共用方式為


FileProfile()

適用於:

  • Microsoft Defender XDR

FileProfile() 式是 進階搜捕 中的擴充函式,可將下列數據新增至查詢所找到的檔案。

資料類型 描述
SHA1 string 記錄動作已套用的檔案 SHA-1
SHA256 string 已記錄動作套用至的檔案SHA-256
MD5 string 已記錄動作套用至之檔案的 MD5 哈希
FileSize int 檔案大小,以位元組為單位
GlobalPrevalence int Microsoft 全域觀察到的實體實例數目
GlobalFirstSeen datetime Microsoft 首次全域觀察到實體的日期和時間
GlobalLastSeen datetime Microsoft 上次全域觀察到實體的日期和時間
Signer string 檔案簽署者的相關信息
Issuer string 發行證書頒發機構單位 (CA) 的相關信息
SignerHash string 識別簽署者的唯一哈希值
IsCertificateValid boolean 用來簽署檔案的憑證是否有效
IsRootSignerMicrosoft boolean 指出跟證書的簽署者是否為 Microsoft,且檔案內建於 Windows OS
SignatureState string 檔案簽章狀態:SignedValid - 檔案以有效的簽章 SignedInvalid 簽署 - 檔案已簽署,但憑證無效、未簽署 - 檔案未簽署、未知 - 無法擷取檔案的相關信息
IsExecutable boolean 檔案是否為可攜式可執行檔 (PE) 檔案
ThreatName string 找到的任何惡意代碼或其他威脅的偵測名稱
Publisher string 發佈檔案的組織名稱
SoftwareName string 軟體產品名稱
ProfileAvailability string 指出檔案配置檔數據的可用性狀態:可用 - 配置檔已成功查詢並傳回檔案數據、遺失 - 配置檔已成功查詢,但找不到檔案資訊、錯誤 - 查詢檔案資訊時發生錯誤,或超過查詢完成前的最大配置時間,或空白值 - 如果檔案標識符無效或已達到檔案數目上限

語法

invoke FileProfile(x,y)

引數

  • x— 要使用的檔案識別碼數據行:SHA1SHA256InitiatingProcessSHA1InitiatingProcessSHA256;如果未指定,則函式會使用SHA1
  • y— 限制為要擴充的記錄數目,1-1000;若未指定,函式會使用 100

提示

擴充函式只有在可用時才會顯示補充資訊。 資訊的可用性各不相同,且取決於許多因素。 在查詢中使用 FileProfile () 或建立自定義偵測時,請務必考慮這個問題。 為了獲得最佳結果,建議您搭配SHA1使用FileProfile () 函式。

範例

僅投影 SHA1 數據行並加以擴充

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

擴充前 500 筆記錄,並列出低普遍性檔案

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。