FileProfile()
ملاحظة
هل تريد تجربة Microsoft 365 Defender؟ تعرف على المزيد حول كيفية تقييم Microsoft 365 Defender واختبارها.
ينطبق على:
- Microsoft 365 Defender
FileProfile()
الدالة هي دالة إثراء في التتبع المتقدم تضيف البيانات التالية إلى الملفات التي عثر عليها الاستعلام.
العمود | نوع البيانات | الوصف |
---|---|---|
SHA1 |
string |
SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA256 |
string |
SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه |
MD5 |
string |
تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه |
FileSize |
int |
حجم الملف بالبايت |
GlobalPrevalence |
int |
عدد مثيلات الكيان التي لاحظتها Microsoft عالميا |
GlobalFirstSeen |
datetime |
تاريخ ووقت ملاحظة الكيان لأول مرة من قبل Microsoft عالميا |
GlobalLastSeen |
datetime |
تاريخ ووقت آخر ملاحظة للكيان من قبل Microsoft عالميا |
Signer |
string |
معلومات حول الموقع على الملف |
Issuer |
string |
معلومات حول المرجع المصدق المصدر (CA) |
SignerHash |
string |
قيمة تجزئة فريدة تحدد الموقع |
IsCertificateValid |
boolean |
ما إذا كانت الشهادة المستخدمة لتوقيع الملف صالحة |
IsRootSignerMicrosoft |
boolean |
يشير إلى ما إذا كان الموقع على الشهادة الجذر هو Microsoft والملف مضمن في نظام التشغيل Windows |
SignatureState |
string |
حالة توقيع الملف: SignedValid - تم توقيع الملف بتوقيع صالح، SignedInvalid - تم توقيع الملف ولكن الشهادة غير صالحة، غير موقعة - الملف غير موقع، غير معروف - لا يمكن استرداد معلومات حول الملف |
IsExecutable |
boolean |
ما إذا كان الملف ملفا قابلا للتنفيذ محمولا (PE) |
ThreatName |
string |
اسم الكشف عن أي برامج ضارة أو تهديدات أخرى تم العثور عليها |
Publisher |
string |
اسم المؤسسة التي نشرت الملف |
SoftwareName |
string |
اسم منتج البرنامج |
ProfileAvailability |
string |
يشير إلى حالة توفر بيانات ملف التعريف للملف: متوفر - تم الاستعلام عن ملف التعريف بنجاح وإرجاع بيانات الملف، مفقود - تم الاستعلام عن ملف التعريف بنجاح ولكن لم يتم العثور على أي معلومات ملف، خطأ - تم تجاوز الخطأ في الاستعلام عن معلومات الملف أو الحد الأقصى للوقت المخصص قبل إكمال الاستعلام، أو قيمة فارغة - إذا كان معرف الملف غير صالح أو تم الوصول إلى الحد الأقصى لعدد الملفات |
بناء الجمله
invoke FileProfile(x,y)
الحجج
- x—عمود معرف الملف لاستخدامه:
SHA1
أوSHA256
أوInitiatingProcessSHA1
أوInitiatingProcessSHA256
أو ; تستخدمSHA1
الدالة إذا لم يتم تحديدها - y - الحد من عدد السجلات المراد إثراؤها، من 1 إلى 1000؛ تستخدم الدالة 100 إذا لم يتم تحديدها
تلميح
لن تعرض وظائف الإثراء معلومات تكميلية إلا عند توفرها. إن توفر المعلومات متنوع ويعتمد على الكثير من العوامل. تأكد من مراعاة ذلك عند استخدام FileProfile() في استعلاماتك أو في إنشاء اكتشافات مخصصة. للحصول على أفضل النتائج، نوصي باستخدام الدالة FileProfile() مع SHA1.
أمثلة
عرض عمود SHA1 فقط وإثرائه
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
إثراء أول 500 سجل وسرد الملفات منخفضة الانتشار
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15