FileProfile()
Nota:
¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.
Se aplica a:
- Microsoft 365 Defender
La FileProfile() función es una función de enriquecimiento en la búsqueda avanzada que agrega los siguientes datos a los archivos encontrados por la consulta.
| Column | Tipo de datos | Descripción |
|---|---|---|
SHA1 |
string |
SHA-1 del archivo donde fue aplicada la acción registrada |
SHA256 |
string |
SHA-256 del archivo al que se aplicó la acción registrada |
MD5 |
string |
Hash MD5 del archivo al que se aplicó la acción registrada |
FileSize |
int |
Tamaño del archivo en bytes |
GlobalPrevalence |
int |
Número de instancias de la entidad observadas por Microsoft globalmente |
GlobalFirstSeen |
datetime |
Fecha y hora en que Microsoft observó por primera vez la entidad globalmente |
GlobalLastSeen |
datetime |
Fecha y hora en que Microsoft observó por última vez la entidad globalmente |
Signer |
string |
Información sobre el firmante del archivo |
Issuer |
string |
Información sobre la entidad de certificación (CA) emisora |
SignerHash |
string |
Valor hash único que identifica el firmante |
IsCertificateValid |
boolean |
Si el certificado usado para firmar el archivo es válido |
IsRootSignerMicrosoft |
boolean |
Indica si el firmante del certificado raíz es Microsoft y el archivo está integrado en el sistema operativo Windows. |
SignatureState |
string |
Estado de la firma de archivo: SignedValid: el archivo está firmado con una firma válida, SignedInvalid: el archivo está firmado, pero el certificado no es válido, No firmado: el archivo no está firmado, Desconocido: no se puede recuperar la información sobre el archivo. |
IsExecutable |
boolean |
Si el archivo es un archivo portable ejecutable (PE) |
ThreatName |
string |
Nombre de detección de cualquier malware u otras amenazas encontradas |
Publisher |
string |
Nombre de la organización que publicó el archivo |
SoftwareName |
string |
Nombre del producto de software |
ProfileAvailability |
string |
Indica el estado de disponibilidad de los datos de perfil para el archivo: Disponible: el perfil se ha consultado correctamente y los datos de archivo devueltos, Falta - perfil se ha consultado correctamente, pero no se encontró ninguna información de archivo, Error: error al consultar la información del archivo o se ha superado el tiempo máximo asignado antes de que se pudiera completar la consulta, o un valor vacío: si el identificador de archivo no es válido o se ha alcanzado el número máximo de archivos asignados. |
Sintaxis
invoke FileProfile(x,y)
Argumentos
- x: columna de identificador de archivo que se va a usar:
SHA1,SHA256,InitiatingProcessSHA1oInitiatingProcessSHA256; la función usaSHA1si no se especifica - y: limite al número de registros que se enriquecerán, 1-1000; la función usa 100 si no se especifica
Sugerencia
Las funciones de enriquecimiento solo mostrarán información complementaria cuando estén disponibles. La disponibilidad de la información es variada y depende de muchos factores. Asegúrese de tener en cuenta esto al usar FileProfile() en las consultas o al crear detecciones personalizadas. Para obtener los mejores resultados, se recomienda usar la función FileProfile() con SHA1.
Ejemplos
Proyectar solo la columna SHA1 y enriquecerla
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Enriquecer los primeros 500 registros y enumerar los archivos de baja prevalencia
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Entender el esquema
- Obtener más ejemplos de consulta
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft 365 Defender Tech Community.