FileProfile()
適用於:
- Microsoft Defender XDR
函 FileProfile()
式是 進階搜捕 中的擴充函式,可將下列數據新增至查詢所找到的檔案。
欄 | 資料類型 | 描述 |
---|---|---|
SHA1 |
string |
記錄動作已套用的檔案 SHA-1 |
SHA256 |
string |
已記錄動作套用至的檔案SHA-256 |
MD5 |
string |
已記錄動作套用至之檔案的 MD5 哈希 |
FileSize |
int |
檔案大小,以位元組為單位 |
GlobalPrevalence |
int |
Microsoft 全域觀察到的實體實例數目 |
GlobalFirstSeen |
datetime |
Microsoft 首次全域觀察到實體的日期和時間 |
GlobalLastSeen |
datetime |
Microsoft 上次全域觀察到實體的日期和時間 |
Signer |
string |
檔案簽署者的相關信息 |
Issuer |
string |
發行證書頒發機構單位 (CA) 的相關信息 |
SignerHash |
string |
識別簽署者的唯一哈希值 |
IsCertificateValid |
boolean |
用來簽署檔案的憑證是否有效 |
IsRootSignerMicrosoft |
boolean |
指出跟證書的簽署者是否為 Microsoft,且檔案內建於 Windows OS |
SignatureState |
string |
檔案簽章狀態:SignedValid - 檔案以有效的簽章 SignedInvalid 簽署 - 檔案已簽署,但憑證無效、未簽署 - 檔案未簽署、未知 - 無法擷取檔案的相關信息 |
IsExecutable |
boolean |
檔案是否為可攜式可執行檔 (PE) 檔案 |
ThreatName |
string |
找到的任何惡意代碼或其他威脅的偵測名稱 |
Publisher |
string |
發佈檔案的組織名稱 |
SoftwareName |
string |
軟體產品名稱 |
ProfileAvailability |
string |
指出檔案配置檔數據的可用性狀態:可用 - 配置檔已成功查詢並傳回檔案數據、遺失 - 配置檔已成功查詢,但找不到檔案資訊、錯誤 - 查詢檔案資訊時發生錯誤,或超過查詢完成前的最大配置時間,或空白值 - 如果檔案標識符無效或已達到檔案數目上限 |
語法
invoke FileProfile(x,y)
引數
- x— 要使用的檔案識別碼數據行:
SHA1
、SHA256
、InitiatingProcessSHA1
或InitiatingProcessSHA256
;如果未指定,則函式會使用SHA1
- y— 限制為要擴充的記錄數目,1-1000;若未指定,函式會使用 100
提示
擴充函式只有在可用時才會顯示補充資訊。 資訊的可用性各不相同,且取決於許多因素。 在查詢中使用 FileProfile () 或建立自定義偵測時,請務必考慮這個問題。 為了獲得最佳結果,建議您搭配SHA1使用FileProfile () 函式。
範例
僅投影 SHA1 數據行並加以擴充
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
擴充前 500 筆記錄,並列出低普遍性檔案
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。