FileProfile()
Gilt für:
- Microsoft Defender XDR
Die FileProfile()
Funktion ist eine Anreicherungsfunktion in der erweiterten Suche , die den von der Abfrage gefundenen Dateien die folgenden Daten hinzufügt.
Spalte | Datentyp | Beschreibung |
---|---|---|
SHA1 |
string |
SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
SHA256 |
string |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
MD5 |
string |
MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
FileSize |
int |
Größe der Datei in Bytes |
GlobalPrevalence |
int |
Anzahl der Von Microsoft global beobachteten Instanzen der Entität |
GlobalFirstSeen |
datetime |
Datum und Uhrzeit der ersten globalen Beobachtung der Entität durch Microsoft |
GlobalLastSeen |
datetime |
Datum und Uhrzeit, zu dem die Entität zuletzt von Microsoft global beobachtet wurde |
Signer |
string |
Informationen zum Signierer der Datei |
Issuer |
string |
Informationen zur ausstellenden Zertifizierungsstelle |
SignerHash |
string |
Eindeutiger Hashwert, der den Signierer identifiziert |
IsCertificateValid |
boolean |
Gibt an, ob das zum Signieren der Datei verwendete Zertifikat gültig ist. |
IsRootSignerMicrosoft |
boolean |
Gibt an, ob der Signaturgeber des Stammzertifikats Microsoft ist und die Datei im Windows-Betriebssystem integriert ist. |
SignatureState |
string |
Status der Dateisignatur: SignedValid - die Datei ist mit einer gültigen Signatur signiert, SignedInvalid - die Datei ist signiert, aber das Zertifikat ist ungültig, Unsigned - die Datei ist nicht signiert, Unbekannt - Informationen zur Datei können nicht abgerufen werden |
IsExecutable |
boolean |
Gibt an, ob es sich bei der Datei um eine PE-Datei (Portable Executable) handelt |
ThreatName |
string |
Erkennungsname für gefundene Schadsoftware oder andere Bedrohungen |
Publisher |
string |
Name des organization, der die Datei veröffentlicht hat |
SoftwareName |
string |
Name des Softwareprodukts |
ProfileAvailability |
string |
Gibt die Verfügbarkeit status der Profildaten für die Datei an: Verfügbar – Profil wurde erfolgreich abgefragt und Dateidaten zurückgegeben, Fehlendes Profil wurde erfolgreich abgefragt, aber keine Dateiinformationen gefunden, Fehler – Fehler beim Abfragen der Dateiinformationen oder Überschreitung der maximal zugeteilten Zeit, bevor die Abfrage abgeschlossen werden konnte, oder ein leerer Wert – wenn die Datei-ID ungültig ist oder die maximale Anzahl von Dateien erreicht wurde |
Syntax
invoke FileProfile(x,y)
Argumente
- x– zu verwendende Datei-ID-Spalte:
SHA1
,SHA256
,InitiatingProcessSHA1
oderInitiatingProcessSHA256
; die Funktion verwendet,SHA1
wenn nicht angegeben - y – limit to the number of records to enrich, 1-1000; Die Funktion verwendet 100, wenn keine Angabe ist.
Tipp
Anreicherungsfunktionen zeigen zusätzliche Informationen nur an, wenn sie verfügbar sind. Die Verfügbarkeit von Informationen ist unterschiedlich und hängt von vielen Faktoren ab. Achten Sie darauf, dies zu berücksichtigen, wenn Sie FileProfile() in Ihren Abfragen verwenden oder benutzerdefinierte Erkennungen erstellen. Um optimale Ergebnisse zu erzielen, empfehlen wir die Verwendung der FileProfile()-Funktion mit SHA1.
Beispiele
Nur die SHA1-Spalte projizieren und anreichern
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Anreichern der ersten 500 Datensätze und Auflisten von Dateien mit geringer Prävalenz
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Grundlegendes zum Schema
- Weitere Abfragebeispiele abrufen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.