Udostępnij za pośrednictwem


DeviceFileCertificateInfo

Dotyczy:

  • Microsoft Defender XDR
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceFileCertificateInfo w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o certyfikatach podpisywania plików. Ta tabela używa danych uzyskanych z działań weryfikacji certyfikatu regularnie wykonywanych w plikach w punktach końcowych.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina wygenerowania rekordu
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
SHA1 string SHA-1 pliku, do który zastosowano zarejestrowaną akcję
IsSigned bool Wskazuje, czy plik jest podpisany
SignatureType string Wskazuje, czy informacje o podpisie były odczytywane jako zawartość osadzona w samym pliku, czy odczytywane z pliku wykazu zewnętrznego
Signer string Informacje dotyczące podpisywania pliku
SignerHash string Unikatowa wartość skrótu identyfikująca osoby podpisujące
Issuer string Informacje o urzędzie wystawiającym certyfikaty (CA)
IssuerHash string Unikatowa wartość skrótu identyfikująca urząd wystawiający certyfikat (CA)
CertificateSerialNumber string Identyfikator certyfikatu, który jest unikatowy dla urzędu wystawiającego certyfikaty (CA)
CrlDistributionPointUrls string Tablica JSON z listą adresów URL udziałów sieciowych zawierających certyfikaty i listy odwołania certyfikatów
CertificateCreationTime datetime Data i godzina utworzenia certyfikatu
CertificateExpirationTime datetime Data i godzina wygaśnięcia certyfikatu
CertificateCountersignatureTime datetime Data i godzina podpisania certyfikatu
IsTrusted bool Wskazuje, czy plik jest zaufany na podstawie wyników funkcji WinVerifyTrust, która sprawdza, czy nie ma informacji o nieznanym certyfikacie głównym, nieprawidłowych podpisów, odwołanych certyfikatów i innych wątpliwych atrybutów
IsRootSignerMicrosoft boolean Wskazuje, czy podpisywaniem certyfikatu głównego jest firma Microsoft i czy plik jest uwzględniony w systemie operacyjnym Windows
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.