Sdílet prostřednictvím


DeviceFileCertificateInfo

Platí pro:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Tabulka DeviceFileCertificateInfo ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o podpisových certifikátech souborů. Tato tabulka používá data získaná z aktivit ověřování certifikátů, které se pravidelně provádějí u souborů na koncových bodech.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas vygenerování záznamu
DeviceId string Jedinečný identifikátor zařízení ve službě
DeviceName string Plně kvalifikovaný název domény (FQDN) zařízení
SHA1 string SHA-1 souboru, u kterého byla zaznamenaná akce použita
IsSigned bool Označuje, jestli je soubor podepsaný.
SignatureType string Označuje, jestli se informace o podpisu načetly jako vložený obsah v samotném souboru nebo z externího souboru katalogu.
Signer string Informace o podepisující ho souboru
SignerHash string Jedinečná hodnota hash identifikující podepisující osoby
Issuer string Informace o vydávající certifikační autoritě (CA)
IssuerHash string Jedinečná hodnota hash identifikující vydávající certifikační autoritu (CA)
CertificateSerialNumber string Identifikátor certifikátu, který je jedinečný pro vydávající certifikační autoritu (CA)
CrlDistributionPointUrls string Pole JSON obsahující adresy URL síťových sdílených složek, které obsahují certifikáty a seznamy odvolaných certifikátů (CRL)
CertificateCreationTime datetime Datum a čas vytvoření certifikátu
CertificateExpirationTime datetime Datum a čas, kdy je platnost certifikátu nastavená na vypršení platnosti
CertificateCountersignatureTime datetime Datum a čas, kdy byl certifikát spolupodepsaný
IsTrusted bool Určuje, jestli je soubor důvěryhodný na základě výsledků funkce WinVerifyTrust, která kontroluje informace o neznámém kořenovém certifikátu, neplatné podpisy, odvolané certifikáty a další pochybné atributy.
IsRootSignerMicrosoft boolean Určuje, zda je podepisovatelem kořenového certifikátu Společnost Microsoft a jestli je soubor součástí operačního systému Windows.
ReportId long Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.