问题描述
我正在尝试获取在 ATP 中超过 24 小时未报告的服务器并运行以下内容,但获得的数据不正确:
DeviceInfo
| where isnotnull(OSBuild)
| summarize last_seen = max(Timestamp) by DeviceId,DeviceName,OSPlatform,OSBuild
| project last_seen,DeviceId,OSBuild
| where OSPlatform contains "server" //added this line to filter for servers only
| where last_seen > ago(24h)
| sort by last_seen asc
查询结果不仅显示具有昨天时间戳的设备,还显示今天...... 在 Defender ATP 的高级搜索中运行查询。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)