DeviceFromIP()

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Use a DeviceFromIP() função em suas consultas de caça avançadas para obter rapidamente a lista de dispositivos atribuídos a um determinado endereço IP em um determinado ponto no tempo.

Essa função retorna uma tabela com as seguintes colunas:

Coluna Tipo de dados Descrição
IP string Endereço IP
DeviceId string Identificador exclusivo para o dispositivo no serviço

Sintaxe

invoke DeviceFromIP()

Argumentos

Essa função é invocada como parte de uma consulta.

  • x— O primeiro parâmetro normalmente já é uma coluna na consulta. Nesse caso, é a coluna chamada IP, o endereço IP para o qual você deseja ver uma lista de dispositivos atribuídos a ele. Deve ser um endereço IP local. Não há suporte para endereços IP externos.
  • y— Um segundo parâmetro opcional é o Timestamp, que instrui a função a obter os dispositivos atribuídos mais recentes de uma hora específica. Se não for especificado, a função retornará os registros disponíveis mais recentes.

Exemplo

Obtenha os dispositivos mais recentes atribuídos a endereços IP específicos

DeviceNetworkEvents 
| limit 100 
| project IP = LocalIP 
| invoke DeviceFromIP()

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.