DeviceFileCertificateInfo
Platí pro:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabulka DeviceFileCertificateInfo ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o podpisových certifikátech souborů. Tato tabulka používá data získaná z aktivit ověřování certifikátů, které se pravidelně provádějí u souborů na koncových bodech.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas vygenerování záznamu |
DeviceId |
string |
Jedinečný identifikátor zařízení ve službě |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
SHA1 |
string |
SHA-1 souboru, u kterého byla zaznamenaná akce použita |
IsSigned |
bool |
Označuje, jestli je soubor podepsaný. |
SignatureType |
string |
Označuje, jestli se informace o podpisu načetly jako vložený obsah v samotném souboru nebo z externího souboru katalogu. |
Signer |
string |
Informace o podepisující ho souboru |
SignerHash |
string |
Jedinečná hodnota hash identifikující podepisující osoby |
Issuer |
string |
Informace o vydávající certifikační autoritě (CA) |
IssuerHash |
string |
Jedinečná hodnota hash identifikující vydávající certifikační autoritu (CA) |
CertificateSerialNumber |
string |
Identifikátor certifikátu, který je jedinečný pro vydávající certifikační autoritu (CA) |
CrlDistributionPointUrls |
string |
Pole JSON obsahující adresy URL síťových sdílených složek, které obsahují certifikáty a seznamy odvolaných certifikátů (CRL) |
CertificateCreationTime |
datetime |
Datum a čas vytvoření certifikátu |
CertificateExpirationTime |
datetime |
Datum a čas, kdy je platnost certifikátu nastavená na vypršení platnosti |
CertificateCountersignatureTime |
datetime |
Datum a čas, kdy byl certifikát spolupodepsaný |
IsTrusted |
bool |
Určuje, jestli je soubor důvěryhodný na základě výsledků funkce WinVerifyTrust, která kontroluje informace o neznámém kořenovém certifikátu, neplatné podpisy, odvolané certifikáty a další pochybné atributy. |
IsRootSignerMicrosoft |
boolean |
Určuje, zda je podepisovatelem kořenového certifikátu Společnost Microsoft a jestli je soubor součástí operačního systému Windows. |
ReportId |
long |
Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp. |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.