FileProfile()

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e testar o Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender

A FileProfile() função é uma função de melhoramento na investigação avançada que adiciona os seguintes dados aos ficheiros encontrados pela consulta.

Coluna Tipo de dados Descrição
SHA1 string SHA-1 do ficheiro ao qual a ação gravada foi aplicada
SHA256 string SHA-256 do ficheiro ao qual a ação gravada foi aplicada
MD5 string Hash MD5 do ficheiro ao qual a ação gravada foi aplicada
FileSize int Tamanho do ficheiro em bytes
GlobalPrevalence int Número de instâncias da entidade observadas globalmente pela Microsoft
GlobalFirstSeen datetime Data e hora em que a entidade foi observada pela Microsoft globalmente pela primeira vez
GlobalLastSeen datetime Data e hora em que a entidade foi observada pela última vez globalmente pela Microsoft
Signer string Informações sobre o signatário do ficheiro
Issuer string Informações sobre a autoridade de certificação (AC) emissora
SignerHash string Valor hash exclusivo que identifica o signatário
IsCertificateValid boolean Se o certificado utilizado para assinar o ficheiro é válido
IsRootSignerMicrosoft boolean Indica se o signatário do certificado de raiz é a Microsoft e o ficheiro está incorporado no SO Windows
SignatureState string Estado da assinatura do ficheiro: SignedValid - o ficheiro está assinado com uma assinatura válida, SignedInvalid - o ficheiro está assinado, mas o certificado é inválido, Não assinado - o ficheiro não está assinado, Desconhecido - não é possível obter informações sobre o ficheiro
IsExecutable boolean Se o ficheiro é um ficheiro Executável Portátil (PE)
ThreatName string Nome de deteção para qualquer software maligno ou outras ameaças encontradas
Publisher string Nome da organização que publicou o ficheiro
SoftwareName string Nome do produto de software
ProfileAvailability string Indica o estado de disponibilidade dos dados de perfil do ficheiro: Disponível – o perfil foi consultado com êxito e os dados de ficheiro devolvidos, Em Falta – o perfil foi consultado com êxito, mas não foram encontradas informações de ficheiro, Erro – erro ao consultar as informações do ficheiro ou o tempo máximo atribuído foi excedido antes de a consulta poder ser concluída ou um valor vazio – se o ID do ficheiro for inválido ou se o número máximo de ficheiros tiver sido atingido

Sintaxe

invoke FileProfile(x,y)

Argumentos

  • x — coluna de ID de ficheiro a utilizar: SHA1, SHA256, , InitiatingProcessSHA1ou InitiatingProcessSHA256; a função utiliza SHA1 se não for especificado
  • y — limite ao número de registos a enriquecer, 1-1000; função utiliza 100 se não for especificado

Sugestão

As funções de melhoramento mostrarão informações suplementares apenas quando estiverem disponíveis. A disponibilidade de informações é variada e depende de muitos fatores. Certifique-se de que considera isto ao utilizar FileProfile() nas suas consultas ou ao criar deteções personalizadas. Para obter os melhores resultados, recomendamos que utilize a função FileProfile() com SHA1.

Exemplos

Projetar apenas a coluna SHA1 e melhorá-la

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Melhore os primeiros 500 registos e liste ficheiros de baixa prevalência

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15