DeviceFileCertificateInfo
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
De DeviceFileCertificateInfo tabel in het geavanceerde opsporingsschema bevat informatie over certificaten voor bestandsondertekening. In deze tabel worden gegevens gebruikt die zijn verkregen uit certificaatverificatieactiviteiten die regelmatig worden uitgevoerd op bestanden op eindpunten.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de record is gegenereerd |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
SHA1 |
string |
SHA-1 van het bestand waarop de vastgelegde actie is toegepast |
IsSigned |
bool |
Geeft aan of het bestand is ondertekend |
SignatureType |
string |
Geeft aan of handtekeninggegevens zijn gelezen als ingesloten inhoud in het bestand zelf of gelezen uit een extern catalogusbestand |
Signer |
string |
Informatie over de ondertekenaar van het bestand |
SignerHash |
string |
Unieke hashwaarde waarmee de ondertekenaar wordt geïdentificeerd |
Issuer |
string |
Informatie over de verlenende certificeringsinstantie (CA) |
IssuerHash |
string |
Unieke hashwaarde die de verlenende certificeringsinstantie (CA) identificeert |
CertificateSerialNumber |
string |
Id voor het certificaat dat uniek is voor de verlenende certificeringsinstantie (CA) |
CrlDistributionPointUrls |
string |
JSON-matrix met de URL's van netwerkshares die certificaten en certificaatintrekkingslijsten (CRL's) bevatten |
CertificateCreationTime |
datetime |
Datum en tijd waarop het certificaat is gemaakt |
CertificateExpirationTime |
datetime |
Datum en tijd waarop het certificaat is ingesteld om te verlopen |
CertificateCountersignatureTime |
datetime |
Datum en tijd waarop het certificaat is ondertekend |
IsTrusted |
bool |
Geeft aan of het bestand wordt vertrouwd op basis van de resultaten van de functie WinVerifyTrust, die controleert op onbekende basiscertificaatgegevens, ongeldige handtekeningen, ingetrokken certificaten en andere twijfelachtige kenmerken |
IsRootSignerMicrosoft |
boolean |
Geeft aan of de ondertekenaar van het basiscertificaat Microsoft is en of het bestand is opgenomen in het Windows-besturingssysteem |
ReportId |
long |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.