FileProfile()

Se aplica a:

• Microsoft Defender XDR

La FileProfile() función es una función de enriquecimiento en la búsqueda avanzada que agrega los siguientes datos a los archivos encontrados por la consulta.

Column	Tipo de datos	Descripción
SHA1	string	SHA-1 del archivo donde fue aplicada la acción registrada
SHA256	string	SHA-256 del archivo al que se aplicó la acción registrada
MD5	string	Hash MD5 del archivo al que se aplicó la acción registrada
FileSize	int	Tamaño del archivo en bytes
GlobalPrevalence	int	Número de instancias de la entidad observadas por Microsoft globalmente
GlobalFirstSeen	datetime	Fecha y hora en que Microsoft observó por primera vez la entidad globalmente
GlobalLastSeen	datetime	Fecha y hora en que Microsoft observó por última vez la entidad globalmente
Signer	string	Información sobre el firmante del archivo
Issuer	string	Información sobre la entidad de certificación (CA) emisora
SignerHash	string	Valor hash único que identifica el firmante
IsCertificateValid	boolean	Si el certificado usado para firmar el archivo es válido
IsRootSignerMicrosoft	boolean	Indica si el firmante del certificado raíz es Microsoft y el archivo está integrado en el sistema operativo Windows.
SignatureState	string	Estado de la firma de archivo: SignedValid: el archivo está firmado con una firma válida, SignedInvalid: el archivo está firmado, pero el certificado no es válido, No firmado: el archivo no está firmado, Desconocido: no se puede recuperar la información sobre el archivo.
IsExecutable	boolean	Si el archivo es un archivo portable ejecutable (PE)
ThreatName	string	Nombre de detección de cualquier malware u otras amenazas encontradas
Publisher	string	Nombre de la organización que publicó el archivo
SoftwareName	string	Nombre del producto de software
ProfileAvailability	string	Indica el estado de disponibilidad de los datos de perfil para el archivo: Disponible: el perfil se ha consultado correctamente y los datos de archivo devueltos, Falta - perfil se ha consultado correctamente, pero no se encontró ninguna información de archivo, Error: error al consultar la información del archivo o se ha superado el tiempo máximo asignado antes de que se pudiera completar la consulta, o un valor vacío: si el identificador de archivo no es válido o se ha alcanzado el número máximo de archivos asignados.

Sintaxis

invoke FileProfile(x,y)

Argumentos

• x: columna de identificador de archivo que se va a usar: SHA1, SHA256, InitiatingProcessSHA1o InitiatingProcessSHA256; la función usa SHA1 si no se especifica
• y: limite al número de registros que se enriquecerán, 1-1000; la función usa 100 si no se especifica

Sugerencia

Las funciones de enriquecimiento solo mostrarán información complementaria cuando estén disponibles. La disponibilidad de la información es variada y depende de muchos factores. Asegúrese de tener en cuenta esto al usar FileProfile() en las consultas o al crear detecciones personalizadas. Para obtener los mejores resultados, se recomienda usar la función FileProfile() con SHA1.

Ejemplos

Proyectar solo la columna SHA1 y enriquecerla

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Enriquecer los primeros 500 registros y enumerar los archivos de baja prevalencia

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15

Temas relacionados

• Información general sobre la búsqueda avanzada de amenazas
• Aprender el lenguaje de consulta
• Entender el esquema
• Obtener más ejemplos de consulta

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.