FileProfile()
Bemærk
Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.
Gælder for:
- Microsoft 365 Defender
Funktionen FileProfile() er en berigende funktion i avanceret jagt, der føjer følgende data til filer, der findes af forespørgslen.
| Kolonne | Datatype | Beskrivelse |
|---|---|---|
SHA1 |
string |
SHA-1 i den fil, som den optagede handling blev anvendt på |
SHA256 |
string |
SHA-256 af den fil, som den optagede handling blev anvendt på |
MD5 |
string |
MD5-hash for den fil, som den optagede handling blev anvendt på |
FileSize |
int |
Filens størrelse i byte |
GlobalPrevalence |
int |
Antal forekomster af enheden, der er observeret af Microsoft globalt |
GlobalFirstSeen |
datetime |
Dato og klokkeslæt, hvor enheden første gang observeres af Microsoft globalt |
GlobalLastSeen |
datetime |
Dato og klokkeslæt, hvor enheden sidst blev observeret af Microsoft globalt |
Signer |
string |
Oplysninger om underskriveren af filen |
Issuer |
string |
Oplysninger om det udstedende nøglecenter |
SignerHash |
string |
Entydig hash-værdi, der identificerer underskriveren |
IsCertificateValid |
boolean |
Om det certifikat, der bruges til at signere filen, er gyldigt |
IsRootSignerMicrosoft |
boolean |
Angiver, om underskriveren af rodcertifikatet er Microsoft |
SignatureState |
string |
Tilstanden for filsignaturen: SignedValid – filen er signeret med en gyldig signatur, SignedInvalid – filen er signeret, men certifikatet er ugyldigt, Usigneret – filen er ikke signeret, Ukendt – oplysninger om filen kan ikke hentes |
IsExecutable |
boolean |
Om filen er en bærbar eksekverbar fil (PE) |
ThreatName |
string |
Registreringsnavn for malware eller andre trusler, der er fundet |
Publisher |
string |
Navnet på den organisation, der har publiceret filen |
SoftwareName |
string |
Navnet på softwareproduktet |
Syntaks
invoke FileProfile(x,y)
Argumenter
- x – kolonnen fil-id, der skal bruges:
SHA1,SHA256,InitiatingProcessSHA1ellerInitiatingProcessSHA256; funktion bruger,SHA1hvis ikke-angivet - y – begræns antallet af poster, der kan beriges, 1-1000; funktion bruger 100, hvis ikke-angivet
Tip
Berigende funktioner viser kun supplerende oplysninger, når de er tilgængelige. Tilgængeligheden af oplysninger er varieret og afhænger af en masse faktorer. Sørg for at overveje dette, når du bruger FileProfile() i dine forespørgsler eller til at oprette brugerdefinerede registreringer. For at få de bedste resultater anbefaler vi, at du bruger funktionen FileProfile() med SHA1.
Eksempler
Project kun SHA1-kolonnen og gør den bedre
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Gør de første 500 poster bedre, og opliste svagtseende filer
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Relaterede emner
Feedback
Indsend og få vist feedback om