Partager via


DeviceFileCertificateInfo

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender pour point de terminaison

Le DeviceFileCertificateInfo tableau du schéma de repérage avancé contient des informations sur les certificats de signature de fichiers. Ce tableau utilise les données obtenues à partir des activités de vérification de certificat effectuées régulièrement sur les fichiers sur les points de terminaison.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure de génération de l’enregistrement
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée
IsSigned bool Indique si le fichier est signé
SignatureType string Indique si les informations de signature ont été lues en tant que contenu incorporé dans le fichier lui-même ou à partir d’un fichier catalogue externe
Signer string Informations sur le signataire du fichier
SignerHash string Valeur de hachage unique identifiant le signataire
Issuer string Informations sur l’autorité de certification émettrice
IssuerHash string Valeur de hachage unique identifiant l’autorité de certification émettrice
CertificateSerialNumber string Identificateur du certificat propre à l’autorité de certification émettrice
CrlDistributionPointUrls string Tableau JSON répertoriant les URL des partages réseau qui contiennent des certificats et des listes de révocation de certificats (CRL)
CertificateCreationTime datetime Date et heure de création du certificat
CertificateExpirationTime datetime Date et heure d’expiration du certificat
CertificateCountersignatureTime datetime Date et heure à laquelle le certificat a été contresigné
IsTrusted bool Indique si le fichier est approuvé en fonction des résultats de la fonction WinVerifyTrust, qui vérifie les informations de certificat racine inconnues, les signatures non valides, les certificats révoqués et d’autres attributs douteux
IsRootSignerMicrosoft boolean Indique si le signataire du certificat racine est Microsoft et si le fichier est inclus dans le système d’exploitation Windows
ReportId long Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.