Выполнение запроса kusto для поиска серверов, не отправляющих отчеты в ATP более 24 часов, не дает правильной информации

Я пытаюсь получить серверы, которые не отчитывались более 24 часов в ATP, и выполняю следующее, но получаю неверные данные:

DeviceInfo
| where isnotnull(OSBuild) 
| summarize last_seen = max(Timestamp) by  DeviceId, DeviceName, OSPlatform, OSBuild
| project last_seen, DeviceId, DeviceName, OSPlatform, OSBuild
| where OSPlatform contains "server" //added this line to filter for servers only
| where last_seen > ago(24h)
| sort by last_seen asc

Результат запроса показывает устройства не только со вчерашней меткой времени, но и сегодня ... Выполнение запроса в расширенном поиске Defender ATP.

введите здесь описание изображения


azure kql windows-defender
person 1nkotb    schedule 09.03.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вам следует изменить:

| where last_seen > ago(24h)

To

| where last_seen < ago(24h)

person Slavik N    schedule 09.03.2021
comment
получить аналогичный результат ... Я хотел бы сузить его до устройств, которые не видели более 24 часов - person 1nkotb; 09.03.2021
comment
Это слишком странно ... Когда у вас есть фильтр | where last_seen < ago(24h), вы должны видеть только записи, в которых значение last_seen меньше ago(24h). Вы видите что-то еще ..? - person Slavik N; 10.03.2021
comment
просто чтобы убедиться, что мы находимся на одной странице ... из раскрывающегося списка с правой стороны я выбрал 7 дней. запустите запрос и получите устройства с last_seen старыми, начиная с 3 марта, и новыми, начиная с 5 марта - person 1nkotb; 10.03.2021
comment
Таким образом, запрос, похоже, работает правильно - действительно, значение last_seen старше, чем ago (1d). Так что я не понимаю, чего не хватает ... - person Slavik N; 10.03.2021
comment
Привет, @Slavik N, похоже, результаты уже идут, но проблема, с которой я столкнулся, - это временная метка, что неверно. Я получаю отметку времени в своих результатах, которая указывает на то, что мой сервер не передает отчеты в ATP, но когда на самом деле происходит переход на конкретный сервер, все в порядке ... Я хотел бы знать, почему такое несоответствие ... Часовой пояс настроен на местный. - person 1nkotb; 11.03.2021
comment
Что ж, этот вопрос должен быть у ATP ... Что касается ADX / Kusto - запрос работает нормально. Единственная ошибка, которую вы допустили в своем запросе, - это использование «› »вместо« ‹», как я указал в своем ответе. Если это поможет, примите ответ. Спасибо. - person Slavik N; 11.03.2021