DeviceFileCertificateInfo
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceFileCertificateInfo高级搜寻架构中的表包含有关文件签名证书的信息。 此表使用定期对终结点上的文件执行的证书验证活动获取的数据。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
IsSigned |
bool |
指示文件是否已签名 |
SignatureType |
string |
指示签名信息是作为文件本身的嵌入内容读取还是从外部目录文件读取 |
Signer |
string |
有关文件签名者的信息 |
SignerHash |
string |
标识签名者的唯一哈希值 |
Issuer |
string |
有关证书颁发机构 (CA) 的信息 |
IssuerHash |
string |
标识证书颁发机构 (CA) 的唯一哈希值 |
CertificateSerialNumber |
string |
颁发证书颁发机构唯一的证书标识符 (CA) |
CrlDistributionPointUrls |
string |
列出包含证书的网络共享的 URL 的 JSON 数组,以及证书吊销列表 (CRL) |
CertificateCreationTime |
datetime |
证书的创建日期和时间 |
CertificateExpirationTime |
datetime |
证书设置为过期的日期和时间 |
CertificateCountersignatureTime |
datetime |
对证书进行反签名的日期和时间 |
IsTrusted |
bool |
根据 WinVerifyTrust 函数的结果指示文件是否受信任,该函数检查未知根证书信息、无效签名、吊销的证书和其他可疑属性 |
IsRootSignerMicrosoft |
boolean |
指示根证书的签名者是否为 Microsoft 以及该文件是否包含在 Windows 操作系统中 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈