FileProfile()
注意
希望体验 Microsoft 365 Defender? 详细了解如何评估和试点Microsoft 365 Defender。
适用于:
- Microsoft 365 Defender
函数 FileProfile() 是 高级搜寻 中的扩充函数,可将以下数据添加到查询找到的文件。
| Column | 数据类型 | 说明 |
|---|---|---|
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
SHA256 |
string |
已记录操作应用到的文件的 SHA-256 |
MD5 |
string |
已记录操作应用到的文件的 MD5 哈希 |
FileSize |
int |
文件的大小(以字节为单位) |
GlobalPrevalence |
int |
Microsoft 全局观察到的实体实例数 |
GlobalFirstSeen |
datetime |
Microsoft 首次全局观察实体的日期和时间 |
GlobalLastSeen |
datetime |
Microsoft 上次全局观察实体的日期和时间 |
Signer |
string |
有关文件签名者的信息 |
Issuer |
string |
有关证书颁发机构 (CA) 的信息 |
SignerHash |
string |
标识签名者的唯一哈希值 |
IsCertificateValid |
boolean |
用于对文件进行签名的证书是否有效 |
IsRootSignerMicrosoft |
boolean |
指示根证书的签名者是否为 Microsoft,以及该文件是否内置于 Windows OS |
SignatureState |
string |
文件签名的状态:SignedValid - 使用有效签名对文件进行签名,SignedInvalid - 文件已签名但证书无效,未签名 - 文件未签名,未知 - 无法检索有关文件的信息 |
IsExecutable |
boolean |
该文件是否为可移植可执行文件 (PE) 文件 |
ThreatName |
string |
发现的任何恶意软件或其他威胁的检测名称 |
Publisher |
string |
发布文件的组织的名称 |
SoftwareName |
string |
软件产品的名称 |
ProfileAvailability |
string |
指示文件配置文件数据的可用性状态:可用 - 配置文件已成功查询并返回文件数据,缺少 - 配置文件已成功查询,但找不到文件信息,错误 - 查询文件信息时出错或超出查询完成前分配的最大时间,或者如果文件 ID 无效或达到最大文件数,则为空 |
语法
invoke FileProfile(x,y)
参数
- x - 要使用的文件 ID 列:
SHA1、SHA256、InitiatingProcessSHA1或InitiatingProcessSHA256;如果未指定,则函数使用SHA1 - y - 限制为要扩充的记录数,1-1000;如果未指定,则函数使用 100
提示
扩充函数仅在可用时显示补充信息。 信息的可用性各不相同,具体取决于许多因素。 在查询中使用 FileProfile () 或创建自定义检测时,请务必考虑这一点。 为了获得最佳结果,我们建议将 FileProfile () 函数与 SHA1 配合使用。
示例
仅投影 SHA1 列并对其进行扩充
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
扩充前 500 条记录并列出低流行率文件
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15