FileProfile()FileProfile()

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

La FileProfile() función es una función de enriquecimiento en búsqueda avanzada que agrega los siguientes datos a los archivos encontrados por la consulta.The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColumnColumn Tipo de datosData type DescripciónDescription
SHA1 cadenastring SHA-1 del archivo donde fue aplicada la acción registradaSHA-1 of the file that the recorded action was applied to
SHA256 cadenastring SHA-256 del archivo al que se aplicó la acción grabadaSHA-256 of the file that the recorded action was applied to
MD5 cadenastring Hash MD5 del archivo al que se aplicó la acción grabadaMD5 hash of the file that the recorded action was applied to
FileSize Enteroint Tamaño del archivo en bytesSize of the file in bytes
GlobalPrevalence Enteroint Número de instancias de la entidad observadas por Microsoft globalmenteNumber of instances of the entity observed by Microsoft globally
GlobalFirstSeen datetimedatetime Fecha y hora en que Microsoft observó por primera vez la entidad globalmenteDate and time when the entity was first observed by Microsoft globally
GlobalLastSeen datetimedatetime Fecha y hora en que Microsoft observó por última vez la entidad globalmenteDate and time when the entity was last observed by Microsoft globally
Signer cadenastring Información sobre el firmante del archivoInformation about the signer of the file
Issuer cadenastring Información sobre la entidad emisora de certificados (CA)Information about the issuing certificate authority (CA)
SignerHash cadenastring Valor hash único que identifica el firmanteUnique hash value identifying the signer
IsCertificateValid booleanboolean Si el certificado usado para firmar el archivo es válidoWhether the certificate used to sign the file is valid
IsRootSignerMicrosoft booleanboolean Indica si el firmante del certificado raíz es MicrosoftIndicates whether the signer of the root certificate is Microsoft
SignatureState cadenastring Estado de la firma del archivo: SignedValid : el archivo está firmado con una firma válida, SignedInvalid - el archivo está firmado pero el certificado no es válido, No firmado - el archivo no está firmado, Desconocido - la información sobre el archivo no se puede recuperar.State of the file signature: SignedValid - the file is signed with a valid signature, SignedInvalid - the file is signed but the certificate is invalid, Unsigned - the file is not signed, Unknown - information about the file cannot be retrieved
IsExecutable booleanboolean Si el archivo es un archivo ejecutable portátil (PE)Whether the file is a Portable Executable (PE) file
ThreatName cadenastring Nombre de detección de cualquier malware u otras amenazas encontradasDetection name for any malware or other threats found
Publisher cadenastring Nombre de la organización que publicó el archivoName of the organization that published the file
SoftwareName cadenastring Nombre del producto de softwareName of the software product

SintaxisSyntax

invoke FileProfile(x,y)

ArgumentosArguments

  • x—columna de id. de archivo para usar: SHA1 , , o ; función usa si no se SHA256 InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 especificax—file ID column to use: SHA1, SHA256, InitiatingProcessSHA1, or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y—limite al número de registros que se enriquecerán, de 1 a 1000; función usa 100 si no se especificay—limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

Sugerencia

Las funciones de enriquecimiento mostrarán información adicional solo cuando estén disponibles.Enrichment functions will show supplemental information only when they are available. La disponibilidad de información es variada y depende de muchos factores.Availability of information is varied and depends on a lot of factors. Asegúrese de tener esto en cuenta al usar FileProfile() en las consultas o al crear detecciones personalizadas.Make sure to consider this when using FileProfile() in your queries or in creating custom detections. Para obtener los mejores resultados, se recomienda usar la función FileProfile() con SHA1.For best results, we recommend using the FileProfile() function with SHA1.

EjemplosExamples

Proyecte solo la columna SHA1 y enriquezcalaProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Enriquecer los primeros 500 registros y enumerar archivos de baja prevalenciaEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15