FileProfile()
Poznámka
Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotovat Microsoft 365 Defender.
Platí pro:
- Microsoft 365 Defender
Funkce FileProfile() je funkce rozšiřování v pokročilém proaktivním vyhledávání , která přidává následující data do souborů nalezených dotazem.
| Sloupec | Datový typ | Popis |
|---|---|---|
SHA1 |
string |
SHA-1 souboru, u kterého byla zaznamenaná akce použita |
SHA256 |
string |
SHA-256 souboru, u kterého byla zaznamenaná akce použita |
MD5 |
string |
Hodnota hash MD5 souboru, u kterého byla zaznamenaná akce použita |
FileSize |
int |
Velikost souboru v bajtech |
GlobalPrevalence |
int |
Počet instancí entity, které Microsoft zaznamenal globálně |
GlobalFirstSeen |
datetime |
Datum a čas, kdy společnost Microsoft entitu poprvé globálně zaznamenala |
GlobalLastSeen |
datetime |
Datum a čas, kdy microsoft entitu naposledy globálně zaznamenal |
Signer |
string |
Informace o podepisující ho souboru |
Issuer |
string |
Informace o vydávající certifikační autoritě (CA) |
SignerHash |
string |
Jedinečná hodnota hash identifikující podepisujícího |
IsCertificateValid |
boolean |
Jestli je certifikát použitý k podepsání souboru platný |
IsRootSignerMicrosoft |
boolean |
Označuje, jestli podepisující kořenový certifikát je Microsoft a soubor je integrovaný v operačním systému Windows. |
SignatureState |
string |
Stav podpisu souboru: SignedValid – soubor je podepsaný platným podpisem, SignedInvalid – soubor je podepsaný, ale certifikát je neplatný, Nepodepsaný – soubor není podepsaný, Neznámý – informace o souboru nelze načíst. |
IsExecutable |
boolean |
Určuje, jestli je soubor souborem pe (Portable Executable) |
ThreatName |
string |
Název detekce malwaru nebo jiných zjištěných hrozeb |
Publisher |
string |
Název organizace, která soubor publikovala |
SoftwareName |
string |
Název softwarového produktu |
ProfileAvailability |
string |
Označuje stav dostupnosti dat profilu pro soubor: K dispozici – profil byl úspěšně dotazován a vrácená data souboru, Chybějící – profil byl úspěšně dotazován, ale nebyly nalezeny žádné informace o souboru, Chyba – chyba při dotazování na informace o souboru nebo došlo k překročení maximálního přiděleného času před dokončením dotazu nebo prázdná hodnota – pokud je ID souboru neplatné nebo bylo dosaženo maximálního počtu souborů. |
Syntaxe
invoke FileProfile(x,y)
Argumenty
- x – sloupec ID souboru, který se má použít:
SHA1,SHA256,InitiatingProcessSHA1neboInitiatingProcessSHA256; použijeSHA1funkce, pokud není určená. - y – limit počtu záznamů, které se mají rozšířit, 1-1000; funkce používá 100, pokud není zadáno
Tip
Funkce rozšiřování zobrazí doplňující informace pouze tehdy, jsou-li k dispozici. Dostupnost informací je různá a závisí na mnoha faktorech. Nezapomeňte to vzít v úvahu při použití fileProfile() v dotazech nebo při vytváření vlastních detekcí. Nejlepších výsledků dosáhnete, když použijete funkci FileProfile() s sha1.
Příklady
Promítat pouze sloupec SHA1 a rozšířit ho
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Obohacení prvních 500 záznamů a výpis souborů s nízkou prevalencí
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15