DeviceFromIP()

Gäller för:

• Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

DeviceFromIP() Använd funktionen i dina avancerade jaktfrågor för att snabbt hämta listan över enheter som har tilldelats till en viss IP-adress vid en viss tidpunkt.

Den här funktionen returnerar en tabell med följande kolumner:

Kolumn	Datatyp	Beskrivning
IP	string	IP-adress
DeviceId	string	Unik identifierare för enheten i tjänsten

Syntax

invoke DeviceFromIP()

Argument

Den här funktionen anropas som en del av en fråga.

• x – Den första parametern är vanligtvis redan en kolumn i frågan. I det här fallet är det kolumnen med namnet IP, IP-adressen som du vill se en lista över enheter som har tilldelats till den. Det ska vara en lokal IP-adress. Externa IP-adresser stöds inte.
• y – En andra valfri parameter är Timestamp, som instruerar funktionen att hämta de senaste tilldelade enheterna från en viss tid. Om det inte anges returnerar funktionen de senaste tillgängliga posterna.

Exempel

Hämta de senaste enheterna som har tilldelats specifika IP-adresser

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Relaterade ämnen

• Översikt över avancerad jakt
• Lär dig frågespråket
• Förstå schemat

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.