Compartilhar via


DeviceFileCertificateInfo

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Ponto de Extremidade

A DeviceFileCertificateInfo tabela no esquema de caça avançado contém informações sobre certificados de assinatura de arquivo. Esta tabela usa dados obtidos de atividades de verificação de certificado regularmente executadas em arquivos em pontos de extremidade.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registro foi gerado
DeviceId string Identificador exclusivo para o dispositivo no serviço
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
SHA1 string SHA-1 do arquivo ao qual a ação gravada foi aplicada
IsSigned bool Indica se o arquivo está assinado
SignatureType string Indica se as informações de assinatura foram lidas como conteúdo inserido no próprio arquivo ou lidas de um arquivo de catálogo externo
Signer string Informações sobre o signatário do arquivo
SignerHash string Valor de hash exclusivo que identifica o signatário
Issuer string Informações sobre a autoridade de certificado de emissão (AC)
IssuerHash string Valor de hash exclusivo que identifica a autoridade de certificado de emissão (AC)
CertificateSerialNumber string Identificador para o certificado exclusivo da autoridade de certificado emissor (AC)
CrlDistributionPointUrls string Matriz JSON listando as URLs de compartilhamentos de rede que contêm certificados e listas de revogação de certificados (CRLs)
CertificateCreationTime datetime Data e hora em que o certificado foi criado
CertificateExpirationTime datetime Data e hora em que o certificado está definido para expirar
CertificateCountersignatureTime datetime Data e hora em que o certificado foi contra-assinado
IsTrusted bool Indica se o arquivo é confiável com base nos resultados da função WinVerifyTrust, que verifica se há informações de certificado raiz desconhecidas, assinaturas inválidas, certificados revogados e outros atributos questionáveis
IsRootSignerMicrosoft boolean Indica se o signatário do certificado raiz é a Microsoft e se o arquivo está incluído no sistema operacional Windows
ReportId long Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.