FileProfile()
적용 대상:
- Microsoft Defender XDR
함수는 FileProfile()
쿼리에서 찾은 파일에 다음 데이터를 추가하는 고급 헌팅 의 보강 함수입니다.
열 | 데이터 형식 | 설명 |
---|---|---|
SHA1 |
string |
기록된 조치가 적용된 파일의 SHA-1 |
SHA256 |
string |
기록된 작업이 적용된 파일의 SHA-256 |
MD5 |
string |
기록된 작업이 적용된 파일의 MD5 해시 |
FileSize |
int |
파일 크기(바이트) |
GlobalPrevalence |
int |
Microsoft에서 전역적으로 관찰하는 엔터티의 인스턴스 수 |
GlobalFirstSeen |
datetime |
Microsoft에서 엔터티를 전역적으로 처음 관찰한 날짜 및 시간 |
GlobalLastSeen |
datetime |
Microsoft에서 엔터티를 전역적으로 마지막으로 관찰한 날짜 및 시간 |
Signer |
string |
파일의 서명자에 대한 정보 |
Issuer |
string |
발급 CA(인증 기관)에 대한 정보 |
SignerHash |
string |
서명자를 식별하는 고유 해시 값 |
IsCertificateValid |
boolean |
파일에 서명하는 데 사용된 인증서가 유효한지 여부 |
IsRootSignerMicrosoft |
boolean |
루트 인증서의 서명자가 Microsoft이고 파일이 Windows OS에 기본 제공되는지 여부를 나타냅니다. |
SignatureState |
string |
파일 서명 상태: SignedValid - 파일이 유효한 서명으로 서명되었습니다. SignedInvalid - 파일이 서명되었지만 인증서가 유효하지 않음, 서명되지 않음 - 파일이 서명되지 않음, 알 수 없음 - 파일에 대한 정보를 검색할 수 없습니다. |
IsExecutable |
boolean |
파일이 PE(이식 가능한 실행 파일) 파일인지 여부 |
ThreatName |
string |
발견된 맬웨어 또는 기타 위협에 대한 검색 이름 |
Publisher |
string |
파일을 게시한 organization 이름 |
SoftwareName |
string |
소프트웨어 제품의 이름 |
ProfileAvailability |
string |
파일에 대한 프로필 데이터의 가용성 상태 나타냅니다. 사용 가능 - 프로필이 성공적으로 쿼리되고 파일 데이터가 반환됨, 누락 - 프로필이 성공적으로 쿼리되었지만 파일 정보를 찾을 수 없음, 오류 - 쿼리를 완료하기 전에 파일 정보를 쿼리하는 동안 오류 또는 할당된 최대 시간이 초과되었거나, 파일 ID가 잘못되었거나 최대 파일 수에 도달한 경우 빈 값 |
구문
invoke FileProfile(x,y)
인수
- x - 사용할 파일 ID 열:
SHA1
,SHA256
,InitiatingProcessSHA1
또는InitiatingProcessSHA256
; 함수는 지정되지 않은 경우 를 사용합니다SHA1
. - y - 보강할 레코드 수로 제한, 1-1000; 함수는 지정되지 않은 경우 100을 사용합니다.
팁
보강 함수는 사용 가능한 경우에만 추가 정보를 표시합니다. 정보의 가용성은 다양하며 많은 요인에 따라 달라집니다. 쿼리에서 FileProfile()을 사용하거나 사용자 지정 검색을 만들 때 이를 고려해야 합니다. 최상의 결과를 얻으려면 SHA1과 함께 FileProfile() 함수를 사용하는 것이 좋습니다.
예제
SHA1 열만 프로젝트하고 보강
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
처음 500개 레코드 보강 및 낮은 보급 파일 나열
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.