FileProfile()

La FileProfile() fonction est une fonction d’enrichissement dans la chasse avancée qui ajoute les données suivantes aux fichiers trouvés par la requête.

Column	Type de données	Description
SHA1	string	SHA-1 du fichier auquel l’action enregistrée a été appliquée
SHA256	string	SHA-256 du fichier auquel l’action enregistrée a été appliquée
MD5	string	Hachage MD5 du fichier auquel l’action enregistrée a été appliquée
FileSize	int	Taille du fichier en octets
GlobalPrevalence	int	Nombre d’instances de l’entité observées par Microsoft globalement
GlobalFirstSeen	datetime	Date et heure de la première observation de l’entité par Microsoft à l’échelle mondiale
GlobalLastSeen	datetime	Date et heure de la dernière observation de l’entité par Microsoft à l’échelle mondiale
Signer	string	Informations sur le signataire du fichier
Issuer	string	Informations sur l’autorité de certification émettrice
SignerHash	string	Valeur de hachage unique identifiant le signataire
IsCertificateValid	boolean	Si le certificat utilisé pour signer le fichier est valide
IsRootSignerMicrosoft	boolean	Indique si le signataire du certificat racine est Microsoft et si le fichier est intégré au système d’exploitation Windows
SignatureState	string	État de la signature du fichier : SignedValid - le fichier est signé avec une signature valide, SignedInvalid - le fichier est signé mais le certificat n’est pas valide, Unsigned - le fichier n’est pas signé, Inconnu - Les informations sur le fichier ne peuvent pas être récupérées
IsExecutable	boolean	Indique si le fichier est un fichier exécutable portable (PE)
ThreatName	string	Nom de détection des programmes malveillants ou autres menaces détectés
Publisher	string	Nom du organization qui a publié le fichier
SoftwareName	string	Nom du produit logiciel
ProfileAvailability	string	Indique le status de disponibilité des données de profil pour le fichier : Disponible - le profil a été interrogé avec succès et les données de fichier retournées, Manquant - profil a été interrogé avec succès, mais aucune information de fichier n’a été trouvée, Erreur - Erreur - une erreur lors de l’interrogation des informations de fichier ou un délai maximal alloué a été dépassé avant la fin de la requête, ou une valeur vide - si l’ID de fichier n’est pas valide ou si le nombre maximal de fichiers a été atteint Si la valeur de cette colonne est Manquante ou vide, la valeur de la GlobalPrevalance colonne est null.

Syntaxe

invoke FileProfile(x,y)

Arguments

• x — colonne d’ID de fichier à utiliser : SHA1, SHA256, InitiatingProcessSHA1ou InitiatingProcessSHA256; la fonction utilise SHA1 si elle n’est pas spécifiée
• y : limite au nombre d’enregistrements à enrichir, de 1 à 1 000 ; la fonction utilise 100 si elle n’est pas spécifiée

Conseil

Les fonctions d’enrichissement affichent des informations supplémentaires uniquement lorsqu’elles sont disponibles. La disponibilité de l’information est variée et dépend de nombreux facteurs. Veillez à prendre cela en compte lors de l’utilisation de FileProfile() dans vos requêtes ou lors de la création de détections personnalisées. Pour de meilleurs résultats, nous vous recommandons d’utiliser la fonction FileProfile() avec SHA1.

Exemples

Projeter uniquement la colonne SHA1 et l’enrichir

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Enrichir les 500 premiers enregistrements et répertorier les fichiers à faible prévalence

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Voir aussi

• Vue d’ensemble du repérage avancé
• Apprendre le langage de requête
• Comprendre le schéma
• Obtenir d’autres exemples de requête

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.