FileProfile()

Aplica-se a:

• Microsoft Defender XDR

A FileProfile() função é uma função de melhoramento na investigação avançada que adiciona os seguintes dados aos ficheiros encontrados pela consulta.

Coluna	Tipo de dados	Descrição
SHA1	string	SHA-1 do ficheiro ao qual a ação gravada foi aplicada
SHA256	string	SHA-256 do ficheiro ao qual a ação gravada foi aplicada
MD5	string	Hash MD5 do ficheiro ao qual a ação gravada foi aplicada
FileSize	int	Tamanho do ficheiro em bytes
GlobalPrevalence	int	Número de instâncias da entidade observadas globalmente pela Microsoft
GlobalFirstSeen	datetime	Data e hora em que a entidade foi observada pela Microsoft globalmente pela primeira vez
GlobalLastSeen	datetime	Data e hora em que a entidade foi observada pela última vez globalmente pela Microsoft
Signer	string	Informações sobre o signatário do ficheiro
Issuer	string	Informações sobre a autoridade de certificação (AC) emissora
SignerHash	string	Valor hash exclusivo que identifica o signatário
IsCertificateValid	boolean	Se o certificado utilizado para assinar o ficheiro é válido
IsRootSignerMicrosoft	boolean	Indica se o signatário do certificado de raiz é a Microsoft e o ficheiro está incorporado no SO Windows
SignatureState	string	Estado da assinatura do ficheiro: SignedValid - o ficheiro está assinado com uma assinatura válida, SignedInvalid - o ficheiro está assinado, mas o certificado é inválido, Não assinado - o ficheiro não está assinado, Desconhecido - não é possível obter informações sobre o ficheiro
IsExecutable	boolean	Se o ficheiro é um ficheiro Executável Portátil (PE)
ThreatName	string	Nome de deteção para qualquer software maligno ou outras ameaças encontradas
Publisher	string	Nome da organização que publicou o ficheiro
SoftwareName	string	Nome do produto de software
ProfileAvailability	string	Indica o estado de disponibilidade dos dados de perfil do ficheiro: Disponível – o perfil foi consultado com êxito e os dados de ficheiro devolvidos, Em falta – o perfil foi consultado com êxito, mas não foram encontradas informações de ficheiro, Erro – erro ao consultar as informações do ficheiro ou o tempo máximo atribuído foi excedido antes de a consulta poder ser concluída ou um valor vazio – se o ID do ficheiro for inválido ou se o número máximo de ficheiros tiver sido atingido

Sintaxe

invoke FileProfile(x,y)

Argumentos

• x — coluna de ID de ficheiro a utilizar: SHA1, SHA256, , InitiatingProcessSHA1ou InitiatingProcessSHA256; a função utiliza SHA1 se não for especificado
• y — limite ao número de registos a enriquecer, 1-1000; função utiliza 100 se não for especificado

Sugestão

As funções de melhoramento mostrarão informações suplementares apenas quando estiverem disponíveis. A disponibilidade de informações é variada e depende de muitos fatores. Certifique-se de que considera isto ao utilizar FileProfile() nas suas consultas ou ao criar deteções personalizadas. Para obter os melhores resultados, recomendamos que utilize a função FileProfile() com SHA1.

Exemplos

Projetar apenas a coluna SHA1 e melhorá-la

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Melhore os primeiros 500 registos e liste ficheiros de baixa prevalência

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Tópicos relacionados

• Descrição geral da investigação avançada
• Aprender a linguagem de consulta
• Compreender o esquema
• Obter mais exemplos de consulta

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.