returnerar en tabell med följande kolumner:
| Kolumn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Senaste gången enheten observerades med IP-adressen |
IPAddress |
string |
IP-adress som används av enheten |
IPType |
string |
Anger om IP-adressen är en offentlig eller privat adress |
NetworkAdapterType |
int |
Nätverkskortstyp som används av den enhet som har tilldelats IP-adressen. Information om möjliga värden finns i den här uppräkningen |
ConnectedNetworks |
int |
Nätverk som nätverkskortet med den tilldelade IP-adressen är anslutet till. Varje JSON-matris innehåller nätverksnamn, kategori (offentlig, privat eller domän), en beskrivning och en flagga som anger om den är ansluten offentligt till Internet |
Syntax
AssignedIPAddresses(x, y)
Argument
-
x –
DeviceIdellerDeviceNamevärde som identifierar enheten -
y–
Timestamp(datetime)-värde som instruerar funktionen att hämta de senaste tilldelade IP-adresserna från en viss tid. Om den inte anges returnerar funktionen de senaste IP-adresserna.
Exempel
Hämta listan över IP-adresser som används av en enhet för 24 timmar sedan
AssignedIPAddresses('example-device-name', ago(1d))
Hämta IP-adresser som används av en enhet och hitta enheter som kommunicerar med den
Den här frågan använder AssignedIPAddresses() funktionen för att hämta tilldelade IP-adresser för enheten (example-device-name) på eller före ett visst datum (example-date). Den använder sedan IP-adresserna för att hitta anslutningar till enheten som initieras av andra enheter.
let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))
Relaterade ämnen
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.