DeviceFromIP()
注意事項
想要體驗Microsoft Defender 全面偵測回應嗎? 深入瞭解如何評估和試驗Microsoft Defender 全面偵測回應。
適用於:
- Microsoft Defender XDR
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
DeviceFromIP()
在進階搜捕查詢中使用 函式,快速取得在指定時間點指派給特定 IP 位址的裝置清單。
此函式會傳回具有下列資料行的資料表:
欄 | 資料類型 | 描述 |
---|---|---|
IP |
string |
IP 位址 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
語法
invoke DeviceFromIP()
引數
此函式會當做查詢的一部分叫用。
- x— 第一個參數通常已經是查詢中的資料行。 在此情況下,這是名為 的資料
IP
行,這是您想要查看已指派給它的裝置清單的 IP 位址。 它應該是本機 IP 位址。 不支援外部 IP 位址。 - y— 第二個選擇性參數是
Timestamp
,它會指示函式從特定時間取得最近指派的裝置。 如果未指定,此函式會傳回最新的可用記錄。
範例
取得已指派特定 IP 位址的最新裝置
DeviceNetworkEvents
| limit 100
| project IP = LocalIP
| invoke DeviceFromIP()
相關主題
提示
想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動:Microsoft Defender 全面偵測回應技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱提交並檢視相關的意見反應