DeviceFromIP()
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
DeviceFromIP()使用高级搜寻查询中的 函数快速获取在给定时间点分配给特定 IP 地址的设备列表。
此函数返回具有以下列的表:
| Column | 数据类型 | 说明 |
|---|---|---|
IP |
string |
IP 地址 |
DeviceId |
string |
服务中设备的唯一标识符 |
语法
invoke DeviceFromIP()
参数
此函数作为查询的一部分调用。
-
x - 第一个参数通常已是查询中的列。 在本例中,它是名为
IP的列,你希望查看为其分配的设备列表的 IP 地址。 它应该是本地 IP 地址。 不支持外部 IP 地址。 -
y - 第二个可选参数是
Timestamp,它指示函数从特定时间获取最近分配的设备。 如果未指定,函数将返回最新的可用记录。
示例
获取已分配特定 IP 地址的最新设备
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。