FileProfile()
Примечание.
Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.
Область применения:
- Microsoft 365 Defender
Функция FileProfile() является функцией обогащения в расширенной охоте , которая добавляет следующие данные в файлы, найденные запросом.
| Column | Тип данных | Описание |
|---|---|---|
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие |
MD5 |
string |
Хэш MD5 файла, к которому было применено записанное действие |
FileSize |
int |
Размер файла в байтах |
GlobalPrevalence |
int |
Число экземпляров сущности, наблюдаемых корпорацией Майкрософт по всему миру |
GlobalFirstSeen |
datetime |
Дата и время, когда сущность была впервые обнаружена корпорацией Майкрософт во всем мире |
GlobalLastSeen |
datetime |
Дата и время последнего глобального наблюдения за сущностью корпорацией Майкрософт |
Signer |
string |
Сведения о подписывшем файле |
Issuer |
string |
Сведения о выдающем центре сертификации (ЦС) |
SignerHash |
string |
Уникальное хэш-значение, определяющее подписывающее |
IsCertificateValid |
boolean |
Является ли сертификат, используемый для подписи файла, допустимым |
IsRootSignerMicrosoft |
boolean |
Указывает, является ли подписыватель корневого сертификата корпорацией Майкрософт и файл встроенным в ОС Windows. |
SignatureState |
string |
Состояние сигнатуры файла: SignedValid — файл подписан допустимой подписью, SignedInvalid — файл подписан, но сертификат недопустим, Unsigned — файл не подписан, Unknown — не удается получить сведения о файле. |
IsExecutable |
boolean |
Является ли файл переносимым исполняемым файлом (PE) |
ThreatName |
string |
Имя обнаружения любых обнаруженных вредоносных программ или других угроз |
Publisher |
string |
Имя организации, которая опубликовала файл |
SoftwareName |
string |
Название программного продукта |
ProfileAvailability |
string |
Указывает состояние доступности данных профиля для файла: Доступно — профиль успешно запросился и данные файла возвращены, Отсутствует — профиль был успешно запрошен, но сведения о файле не найдены, Ошибка — ошибка при запросе сведений о файле или превышено максимальное отведенное время до завершения запроса, или пустое значение, если идентификатор файла недопустим или достигнуто максимальное количество файлов. |
Синтаксис
invoke FileProfile(x,y)
Аргументы
- x — столбец идентификатора файла для использования:
SHA1,SHA256,InitiatingProcessSHA1илиInitiatingProcessSHA256; функция используетSHA1, если не указано. - y — ограничение на количество записей для обогащения, от 1 до 1000; Функция использует 100, если не указано
Совет
Функции обогащения будут отображать дополнительные сведения только в том случае, если они доступны. Доступность информации разнообразна и зависит от множества факторов. Обязательно учитывайте это при использовании FileProfile() в запросах или при создании пользовательских обнаружений. Для достижения наилучших результатов рекомендуется использовать функцию FileProfile() с SHA1.
Примеры
Проецируемый только столбец SHA1 и его обогащение
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Обогащение первых 500 записей и перечисление файлов с низкой распространенности
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15