DeviceFileCertificateInfo
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceFileCertificateInfo
speciális veszélyforrás-keresési séma táblázata a fájlaláíró tanúsítványokról tartalmaz információkat. Ez a tábla a végpontokon található fájlokon rendszeresen végrehajtott tanúsítvány-ellenőrzési tevékenységekből származó adatokat használja.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
A rekord létrehozásának dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
IsSigned |
bool |
Jelzi, hogy a fájl aláírt-e |
SignatureType |
string |
Azt jelzi, hogy az aláírási információkat beágyazott tartalomként olvasták-e a fájlba, vagy egy külső katalógusfájlból olvasták-e |
Signer |
string |
Információk a fájl aláírójáról |
SignerHash |
string |
Az aláírót azonosító egyedi kivonatérték |
Issuer |
string |
A kiállító hitelesítésszolgáltatóval (CA) kapcsolatos információk |
IssuerHash |
string |
A kiállító hitelesítésszolgáltatót (CA) azonosító egyedi kivonatérték |
CertificateSerialNumber |
string |
A kiállító hitelesítésszolgáltató (CA) számára egyedi tanúsítvány azonosítója |
CrlDistributionPointUrls |
string |
A tanúsítványokat és visszavont tanúsítványok listáját (CRL-eket) tartalmazó hálózati megosztások URL-címeit tartalmazó JSON-tömb |
CertificateCreationTime |
datetime |
A tanúsítvány létrehozásának dátuma és időpontja |
CertificateExpirationTime |
datetime |
A tanúsítvány lejáratának dátuma és időpontja |
CertificateCountersignatureTime |
datetime |
A tanúsítvány ellenjegyzésének dátuma és időpontja |
IsTrusted |
bool |
Azt jelzi, hogy a fájl megbízható-e a WinVerifyTrust függvény eredményei alapján, amely ismeretlen főtanúsítvány-információkat, érvénytelen aláírásokat, visszavont tanúsítványokat és egyéb megkérdőjelezhető attribútumokat keres |
IsRootSignerMicrosoft |
boolean |
Azt jelzi, hogy a főtanúsítvány aláírója a Microsoft-e, és hogy a fájl szerepel-e a Windows operációs rendszerben |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.