FileProfile()

Bemærk

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

  • Microsoft 365 Defender

Funktionen FileProfile() er en berigende funktion i avanceret jagt, der føjer følgende data til filer, der findes af forespørgslen.

Kolonne Datatype Beskrivelse
SHA1 string SHA-1 i den fil, som den optagede handling blev anvendt på
SHA256 string SHA-256 af den fil, som den optagede handling blev anvendt på
MD5 string MD5-hash for den fil, som den optagede handling blev anvendt på
FileSize int Filens størrelse i byte
GlobalPrevalence int Antal forekomster af enheden, der er observeret af Microsoft globalt
GlobalFirstSeen datetime Dato og klokkeslæt, hvor enheden første gang observeres af Microsoft globalt
GlobalLastSeen datetime Dato og klokkeslæt, hvor enheden sidst blev observeret af Microsoft globalt
Signer string Oplysninger om underskriveren af filen
Issuer string Oplysninger om det udstedende nøglecenter
SignerHash string Entydig hash-værdi, der identificerer underskriveren
IsCertificateValid boolean Om det certifikat, der bruges til at signere filen, er gyldigt
IsRootSignerMicrosoft boolean Angiver, om underskriveren af rodcertifikatet er Microsoft
SignatureState string Tilstanden for filsignaturen: SignedValid – filen er signeret med en gyldig signatur, SignedInvalid – filen er signeret, men certifikatet er ugyldigt, Usigneret – filen er ikke signeret, Ukendt – oplysninger om filen kan ikke hentes
IsExecutable boolean Om filen er en bærbar eksekverbar fil (PE)
ThreatName string Registreringsnavn for malware eller andre trusler, der er fundet
Publisher string Navnet på den organisation, der har publiceret filen
SoftwareName string Navnet på softwareproduktet

Syntaks

invoke FileProfile(x,y)

Argumenter

  • x – kolonnen fil-id, der skal bruges: SHA1, SHA256, InitiatingProcessSHA1eller InitiatingProcessSHA256; funktion bruger, SHA1 hvis ikke-angivet
  • y – begræns antallet af poster, der kan beriges, 1-1000; funktion bruger 100, hvis ikke-angivet

Tip

Berigende funktioner viser kun supplerende oplysninger, når de er tilgængelige. Tilgængeligheden af oplysninger er varieret og afhænger af en masse faktorer. Sørg for at overveje dette, når du bruger FileProfile() i dine forespørgsler eller til at oprette brugerdefinerede registreringer. For at få de bedste resultater anbefaler vi, at du bruger funktionen FileProfile() med SHA1.

Eksempler

Project kun SHA1-kolonnen og gør den bedre

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Gør de første 500 poster bedre, og opliste svagtseende filer

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15