FileProfile()
Érintett szolgáltatás:
- Microsoft Defender XDR
A FileProfile() függvény egy bővített függvény a speciális veszélyforrás-keresésben , amely a következő adatokat adja hozzá a lekérdezés által talált fájlokhoz.
| Oszlop | Adattípus | Leírás |
|---|---|---|
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256 |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileSize |
int |
A fájl mérete bájtban |
GlobalPrevalence |
int |
A Microsoft által globálisan megfigyelt entitás példányainak száma |
GlobalFirstSeen |
datetime |
Az entitás globális megfigyelésének dátuma és időpontja |
GlobalLastSeen |
datetime |
Az entitás microsoftos globális megfigyelésének dátuma és időpontja |
Signer |
string |
Információk a fájl aláírójáról |
Issuer |
string |
A kiállító hitelesítésszolgáltatóval (CA) kapcsolatos információk |
SignerHash |
string |
Az aláírót azonosító egyedi kivonatérték |
IsCertificateValid |
boolean |
Érvényes-e a fájl aláírásához használt tanúsítvány? |
IsRootSignerMicrosoft |
boolean |
Azt jelzi, hogy a főtanúsítvány aláírója a Microsoft-e, és a fájl be van-e építve a Windows operációs rendszerre |
SignatureState |
string |
A fájlaláírás állapota: SignedValid – a fájl aláírása érvényes aláírással, SignedInvalid – a fájl aláírása, de a tanúsítvány érvénytelen, Aláíratlan – a fájl nincs aláírva, Ismeretlen – a fájlra vonatkozó információk nem kérhetők le |
IsExecutable |
boolean |
Azt jelzi, hogy a fájl egy Portable Executable (PE) fájl-e |
ThreatName |
string |
Az észlelt kártevők vagy egyéb fenyegetések észlelési neve |
Publisher |
string |
A fájlt közzétevő szervezet neve |
SoftwareName |
string |
A szoftvertermék neve |
ProfileAvailability |
string |
A fájl profiladatainak rendelkezésre állási állapotát jelzi: Elérhető – a profil lekérdezése sikeresen megtörtént, a fájladatok visszaadva, Hiányzó – a profil lekérdezése sikerült, de nem található fájlinformáció, Hiba – hiba a fájladatok lekérdezése során, vagy a maximális kiosztott idő túllépése a lekérdezés befejezése előtt, vagy üres érték – ha a fájlazonosító érvénytelen, vagy elérte a fájlok maximális számát |
Szintaxis
invoke FileProfile(x,y)
Érvek
- x – a használni kívánt fájlazonosító oszlop:
SHA1,SHA256,InitiatingProcessSHA1vagyInitiatingProcessSHA256; a függvény nem meghatározott esetekben használjaSHA1 - y – a bővítendő rekordok számának korlátozása, 1–1000; függvény 100-et használ, ha nincs meghatározva
Tipp
A bővítési függvények csak akkor jelenítik meg a kiegészítő információkat, ha elérhetők. Az információk elérhetősége változatos, és sok tényezőtől függ. Ezt mindenképpen vegye figyelembe, amikor a FileProfile() szolgáltatást használja a lekérdezésekben vagy egyéni észlelések létrehozásakor. A legjobb eredmény érdekében javasoljuk, hogy használja a FileProfile() függvényt az SHA1-zel.
Példák
Csak az SHA1 oszlop kivetítése és bővítése
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Bővítse az első 500 rekordot, és sorolja fel az alacsony előfordulási gyakoriságú fájlokat
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A séma értelmezése
- További lekérdezési példák lekérése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: