DeviceFileCertificateInfo
適用於:
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender
進 DeviceFileCertificateInfo 階 搜捕 架構中的數據表包含檔案簽署憑證的相關信息。 此數據表使用從定期在端點上的檔案上執行的憑證驗證活動取得的數據。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
記錄的產生日期和時間 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
SHA1 |
string |
記錄動作已套用的檔案 SHA-1 |
IsSigned |
bool |
指出檔案是否已簽署 |
SignatureType |
string |
指出簽章資訊是讀取為檔案本身中的內嵌內容,還是從外部類別目錄檔案讀取 |
Signer |
string |
檔案簽署者的相關信息 |
SignerHash |
string |
識別簽署者的唯一哈希值 |
Issuer |
string |
發行證書頒發機構單位 (CA) 的相關信息 |
IssuerHash |
string |
識別發行證書頒發機構單位的唯一哈希值 (CA) |
CertificateSerialNumber |
string |
頒發證書頒發機構單位唯一的憑證標識碼, (CA) |
CrlDistributionPointUrls |
string |
JSON 陣列,列出包含憑證和證書吊銷清單的網路共用URL (CRL) |
CertificateCreationTime |
datetime |
建立憑證的日期和時間 |
CertificateExpirationTime |
datetime |
憑證設定為到期的日期和時間 |
CertificateCountersignatureTime |
datetime |
憑證被副署的日期和時間 |
IsTrusted |
bool |
指出是否根據 WinVerifyTrust 函式的結果信任檔案,此函式會檢查未知的跟證書資訊、無效的簽章、撤銷的憑證和其他可疑的屬性 |
IsRootSignerMicrosoft |
boolean |
指出跟證書的簽署者是否為 Microsoft,以及檔案是否包含在 Windows 作業系統中 |
ReportId |
long |
以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。 |
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。