Freigeben über


FileProfile()

Gilt für:

  • Microsoft Defender XDR

Die FileProfile() Funktion ist eine Anreicherungsfunktion in der erweiterten Suche , die den von der Abfrage gefundenen Dateien die folgenden Daten hinzufügt.

Spalte Datentyp Beschreibung
SHA1 string SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde
SHA256 string SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde
MD5 string MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde
FileSize int Größe der Datei in Bytes
GlobalPrevalence int Anzahl der Von Microsoft global beobachteten Instanzen der Entität
GlobalFirstSeen datetime Datum und Uhrzeit der ersten globalen Beobachtung der Entität durch Microsoft
GlobalLastSeen datetime Datum und Uhrzeit, zu dem die Entität zuletzt von Microsoft global beobachtet wurde
Signer string Informationen zum Signierer der Datei
Issuer string Informationen zur ausstellenden Zertifizierungsstelle
SignerHash string Eindeutiger Hashwert, der den Signierer identifiziert
IsCertificateValid boolean Gibt an, ob das zum Signieren der Datei verwendete Zertifikat gültig ist.
IsRootSignerMicrosoft boolean Gibt an, ob der Signaturgeber des Stammzertifikats Microsoft ist und die Datei im Windows-Betriebssystem integriert ist.
SignatureState string Status der Dateisignatur: SignedValid - die Datei ist mit einer gültigen Signatur signiert, SignedInvalid - die Datei ist signiert, aber das Zertifikat ist ungültig, Unsigned - die Datei ist nicht signiert, Unbekannt - Informationen zur Datei können nicht abgerufen werden
IsExecutable boolean Gibt an, ob es sich bei der Datei um eine PE-Datei (Portable Executable) handelt
ThreatName string Erkennungsname für gefundene Schadsoftware oder andere Bedrohungen
Publisher string Name des organization, der die Datei veröffentlicht hat
SoftwareName string Name des Softwareprodukts
ProfileAvailability string Gibt die Verfügbarkeit status der Profildaten für die Datei an: Verfügbar – Profil wurde erfolgreich abgefragt und Dateidaten zurückgegeben, Fehlendes Profil wurde erfolgreich abgefragt, aber keine Dateiinformationen gefunden, Fehler – Fehler beim Abfragen der Dateiinformationen oder Überschreitung der maximal zugeteilten Zeit, bevor die Abfrage abgeschlossen werden konnte, oder ein leerer Wert – wenn die Datei-ID ungültig ist oder die maximale Anzahl von Dateien erreicht wurde

Syntax

invoke FileProfile(x,y)

Argumente

  • x– zu verwendende Datei-ID-Spalte: SHA1, SHA256, InitiatingProcessSHA1oder InitiatingProcessSHA256; die Funktion verwendet, SHA1 wenn nicht angegeben
  • y – limit to the number of records to enrich, 1-1000; Die Funktion verwendet 100, wenn keine Angabe ist.

Tipp

Anreicherungsfunktionen zeigen zusätzliche Informationen nur an, wenn sie verfügbar sind. Die Verfügbarkeit von Informationen ist unterschiedlich und hängt von vielen Faktoren ab. Achten Sie darauf, dies zu berücksichtigen, wenn Sie FileProfile() in Ihren Abfragen verwenden oder benutzerdefinierte Erkennungen erstellen. Um optimale Ergebnisse zu erzielen, empfehlen wir die Verwendung der FileProfile()-Funktion mit SHA1.

Beispiele

Nur die SHA1-Spalte projizieren und anreichern

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Anreichern der ersten 500 Datensätze und Auflisten von Dateien mit geringer Prävalenz

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.