FileProfile()
Область применения:
- Microsoft Defender XDR
Функция FileProfile() является функцией обогащения в расширенной охоте , которая добавляет следующие данные в файлы, найденные запросом.
| Столбец | Тип данных | Описание |
|---|---|---|
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие |
MD5 |
string |
Хэш MD5 файла, к которому было применено записанное действие |
FileSize |
int |
Размер файла в байтах |
GlobalPrevalence |
int |
Число экземпляров сущности, наблюдаемых корпорацией Майкрософт по всему миру |
GlobalFirstSeen |
datetime |
Дата и время первого глобального наблюдения за сущностью корпорацией Майкрософт |
GlobalLastSeen |
datetime |
Дата и время последнего глобального наблюдения за сущностью корпорацией Майкрософт |
Signer |
string |
Сведения о подписывшем файле |
Issuer |
string |
Сведения о выдающем центре сертификации (ЦС) |
SignerHash |
string |
Уникальное хэш-значение, определяющее подписывающее |
IsCertificateValid |
boolean |
Является ли сертификат, используемый для подписи файла, допустимым |
IsRootSignerMicrosoft |
boolean |
Указывает, является ли подписыватель корневого сертификата корпорацией Майкрософт, а файл встроен в ОС Windows. |
SignatureState |
string |
Состояние подписи файла: SignedValid — файл подписан допустимой подписью, SignedInvalid — файл подписан, но сертификат недопустим, Unsigned — файл не подписан, Unknown — сведения о файле не удается получить. |
IsExecutable |
boolean |
Является ли файл переносимым исполняемым файлом (PE) |
ThreatName |
string |
Имя обнаружения любых обнаруженных вредоносных программ или других угроз |
Publisher |
string |
Имя организации, которая опубликовала файл |
SoftwareName |
string |
Название программного продукта |
ProfileAvailability |
string |
Указывает состояние доступности данных профиля для файла: Доступно — профиль успешно запросился и данные файлов возвращены, Отсутствует — профиль был успешно запрошен, но сведения о файле не найдены, Ошибка — ошибка при запросе сведений о файле или превышено максимальное отведенное время до завершения запроса, или пустое значение, если идентификатор файла недопустим или достигнуто максимальное количество файлов. |
Синтаксис
invoke FileProfile(x,y)
Аргументы
- x — столбец идентификатора файла для использования:
SHA1,SHA256,InitiatingProcessSHA1илиInitiatingProcessSHA256; функция используетSHA1, если не указано. - y — ограничение на количество записей для обогащения, от 1 до 1000; Функция использует 100, если не указано
Совет
Функции обогащения будут отображать дополнительные сведения только в том случае, если они доступны. Доступность информации разнообразна и зависит от множества факторов. Обязательно учитывайте это при использовании FileProfile() в запросах или при создании пользовательских обнаружений. Для достижения наилучших результатов рекомендуется использовать функцию FileProfile() с SHA1.
Примеры
Проецируемый только столбец SHA1 и его обогащение
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Обогащение первых 500 записей и перечисление файлов с низким уровнем распространенности
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Сведения о схеме
- Получение дополнительных примеров запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по