Share via


AssignedIPAddresses()

Şunlar için geçerlidir:

  • Microsoft Defender XDR

AssignedIPAddresses() Bir cihaza atanmış olan en son IP adreslerini hızla elde etmek için gelişmiş tehdit avcılığı sorgularınızda işlevini kullanın. Bir zaman damgası bağımsız değişkeni belirtirseniz, bu işlev belirtilen zamanda en son IP adreslerini alır.

Bu işlev aşağıdaki sütunları içeren bir tablo döndürür:

Sütun Veri türü Açıklama
Timestamp datetime Cihazın IP adresi kullanılarak gözlemlendiği en son zaman
IPAddress string Cihaz tarafından kullanılan IP adresi
IPType string IP adresinin genel mi yoksa özel bir adres mi olduğunu gösterir
NetworkAdapterType int IP adresi atanmış olan cihaz tarafından kullanılan ağ bağdaştırıcısı türü. Olası değerler için bu numaralandırmaya bakın
ConnectedNetworks int Atanan IP adresine sahip bağdaştırıcının bağlı olduğu ağlar. Her JSON dizisi ağ adını, kategorisini (genel, özel veya etki alanı), bir açıklamayı ve İnternet'e genel olarak bağlanıp bağlanmadığını belirten bir bayrak içerir

Sözdizimi

AssignedIPAddresses(x, y)

Bağımsız değişken

  • xDeviceId veya DeviceName cihazı tanımlayan değer
  • yTimestamp (datetime) işlevine belirli bir zamandan en son atanan IP adreslerini almasını belirten değer. Belirtilmezse, işlev en son IP adreslerini döndürür.

Örnekler

24 saat önce bir cihaz tarafından kullanılan IP adreslerinin listesini alma

AssignedIPAddresses('example-device-name', ago(1d))

Cihaz tarafından kullanılan IP adreslerini alma ve cihazla iletişim kuran cihazları bulma

Bu sorgu, AssignedIPAddresses() belirli bir tarihteexample-date () veya öncesinde cihaz (example-device-name) için atanmış IP adreslerini almak için işlevini kullanır. Ardından, diğer cihazlar tarafından başlatılan cihaza bağlantıları bulmak için IP adreslerini kullanır.

let Date = datetime(example-date);
let DeviceName = "example-device-name";
// List IP addresses used on or before the specified date
AssignedIPAddresses(DeviceName, Date)
| project DeviceName, IPAddress, AssignedTime = Timestamp 
// Get all network events on devices with the assigned IP addresses as the destination addresses
| join kind=inner DeviceNetworkEvents on $left.IPAddress == $right.RemoteIP
// Get only network events around the time the IP address was assigned
| where Timestamp between ((AssignedTime - 1h) .. (AssignedTime + 1h))

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.