다음을 통해 공유


FileProfile()

적용 대상:

  • Microsoft Defender XDR

함수는 FileProfile() 쿼리에서 찾은 파일에 다음 데이터를 추가하는 고급 헌팅 의 보강 함수입니다.

데이터 형식 설명
SHA1 string 기록된 조치가 적용된 파일의 SHA-1
SHA256 string 기록된 작업이 적용된 파일의 SHA-256
MD5 string 기록된 작업이 적용된 파일의 MD5 해시
FileSize int 파일 크기(바이트)
GlobalPrevalence int Microsoft에서 전역적으로 관찰하는 엔터티의 인스턴스 수
GlobalFirstSeen datetime Microsoft에서 엔터티를 전역적으로 처음 관찰한 날짜 및 시간
GlobalLastSeen datetime Microsoft에서 엔터티를 전역적으로 마지막으로 관찰한 날짜 및 시간
Signer string 파일의 서명자에 대한 정보
Issuer string 발급 CA(인증 기관)에 대한 정보
SignerHash string 서명자를 식별하는 고유 해시 값
IsCertificateValid boolean 파일에 서명하는 데 사용된 인증서가 유효한지 여부
IsRootSignerMicrosoft boolean 루트 인증서의 서명자가 Microsoft이고 파일이 Windows OS에 기본 제공되는지 여부를 나타냅니다.
SignatureState string 파일 서명 상태: SignedValid - 파일이 유효한 서명으로 서명되었습니다. SignedInvalid - 파일이 서명되었지만 인증서가 유효하지 않음, 서명되지 않음 - 파일이 서명되지 않음, 알 수 없음 - 파일에 대한 정보를 검색할 수 없습니다.
IsExecutable boolean 파일이 PE(이식 가능한 실행 파일) 파일인지 여부
ThreatName string 발견된 맬웨어 또는 기타 위협에 대한 검색 이름
Publisher string 파일을 게시한 organization 이름
SoftwareName string 소프트웨어 제품의 이름
ProfileAvailability string 파일에 대한 프로필 데이터의 가용성 상태 나타냅니다. 사용 가능 - 프로필이 성공적으로 쿼리되고 파일 데이터가 반환됨, 누락 - 프로필이 성공적으로 쿼리되었지만 파일 정보를 찾을 수 없음, 오류 - 쿼리를 완료하기 전에 파일 정보를 쿼리하는 동안 오류 또는 할당된 최대 시간이 초과되었거나, 파일 ID가 잘못되었거나 최대 파일 수에 도달한 경우 빈 값

구문

invoke FileProfile(x,y)

인수

  • x - 사용할 파일 ID 열: SHA1, SHA256, InitiatingProcessSHA1또는 InitiatingProcessSHA256; 함수는 지정되지 않은 경우 를 사용합니다 SHA1 .
  • y - 보강할 레코드 수로 제한, 1-1000; 함수는 지정되지 않은 경우 100을 사용합니다.

보강 함수는 사용 가능한 경우에만 추가 정보를 표시합니다. 정보의 가용성은 다양하며 많은 요인에 따라 달라집니다. 쿼리에서 FileProfile()을 사용하거나 사용자 지정 검색을 만들 때 이를 고려해야 합니다. 최상의 결과를 얻으려면 SHA1과 함께 FileProfile() 함수를 사용하는 것이 좋습니다.

예제

SHA1 열만 프로젝트하고 보강

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

처음 500개 레코드 보강 및 낮은 보급 파일 나열

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.