다음을 통해 공유


DeviceFileCertificateInfo

적용 대상:

  • Microsoft Defender XDR
  • 엔드포인트용 Microsoft Defender

고급 헌팅 스키마의 테이블에는 DeviceFileCertificateInfo 파일 서명 인증서에 대한 정보가 포함되어 있습니다. 이 표에서는 엔드포인트의 파일에서 정기적으로 수행되는 인증서 확인 활동에서 가져온 데이터를 사용합니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 레코드 생성 날짜 및 시간
DeviceId string 서비스의 디바이스에 대한 고유 식별자
DeviceName string 디바이스의 FQDN(정규화된 도메인 이름)
SHA1 string 기록된 조치가 적용된 파일의 SHA-1
IsSigned bool 파일이 서명되었는지 여부를 나타냅니다.
SignatureType string 서명 정보를 파일 자체에 포함된 콘텐츠로 읽었는지 또는 외부 카탈로그 파일에서 읽었는지 여부를 나타냅니다.
Signer string 파일의 서명자에 대한 정보
SignerHash string 서명자를 식별하는 고유 해시 값
Issuer string 발급 CA(인증 기관)에 대한 정보
IssuerHash string 발급 CA(인증 기관)를 식별하는 고유 해시 값
CertificateSerialNumber string 발급 CA(인증 기관)에 고유한 인증서의 식별자
CrlDistributionPointUrls string 인증서 및 CRL(인증서 해지 목록)이 포함된 네트워크 공유의 URL을 나열하는 JSON 배열
CertificateCreationTime datetime 인증서를 만든 날짜 및 시간
CertificateExpirationTime datetime 인증서가 만료되도록 설정된 날짜 및 시간
CertificateCountersignatureTime datetime 인증서가 서명된 날짜 및 시간
IsTrusted bool 알 수 없는 루트 인증서 정보, 잘못된 서명, 해지된 인증서 및 기타 의심스러운 특성을 확인하는 WinVerifyTrust 함수의 결과에 따라 파일을 신뢰할 수 있는지 여부를 나타냅니다.
IsRootSignerMicrosoft boolean 루트 인증서의 서명자가 Microsoft인지 여부와 파일이 Windows 운영 체제에 포함되어 있는지 여부를 나타냅니다.
ReportId long 반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.