FileProfile()FileProfile()

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

この FileProfile() 関数は、高度な検索のエンリッチメント関数で、クエリで見つかったファイルに次のデータを追加します。The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColumnColumn データ型Data type 説明Description
SHA1 文字列string 記録されたアクションが適用されたファイルの SHA-1SHA-1 of the file that the recorded action was applied to
SHA256 文字列string 記録されたアクションが適用されたファイルの SHA-256SHA-256 of the file that the recorded action was applied to
MD5 文字列string 記録されたアクションが適用されたファイルの MD5 ハッシュMD5 hash of the file that the recorded action was applied to
FileSize intint ファイルのサイズ (バイト単位)Size of the file in bytes
GlobalPrevalence intint Microsoft がグローバルに観察したエンティティのインスタンス数Number of instances of the entity observed by Microsoft globally
GlobalFirstSeen 日付型datetime エンティティが最初に Microsoft によってグローバルに観察された日時Date and time when the entity was first observed by Microsoft globally
GlobalLastSeen 日付型datetime エンティティが Microsoft によってグローバルに最後に観察された日時Date and time when the entity was last observed by Microsoft globally
Signer 文字列string ファイルの署名者に関する情報Information about the signer of the file
Issuer 文字列string 発行元証明機関 (CA) に関する情報Information about the issuing certificate authority (CA)
SignerHash 文字列string 署名者を識別する一意のハッシュ値Unique hash value identifying the signer
IsCertificateValid booleanboolean ファイルの署名に使用する証明書が有効かどうかWhether the certificate used to sign the file is valid
IsRootSignerMicrosoft booleanboolean ルート証明書の署名者が Microsoft であるかどうかを示します。Indicates whether the signer of the root certificate is Microsoft
SignatureState 文字列string ファイル署名の状態: SignedValid - ファイルは有効な署名で署名されています。SignedInvalid - ファイルは署名されますが、証明書は無効です。Signeded - ファイルは署名されていない、不明 - ファイルに関する情報を取得できませんState of the file signature: SignedValid - the file is signed with a valid signature, SignedInvalid - the file is signed but the certificate is invalid, Unsigned - the file is not signed, Unknown - information about the file cannot be retrieved
IsExecutable booleanboolean ファイルがポータブル実行可能ファイル (PE) ファイルかどうかWhether the file is a Portable Executable (PE) file
ThreatName 文字列string マルウェアまたは検出された他の脅威の検出名Detection name for any malware or other threats found
Publisher 文字列string ファイルを発行した組織の名前Name of the organization that published the file
SoftwareName stringstring ソフトウェア製品の名前Name of the software product

構文Syntax

invoke FileProfile(x,y)

引数Arguments

  • x—使用するファイル ID 列: 、、 を使用する関数は SHA1 SHA256 InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 、指定されていない場合に使用します。x—file ID column to use: SHA1, SHA256, InitiatingProcessSHA1, or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y—エンリッチするレコードの数に制限、1 ~ 1000。指定されていない場合、関数は 100 を使用します。y—limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

ヒント

エンリッチメント関数は、利用可能な場合にのみ補足情報を表示します。Enrichment functions will show supplemental information only when they are available. 情報の可用性はさまざまで、多くの要因に依存します。Availability of information is varied and depends on a lot of factors. クエリで FileProfile() を使用する場合、またはカスタム検出を作成する場合は、この点を考慮してください。Make sure to consider this when using FileProfile() in your queries or in creating custom detections. 最良の結果を得る場合は、SHA1 で FileProfile() 関数を使用することをお勧めします。For best results, we recommend using the FileProfile() function with SHA1.

Examples

SHA1 列のみを投影してエンリッチするProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

最初の 500 レコードを強化し、低普及率のファイルを一覧表示するEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15