DeviceFileCertificateInfo
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
La DeviceFileCertificateInfo tabla del esquema de búsqueda avanzada contiene información sobre los certificados de firma de archivos. En esta tabla se usan los datos obtenidos de las actividades de comprobación de certificados que se realizan periódicamente en los archivos de los puntos de conexión.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se generó el registro |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
SHA1 |
string |
SHA-1 del archivo donde fue aplicada la acción registrada |
IsSigned |
bool |
Indica si el archivo está firmado |
SignatureType |
string |
Indica si la información de firma se leyó como contenido incrustado en el propio archivo o si se leyó desde un archivo de catálogo externo. |
Signer |
string |
Información sobre el firmante del archivo |
SignerHash |
string |
Valor hash único que identifica el firmante |
Issuer |
string |
Información sobre la entidad de certificación (CA) emisora |
IssuerHash |
string |
Valor hash único que identifica la entidad de certificación emisora (CA) |
CertificateSerialNumber |
string |
Identificador del certificado que es único para la entidad de certificación (CA) emisora. |
CrlDistributionPointUrls |
string |
Matriz JSON que enumera las direcciones URL de los recursos compartidos de red que contienen certificados y listas de revocación de certificados (CRL) |
CertificateCreationTime |
datetime |
Fecha y hora en que se creó el certificado |
CertificateExpirationTime |
datetime |
Fecha y hora en que el certificado está establecido para expirar |
CertificateCountersignatureTime |
datetime |
Fecha y hora en que se contrasignó el certificado |
IsTrusted |
bool |
Indica si el archivo es de confianza en función de los resultados de la función WinVerifyTrust, que comprueba si hay información de certificado raíz desconocida, firmas no válidas, certificados revocados y otros atributos cuestionables. |
IsRootSignerMicrosoft |
boolean |
Indica si el firmante del certificado raíz es Microsoft y si el archivo está incluido en el sistema operativo Windows. |
ReportId |
long |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de