DeviceFileCertificateInfo
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt
Die DeviceFileCertificateInfo Tabelle im schema der erweiterten Suche enthält Informationen zu Dateisignaturzertifikaten. In dieser Tabelle werden Daten verwendet, die aus Zertifikatüberprüfungsaktivitäten stammen, die regelmäßig für Dateien auf Endpunkten ausgeführt werden.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, wann der Datensatz generiert wurde |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
SHA1 |
string |
SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
IsSigned |
bool |
Gibt an, ob die Datei signiert ist. |
SignatureType |
string |
Gibt an, ob Signaturinformationen als eingebetteter Inhalt in der Datei selbst oder aus einer externen Katalogdatei gelesen wurden. |
Signer |
string |
Informationen zum Signierer der Datei |
SignerHash |
string |
Eindeutiger Hashwert, der den Signierer identifiziert |
Issuer |
string |
Informationen zur ausstellenden Zertifizierungsstelle |
IssuerHash |
string |
Eindeutiger Hashwert zur Identifizierung der ausstellenden Zertifizierungsstelle |
CertificateSerialNumber |
string |
Bezeichner für das Zertifikat, das für die ausstellende Zertifizierungsstelle eindeutig ist |
CrlDistributionPointUrls |
string |
JSON-Array, das die URLs von Netzwerkfreigaben auflistet, die Zertifikate und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) enthalten |
CertificateCreationTime |
datetime |
Datum und Uhrzeit der Zertifikaterstellung |
CertificateExpirationTime |
datetime |
Datum und Uhrzeit, zu der das Zertifikat abläuft |
CertificateCountersignatureTime |
datetime |
Datum und Uhrzeit, zu der das Zertifikat gegensigniert wurde |
IsTrusted |
bool |
Gibt basierend auf den Ergebnissen der WinVerifyTrust-Funktion an, die nach unbekannten Stammzertifikatinformationen, ungültigen Signaturen, widerrufenen Zertifikaten und anderen fragwürdigen Attributen sucht, ob die Datei vertrauenswürdig ist. |
IsRootSignerMicrosoft |
boolean |
Gibt an, ob der Signaturgeber des Stammzertifikats Microsoft ist und ob die Datei im Windows-Betriebssystem enthalten ist. |
ReportId |
long |
Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden. |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.