DeviceFileCertificateInfo
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
Le DeviceFileCertificateInfo tableau du schéma de repérage avancé contient des informations sur les certificats de signature de fichiers. Ce tableau utilise les données obtenues à partir des activités de vérification de certificat effectuées régulièrement sur les fichiers sur les points de terminaison.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure de génération de l’enregistrement |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
SHA1 |
string |
SHA-1 du fichier auquel l’action enregistrée a été appliquée |
IsSigned |
bool |
Indique si le fichier est signé |
SignatureType |
string |
Indique si les informations de signature ont été lues en tant que contenu incorporé dans le fichier lui-même ou à partir d’un fichier catalogue externe |
Signer |
string |
Informations sur le signataire du fichier |
SignerHash |
string |
Valeur de hachage unique identifiant le signataire |
Issuer |
string |
Informations sur l’autorité de certification émettrice |
IssuerHash |
string |
Valeur de hachage unique identifiant l’autorité de certification émettrice |
CertificateSerialNumber |
string |
Identificateur du certificat propre à l’autorité de certification émettrice |
CrlDistributionPointUrls |
string |
Tableau JSON répertoriant les URL des partages réseau qui contiennent des certificats et des listes de révocation de certificats (CRL) |
CertificateCreationTime |
datetime |
Date et heure de création du certificat |
CertificateExpirationTime |
datetime |
Date et heure d’expiration du certificat |
CertificateCountersignatureTime |
datetime |
Date et heure à laquelle le certificat a été contresigné |
IsTrusted |
bool |
Indique si le fichier est approuvé en fonction des résultats de la fonction WinVerifyTrust, qui vérifie les informations de certificat racine inconnues, les signatures non valides, les certificats révoqués et d’autres attributs douteux |
IsRootSignerMicrosoft |
boolean |
Indique si le signataire du certificat racine est Microsoft et si le fichier est inclus dans le système d’exploitation Windows |
ReportId |
long |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.