DeviceFileCertificateInfo
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
Gelişmiş DeviceFileCertificateInfo
tehdit avcılığı şemasındaki tablo, dosya imzalama sertifikaları hakkında bilgi içerir. Bu tabloda, uç noktalardaki dosyalarda düzenli olarak gerçekleştirilen sertifika doğrulama etkinliklerinden elde edilen veriler kullanılır.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
Sütun adı | Veri türü | Açıklama |
---|---|---|
Timestamp |
datetime |
Kaydın oluşturulduğu tarih ve saat |
DeviceId |
string |
Hizmetteki cihaz için benzersiz tanımlayıcı |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
SHA1 |
string |
Kaydedilen eylemin uygulandığı dosyanın SHA-1 |
IsSigned |
bool |
Dosyanın imzalanıp imzalanmadığını gösterir |
SignatureType |
string |
İmza bilgilerinin dosyanın kendisine eklenmiş içerik olarak mı yoksa bir dış katalog dosyasından mı okundu olduğunu gösterir |
Signer |
string |
Dosyanın imzalayanı hakkında bilgi |
SignerHash |
string |
İmzalayanı tanımlayan benzersiz karma değer |
Issuer |
string |
Sertifika veren sertifika yetkilisi (CA) hakkında bilgi |
IssuerHash |
string |
Sertifika veren sertifika yetkilisini (CA) tanımlayan benzersiz karma değer |
CertificateSerialNumber |
string |
Veren sertifika yetkilisine (CA) özgü sertifikanın tanımlayıcısı |
CrlDistributionPointUrls |
string |
Sertifikalar ve sertifika iptal listeleri (CRL) içeren ağ paylaşımlarının URL'lerini listeleyen JSON dizisi |
CertificateCreationTime |
datetime |
Sertifikanın oluşturulduğu tarih ve saat |
CertificateExpirationTime |
datetime |
Sertifikanın süresi dolmak üzere ayarlandığı tarih ve saat |
CertificateCountersignatureTime |
datetime |
Sertifikanın imzalandığı tarih ve saat |
IsTrusted |
bool |
Bilinmeyen kök sertifika bilgilerini, geçersiz imzaları, iptal edilen sertifikaları ve diğer şüpheli öznitelikleri denetleyen WinVerifyTrust işlevinin sonuçlarına göre dosyanın güvenilir olup olmadığını gösterir |
IsRootSignerMicrosoft |
boolean |
Kök sertifikanın imzalayanının Microsoft olup olmadığını ve dosyanın Windows işletim sistemine eklenip eklenmediğini gösterir |
ReportId |
long |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.