DeviceFileCertificateInfo
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Kehittyneen DeviceFileCertificateInfometsästysrakenteen taulukko sisältää tietoja tiedoston allekirjoitusvarmenteista. Tässä taulukossa käytetään varmenteen tarkistustoiminnoista saatuja tietoja, joita suoritetaan säännöllisesti tiedostoille päätepisteissä.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tietue luotiin |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
SHA1 |
string |
Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin |
IsSigned |
bool |
Ilmaisee, onko tiedosto allekirjoitettu |
SignatureType |
string |
Ilmaisee, luettiinko allekirjoitustiedot upotettuna sisältönä itse tiedostoon vai ulkoisesta luettelotiedostosta |
Signer |
string |
Tietoja tiedoston allekirjoittajasta |
SignerHash |
string |
Yksilöivä hajautusarvo, jolla allekirjoittaja tunnistetaan |
Issuer |
string |
Tietoja varmenteiden myöntäjästä |
IssuerHash |
string |
Yksilöllinen hajautusarvo, joka määrittää varmenteen myöntäjän (CA) |
CertificateSerialNumber |
string |
Varmenteen tunnus, joka on yksilöllinen varmenteen myöntäjälle |
CrlDistributionPointUrls |
string |
JSON-matriisi, joka sisältää varmenteita ja varmenteiden kumoamisluetteloita sisältävien verkkoresurssien URL-osoitteet |
CertificateCreationTime |
datetime |
Varmenteen luontipäivämäärä ja -kellonaika |
CertificateExpirationTime |
datetime |
Varmenteen vanhentumispäivämäärä ja -kellonaika |
CertificateCountersignatureTime |
datetime |
Varmenteen vastakirjauspäivämäärä ja -kellonaika |
IsTrusted |
bool |
Ilmaisee, onko tiedosto luotettu WinVerifyTrust-funktion tulosten perusteella. Se tarkistaa tuntemattomat päävarmennetiedot, virheelliset allekirjoitukset, kumotut varmenteet ja muut kyseenalaiset määritteet. |
IsRootSignerMicrosoft |
boolean |
Ilmaisee, onko päävarmenteen allekirjoittaja Microsoft ja sisältyykö tiedosto Windows-käyttöjärjestelmään |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.