FileProfile()

注:

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft 365 Defender

関数は FileProfile() 高度 なハンティング のエンリッチメント関数であり、クエリで見つかったファイルに次のデータを追加します。

Column データ型 説明
SHA1 string 記録されたアクションが適用されたファイルの SHA-1
SHA256 string 記録されたアクションが適用されたファイルの SHA-256
MD5 string 記録されたアクションが適用されたファイルの MD5 ハッシュ
FileSize int ファイルのサイズ (バイト単位)
GlobalPrevalence int Microsoft によってグローバルに観察されるエンティティのインスタンスの数
GlobalFirstSeen datetime エンティティが Microsoft によってグローバルに最初に観察された日時
GlobalLastSeen datetime エンティティが Microsoft によってグローバルに最後に観察された日時
Signer string ファイルの署名者に関する情報
Issuer string 発行元証明機関 (CA) に関する情報
SignerHash string 署名者を識別する一意のハッシュ値
IsCertificateValid boolean ファイルの署名に使用される証明書が有効かどうか
IsRootSignerMicrosoft boolean ルート証明書の署名者が Microsoft であり、ファイルが Windows OS に組み込まれているかどうかを示します
SignatureState string ファイル署名の状態: SignedValid - ファイルは有効な署名で署名され、SignedInvalid - ファイルは署名されていますが、証明書は無効です。Unsigned - ファイルは署名されていません。不明 - ファイルに関する情報は取得できません
IsExecutable boolean ファイルがポータブル実行可能ファイル (PE) ファイルかどうか
ThreatName string 検出されたマルウェアまたはその他の脅威の検出名
Publisher string ファイルを発行した組織の名前
SoftwareName string ソフトウェア製品の名前
ProfileAvailability string ファイルのプロファイル データの可用性状態を示します。 [使用可能 - プロファイルが正常にクエリされ、ファイル データが返されました]、[Missing - profile が正常にクエリされましたが、ファイル情報が見つかりませんでした]、[エラー] - クエリが完了するまでのファイル情報のクエリ中のエラー、または割り当てられた最大時間を超えたか、空の値を示します。ファイル ID が無効な場合、またはファイルの最大数に達した場合

構文

invoke FileProfile(x,y)

引数

  • x— を使用するファイル ID 列: SHA1SHA256InitiatingProcessSHA1、または InitiatingProcessSHA256; 関数が指定されていない場合に使用 SHA1 します
  • y — エンリッチするレコードの数に制限します。1 から 1000。指定されていない場合、関数は 100 を使用します

ヒント

エンリッチメント関数は、使用可能な場合にのみ補足情報を表示します。 情報の可用性はさまざまであり、多くの要因によって異なります。 クエリで FileProfile() を使用する場合、またはカスタム検出を作成する場合は、この点を考慮してください。 最適な結果を得るには、SHA1 で FileProfile() 関数を使用することをお勧めします。

SHA1 列のみをプロジェクトしてエンリッチする

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

最初の 500 レコードをエンリッチし、普及率の低いファイルを一覧表示する

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15