FileProfile()
Aplica-se a:
- Microsoft Defender XDR
A FileProfile()
função é uma função de melhoramento na investigação avançada que adiciona os seguintes dados aos ficheiros encontrados pela consulta.
Coluna | Tipo de dados | Descrição |
---|---|---|
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada |
MD5 |
string |
Hash MD5 do ficheiro ao qual a ação gravada foi aplicada |
FileSize |
int |
Tamanho do ficheiro em bytes |
GlobalPrevalence |
int |
Número de instâncias da entidade observadas globalmente pela Microsoft |
GlobalFirstSeen |
datetime |
Data e hora em que a entidade foi observada pela Microsoft globalmente pela primeira vez |
GlobalLastSeen |
datetime |
Data e hora em que a entidade foi observada pela última vez globalmente pela Microsoft |
Signer |
string |
Informações sobre o signatário do ficheiro |
Issuer |
string |
Informações sobre a autoridade de certificação (AC) emissora |
SignerHash |
string |
Valor hash exclusivo que identifica o signatário |
IsCertificateValid |
boolean |
Se o certificado utilizado para assinar o ficheiro é válido |
IsRootSignerMicrosoft |
boolean |
Indica se o signatário do certificado de raiz é a Microsoft e o ficheiro está incorporado no SO Windows |
SignatureState |
string |
Estado da assinatura do ficheiro: SignedValid - o ficheiro está assinado com uma assinatura válida, SignedInvalid - o ficheiro está assinado, mas o certificado é inválido, Não assinado - o ficheiro não está assinado, Desconhecido - não é possível obter informações sobre o ficheiro |
IsExecutable |
boolean |
Se o ficheiro é um ficheiro Executável Portátil (PE) |
ThreatName |
string |
Nome de deteção para qualquer software maligno ou outras ameaças encontradas |
Publisher |
string |
Nome da organização que publicou o ficheiro |
SoftwareName |
string |
Nome do produto de software |
ProfileAvailability |
string |
Indica o estado de disponibilidade dos dados de perfil do ficheiro: Disponível – o perfil foi consultado com êxito e os dados de ficheiro devolvidos, Em falta – o perfil foi consultado com êxito, mas não foram encontradas informações de ficheiro, Erro – erro ao consultar as informações do ficheiro ou o tempo máximo atribuído foi excedido antes de a consulta poder ser concluída ou um valor vazio – se o ID do ficheiro for inválido ou se o número máximo de ficheiros tiver sido atingido |
Sintaxe
invoke FileProfile(x,y)
Argumentos
- x — coluna de ID de ficheiro a utilizar:
SHA1
,SHA256
, ,InitiatingProcessSHA1
ouInitiatingProcessSHA256
; a função utilizaSHA1
se não for especificado - y — limite ao número de registos a enriquecer, 1-1000; função utiliza 100 se não for especificado
Sugestão
As funções de melhoramento mostrarão informações suplementares apenas quando estiverem disponíveis. A disponibilidade de informações é variada e depende de muitos fatores. Certifique-se de que considera isto ao utilizar FileProfile() nas suas consultas ou ao criar deteções personalizadas. Para obter os melhores resultados, recomendamos que utilize a função FileProfile() com SHA1.
Exemplos
Projetar apenas a coluna SHA1 e melhorá-la
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Melhore os primeiros 500 registos e liste ficheiros de baixa prevalência
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Compreender o esquema
- Obter mais exemplos de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários