共用方式為


DeviceFileCertificateInfo

適用於:

  • Microsoft Defender XDR
  • 適用於端點的 Microsoft Defender

DeviceFileCertificateInfo搜捕 架構中的數據表包含檔案簽署憑證的相關信息。 此數據表使用從定期在端點上的檔案上執行的憑證驗證活動取得的數據。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 記錄的產生日期和時間
DeviceId string 服務中裝置的唯一識別碼
DeviceName string 裝置的 FQDN) (完整功能變數名稱
SHA1 string 記錄動作已套用的檔案 SHA-1
IsSigned bool 指出檔案是否已簽署
SignatureType string 指出簽章資訊是讀取為檔案本身中的內嵌內容,還是從外部類別目錄檔案讀取
Signer string 檔案簽署者的相關信息
SignerHash string 識別簽署者的唯一哈希值
Issuer string 發行證書頒發機構單位 (CA) 的相關信息
IssuerHash string 識別發行證書頒發機構單位的唯一哈希值 (CA)
CertificateSerialNumber string 頒發證書頒發機構單位唯一的憑證標識碼, (CA)
CrlDistributionPointUrls string JSON 陣列,列出包含憑證和證書吊銷清單的網路共用URL (CRL)
CertificateCreationTime datetime 建立憑證的日期和時間
CertificateExpirationTime datetime 憑證設定為到期的日期和時間
CertificateCountersignatureTime datetime 憑證被副署的日期和時間
IsTrusted bool 指出是否根據 WinVerifyTrust 函式的結果信任檔案,此函式會檢查未知的跟證書資訊、無效的簽章、撤銷的憑證和其他可疑的屬性
IsRootSignerMicrosoft boolean 指出跟證書的簽署者是否為 Microsoft,以及檔案是否包含在 Windows 作業系統中
ReportId long 以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。