FileProfile()FileProfile()

Importante

Benvenuti in Microsoft 365 Defender, il nuovo nome per Microsoft Threat Protection.Welcome to Microsoft 365 Defender, the new name for Microsoft Threat Protection. Altre informazioni su questo e altri aggiornamenti sono disponibili qui.Read more about this and other updates here. A breve aggiorneremo i nomi nei prodotti e nei documentiWe'll be updating names in products and in the docs in the near future

Si applica a:Applies to:

  • Microsoft Threat ProtectionMicrosoft Threat Protection

La FileProfile() funzione è una funzione di arricchimento nella ricerca avanzata che consente di aggiungere i dati seguenti ai file trovati dalla query.The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColonnaColumn Tipo di datiData type DescrizioneDescription
SHA1SHA1 stringastring SHA-1 del file a cui è stata applicata l'azione registrataSHA-1 of the file that the recorded action was applied to
SHA256SHA256 stringastring SHA-256 del file a cui è stata applicata l'azione registrataSHA-256 of the file that the recorded action was applied to
MD5MD5 stringastring Hash MD5 del file a cui è stata applicata l'azione registrataMD5 hash of the file that the recorded action was applied to
FileSizeFileSize intint Dimensione del file in byteSize of the file in bytes
GlobalPrevalenceGlobalPrevalence intint Numero di istanze dell'entità osservate da Microsoft a livello globaleNumber of instances of the entity observed by Microsoft globally
GlobalFirstSeenGlobalFirstSeen datetimedatetime Data e ora in cui l'entità è stata osservata per la prima volta da Microsoft globalmenteDate and time when the entity was first observed by Microsoft globally
GlobalLastSeenGlobalLastSeen datetimedatetime Data e ora in cui l'entità è stata osservata per l'ultima volta da Microsoft globalmenteDate and time when the entity was last observed by Microsoft globally
FirmatarioSigner stringastring Informazioni sul firmatario del fileInformation about the signer of the file
Autorità di certificazioneIssuer stringastring Informazioni sull'autorità di certificazione (CA) di emissioneInformation about the issuing certificate authority (CA)
SignerHashSignerHash stringastring Valore hash univoco che identifica il firmatarioUnique hash value identifying the signer
IsCertificateValidIsCertificateValid booleanboolean Se il certificato utilizzato per firmare il file è validoWhether the certificate used to sign the file is valid
IsRootSignerMicrosoftIsRootSignerMicrosoft booleanboolean Indica se il firmatario del certificato radice è MicrosoftIndicates whether the signer of the root certificate is Microsoft
IsExecutableIsExecutable booleanboolean Se il file è un file eseguibile (PE) portatileWhether the file is a Portable Executable (PE) file
ThreatnameThreatName stringastring Nome del rilevamento per qualsiasi malware o altre minacce trovateDetection name for any malware or other threats found
PublisherPublisher stringastring Nome dell'organizzazione che ha pubblicato il fileName of the organization that published the file
SoftwarenameSoftwareName stringastring Nome del prodotto softwareName of the software product

SintassiSyntax

invoke FileProfile(x,y)

ArgomentiArguments

  • x -colonna ID file da utilizzare: SHA1 , SHA256 InitiatingProcessSHA1 o, InitiatingProcessSHA256 se non specificata, viene utilizzata una funzione. SHA1x — file ID column to use: SHA1, SHA256, InitiatingProcessSHA1 or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y -limitare il numero di record da arricchire, 1-1000; la funzione utilizza 100 se non specificatay — limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

EsempiExamples

Proiettare solo la colonna SHA1 e arricchirlaProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Arricchire i primi 500 record ed elencare i file di bassa prevalenzaEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15