DeviceFromIP()

注意事項

想要體驗Microsoft Defender 全面偵測回應嗎? 深入瞭解如何評估和試驗Microsoft Defender 全面偵測回應

適用於:

  • Microsoft Defender XDR

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

DeviceFromIP()在進階搜捕查詢中使用 函式,快速取得在指定時間點指派給特定 IP 位址的裝置清單。

此函式會傳回具有下列資料行的資料表:

資料類型 描述
IP string IP 位址
DeviceId string 服務中裝置的唯一識別碼

語法

invoke DeviceFromIP()

引數

此函式會當做查詢的一部分叫用。

  • x— 第一個參數通常已經是查詢中的資料行。 在此情況下,這是名為 的資料 IP 行,這是您想要查看已指派給它的裝置清單的 IP 位址。 它應該是本機 IP 位址。 不支援外部 IP 位址。
  • y— 第二個選擇性參數是 Timestamp ,它會指示函式從特定時間取得最近指派的裝置。 如果未指定,此函式會傳回最新的可用記錄。

範例

取得已指派特定 IP 位址的最新裝置

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動:Microsoft Defender 全面偵測回應技術社群。