DeviceFileCertificateInfo
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceFileCertificateInfo w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o certyfikatach podpisywania plików. Ta tabela używa danych uzyskanych z działań weryfikacji certyfikatu regularnie wykonywanych w plikach w punktach końcowych.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina wygenerowania rekordu |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
IsSigned |
bool |
Wskazuje, czy plik jest podpisany |
SignatureType |
string |
Wskazuje, czy informacje o podpisie były odczytywane jako zawartość osadzona w samym pliku, czy odczytywane z pliku wykazu zewnętrznego |
Signer |
string |
Informacje dotyczące podpisywania pliku |
SignerHash |
string |
Unikatowa wartość skrótu identyfikująca osoby podpisujące |
Issuer |
string |
Informacje o urzędzie wystawiającym certyfikaty (CA) |
IssuerHash |
string |
Unikatowa wartość skrótu identyfikująca urząd wystawiający certyfikat (CA) |
CertificateSerialNumber |
string |
Identyfikator certyfikatu, który jest unikatowy dla urzędu wystawiającego certyfikaty (CA) |
CrlDistributionPointUrls |
string |
Tablica JSON z listą adresów URL udziałów sieciowych zawierających certyfikaty i listy odwołania certyfikatów |
CertificateCreationTime |
datetime |
Data i godzina utworzenia certyfikatu |
CertificateExpirationTime |
datetime |
Data i godzina wygaśnięcia certyfikatu |
CertificateCountersignatureTime |
datetime |
Data i godzina podpisania certyfikatu |
IsTrusted |
bool |
Wskazuje, czy plik jest zaufany na podstawie wyników funkcji WinVerifyTrust, która sprawdza, czy nie ma informacji o nieznanym certyfikacie głównym, nieprawidłowych podpisów, odwołanych certyfikatów i innych wątpliwych atrybutów |
IsRootSignerMicrosoft |
boolean |
Wskazuje, czy podpisywaniem certyfikatu głównego jest firma Microsoft i czy plik jest uwzględniony w systemie operacyjnym Windows |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.