FileProfile()
適用対象:
- Microsoft Defender XDR
関数は FileProfile() 高度 なハンティング のエンリッチメント関数であり、クエリで見つかったファイルに次のデータを追加します。
| Column | データ型 | 説明 |
|---|---|---|
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256 |
MD5 |
string |
記録されたアクションが適用されたファイルの MD5 ハッシュ |
FileSize |
int |
ファイルのサイズ (バイト単位) |
GlobalPrevalence |
int |
Microsoft によってグローバルに観察されるエンティティのインスタンスの数 |
GlobalFirstSeen |
datetime |
エンティティが Microsoft によってグローバルに最初に観察された日時 |
GlobalLastSeen |
datetime |
エンティティが Microsoft によってグローバルに最後に観察された日時 |
Signer |
string |
ファイルの署名者に関する情報 |
Issuer |
string |
発行元証明機関 (CA) に関する情報 |
SignerHash |
string |
署名者を識別する一意のハッシュ値 |
IsCertificateValid |
boolean |
ファイルの署名に使用される証明書が有効かどうか |
IsRootSignerMicrosoft |
boolean |
ルート証明書の署名者が Microsoft であり、ファイルが Windows OS に組み込まれているかどうかを示します |
SignatureState |
string |
ファイル署名の状態: SignedValid - ファイルは有効な署名で署名されています。SignedInvalid - ファイルは署名されていますが、証明書は無効です。Unsigned - ファイルは署名されていません。不明 - ファイルに関する情報は取得できません |
IsExecutable |
boolean |
ファイルがポータブル実行可能ファイル (PE) ファイルかどうか |
ThreatName |
string |
検出されたマルウェアまたはその他の脅威の検出名 |
Publisher |
string |
ファイルを発行したorganizationの名前 |
SoftwareName |
string |
ソフトウェア製品の名前 |
ProfileAvailability |
string |
ファイルのプロファイル データの可用性状態を示します。 [使用可能 - プロファイルが正常にクエリされ、ファイル データが返されました]、[Missing - profile が正常にクエリされましたが、ファイル情報が見つかりませんでした]、[エラー] - クエリが完了するまでのファイル情報のクエリ中のエラー、または割り当てられた最大時間を超えたか、空の値を示します。ファイル ID が無効であるか、ファイルの最大数に達した場合 |
構文
invoke FileProfile(x,y)
引数
- x— を使用するファイル ID 列:
SHA1、SHA256、InitiatingProcessSHA1、またはInitiatingProcessSHA256; 関数が指定されていない場合に使用SHA1します - y — エンリッチするレコードの数に制限します。1 から 1000。指定されていない場合、関数は 100 を使用します
ヒント
エンリッチメント関数は、使用可能な場合にのみ補足情報を表示します。 情報の可用性はさまざまであり、多くの要因によって異なります。 クエリで FileProfile() を使用する場合、またはカスタム検出を作成する場合は、この点を考慮してください。 最適な結果を得るには、SHA1 で FileProfile() 関数を使用することをお勧めします。
例
SHA1 列のみをプロジェクトしてエンリッチする
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
最初の 500 レコードをエンリッチし、普及率の低いファイルを一覧表示する
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示