FileProfile()

ملاحظة

هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender واختبارها.

ينطبق على:

  • Microsoft 365 Defender

FileProfile() الدالة هي دالة إثراء في التتبع المتقدم تضيف البيانات التالية إلى الملفات التي عثر عليها الاستعلام.

العمود نوع البيانات الوصف
SHA1 string SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه
SHA256 string SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه
MD5 string تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه
FileSize int حجم الملف بالبايت
GlobalPrevalence int عدد مثيلات الكيان التي لاحظتها Microsoft عالميا
GlobalFirstSeen datetime تاريخ ووقت ملاحظة الكيان لأول مرة من قبل Microsoft عالميا
GlobalLastSeen datetime تاريخ ووقت آخر ملاحظة للكيان من قبل Microsoft عالميا
Signer string معلومات حول الموقع على الملف
Issuer string معلومات حول المرجع المصدق المصدر (CA)
SignerHash string قيمة تجزئة فريدة تحدد الموقع
IsCertificateValid boolean ما إذا كانت الشهادة المستخدمة لتوقيع الملف صالحة
IsRootSignerMicrosoft boolean يشير إلى ما إذا كان الموقع على الشهادة الجذر هو Microsoft والملف مضمن في نظام التشغيل Windows
SignatureState string حالة توقيع الملف: SignedValid - تم توقيع الملف بتوقيع صالح، SignedInvalid - تم توقيع الملف ولكن الشهادة غير صالحة، غير موقعة - الملف غير موقع، غير معروف - لا يمكن استرداد معلومات حول الملف
IsExecutable boolean ما إذا كان الملف ملفا قابلا للتنفيذ محمولا (PE)
ThreatName string اسم الكشف عن أي برامج ضارة أو تهديدات أخرى تم العثور عليها
Publisher string اسم المؤسسة التي نشرت الملف
SoftwareName string اسم منتج البرنامج
ProfileAvailability string يشير إلى حالة توفر بيانات ملف التعريف للملف: متوفر - تم الاستعلام عن ملف التعريف بنجاح وإرجاع بيانات الملف، مفقود - تم الاستعلام عن ملف التعريف بنجاح ولكن لم يتم العثور على أي معلومات ملف، خطأ - تم تجاوز الخطأ في الاستعلام عن معلومات الملف أو الحد الأقصى للوقت المخصص قبل إكمال الاستعلام، أو قيمة فارغة - إذا كان معرف الملف غير صالح أو تم الوصول إلى الحد الأقصى لعدد الملفات

بناء الجمله

invoke FileProfile(x,y)

الحجج

  • x—عمود معرف الملف لاستخدامه: SHA1أو SHA256أو InitiatingProcessSHA1أو InitiatingProcessSHA256أو ; تستخدم SHA1 الدالة إذا لم يتم تحديدها
  • y - الحد من عدد السجلات المراد إثراؤها، من 1 إلى 1000؛ تستخدم الدالة 100 إذا لم يتم تحديدها

تلميح

لن تعرض وظائف الإثراء معلومات تكميلية إلا عند توفرها. إن توفر المعلومات متنوع ويعتمد على الكثير من العوامل. تأكد من مراعاة ذلك عند استخدام FileProfile() في استعلاماتك أو في إنشاء اكتشافات مخصصة. للحصول على أفضل النتائج، نوصي باستخدام الدالة FileProfile() مع SHA1.

أمثلة

عرض عمود SHA1 فقط وإثرائه

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

إثراء أول 500 سجل وسرد الملفات منخفضة الانتشار

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15