Condividi tramite


DeviceFileCertificateInfo

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Defender per endpoint

La DeviceFileCertificateInfo tabella nello schema di ricerca avanzata contiene informazioni sui certificati di firma dei file. Questa tabella usa i dati ottenuti dalle attività di verifica del certificato eseguite regolarmente sui file sugli endpoint.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora in cui è stato generato il record
DeviceId string Identificatore univoco per il dispositivo nel servizio
DeviceName string Nome di dominio completo (FQDN) del dispositivo
SHA1 string SHA-1 del file a cui è stata applicata l'azione registrata
IsSigned bool Indica se il file è firmato
SignatureType string Indica se le informazioni sulla firma sono state lette come contenuto incorporato nel file stesso o lette da un file di catalogo esterno
Signer string Informazioni sul firmatario del file
SignerHash string Valore hash univoco che identifica il firmatario
Issuer string Informazioni sull'autorità di certificazione emittente
IssuerHash string Valore hash univoco che identifica l'autorità di certificazione emittente
CertificateSerialNumber string Identificatore del certificato univoco per l'autorità di certificazione emittente
CrlDistributionPointUrls string Matrice JSON che elenca gli URL delle condivisioni di rete che contengono certificati ed elenchi di revoche di certificati (CRL)
CertificateCreationTime datetime Data e ora di creazione del certificato
CertificateExpirationTime datetime Data e ora di scadenza del certificato
CertificateCountersignatureTime datetime Data e ora in cui il certificato è stato controfirmato
IsTrusted bool Indica se il file è attendibile in base ai risultati della funzione WinVerifyTrust, che verifica la presenza di informazioni sconosciute sul certificato radice, firme non valide, certificati revocati e altri attributi discutibili
IsRootSignerMicrosoft boolean Indica se il firmatario del certificato radice è Microsoft e se il file è incluso nel sistema operativo Windows
ReportId long Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.