DeviceFileCertificateInfo
적용 대상:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender
고급 헌팅 스키마의 테이블에는 DeviceFileCertificateInfo 파일 서명 인증서에 대한 정보가 포함되어 있습니다. 이 표에서는 엔드포인트의 파일에서 정기적으로 수행되는 인증서 확인 활동에서 가져온 데이터를 사용합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
SHA1 |
string |
기록된 조치가 적용된 파일의 SHA-1 |
IsSigned |
bool |
파일이 서명되었는지 여부를 나타냅니다. |
SignatureType |
string |
서명 정보를 파일 자체에 포함된 콘텐츠로 읽었는지 또는 외부 카탈로그 파일에서 읽었는지 여부를 나타냅니다. |
Signer |
string |
파일의 서명자에 대한 정보 |
SignerHash |
string |
서명자를 식별하는 고유 해시 값 |
Issuer |
string |
발급 CA(인증 기관)에 대한 정보 |
IssuerHash |
string |
발급 CA(인증 기관)를 식별하는 고유 해시 값 |
CertificateSerialNumber |
string |
발급 CA(인증 기관)에 고유한 인증서의 식별자 |
CrlDistributionPointUrls |
string |
인증서 및 CRL(인증서 해지 목록)이 포함된 네트워크 공유의 URL을 나열하는 JSON 배열 |
CertificateCreationTime |
datetime |
인증서를 만든 날짜 및 시간 |
CertificateExpirationTime |
datetime |
인증서가 만료되도록 설정된 날짜 및 시간 |
CertificateCountersignatureTime |
datetime |
인증서가 서명된 날짜 및 시간 |
IsTrusted |
bool |
알 수 없는 루트 인증서 정보, 잘못된 서명, 해지된 인증서 및 기타 의심스러운 특성을 확인하는 WinVerifyTrust 함수의 결과에 따라 파일을 신뢰할 수 있는지 여부를 나타냅니다. |
IsRootSignerMicrosoft |
boolean |
루트 인증서의 서명자가 Microsoft인지 여부와 파일이 Windows 운영 체제에 포함되어 있는지 여부를 나타냅니다. |
ReportId |
long |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.