Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
Tabellen DeviceFileCertificateInfo i det avancerade jaktschemat innehåller information om filsigneringscertifikat. Den här tabellen använder data som hämtats från certifikatverifieringsaktiviteter som regelbundet utförs på filer på slutpunkter.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då posten genererades |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
SHA1 |
string |
SHA-1 av filen som den inspelade åtgärden tillämpades på |
IsSigned |
bool |
Anger om filen är signerad |
SignatureType |
string |
Anger om signaturinformation har lästs som inbäddat innehåll i själva filen eller lästs från en extern katalogfil |
Signer |
string |
Information om filens undertecknare |
SignerHash |
string |
Unikt hashvärde som identifierar undertecknaren |
Issuer |
string |
Information om den utfärdande certifikatutfärdare (CA) |
IssuerHash |
string |
Unikt hashvärde som identifierar utfärdande certifikatutfärdare (CA) |
CertificateSerialNumber |
string |
Identifierare för certifikatet som är unikt för den utfärdande certifikatutfärdaren (CA) |
CrlDistributionPointUrls |
string |
JSON-matris som visar URL:er för nätverksresurser som innehåller certifikat och listor över återkallade certifikat (CRL) |
CertificateCreationTime |
datetime |
Datum och tid då certifikatet skapades |
CertificateExpirationTime |
datetime |
Datum och tid då certifikatet har angetts att upphöra att gälla |
CertificateCountersignatureTime |
datetime |
Datum och tid då certifikatet kontrasignerades |
IsTrusted |
bool |
Anger om filen är betrodd baserat på resultatet av funktionen WinVerifyTrust, som söker efter okänd rotcertifikatinformation, ogiltiga signaturer, återkallade certifikat och andra tvivelaktiga attribut |
IsRootSignerMicrosoft |
boolean |
Anger om undertecknaren av rotcertifikatet är Microsoft och om filen ingår i Windows-operativsystemet |
ReportId |
long |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.