Share via


DeviceFileCertificateInfo

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Defender voor Eindpunt

De DeviceFileCertificateInfo tabel in het geavanceerde opsporingsschema bevat informatie over certificaten voor bestandsondertekening. In deze tabel worden gegevens gebruikt die zijn verkregen uit certificaatverificatieactiviteiten die regelmatig worden uitgevoerd op bestanden op eindpunten.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de record is gegenereerd
DeviceId string Unieke id voor het apparaat in de service
DeviceName string Fully Qualified Domain Name (FQDN) van het apparaat
SHA1 string SHA-1 van het bestand waarop de vastgelegde actie is toegepast
IsSigned bool Geeft aan of het bestand is ondertekend
SignatureType string Geeft aan of handtekeninggegevens zijn gelezen als ingesloten inhoud in het bestand zelf of gelezen uit een extern catalogusbestand
Signer string Informatie over de ondertekenaar van het bestand
SignerHash string Unieke hashwaarde waarmee de ondertekenaar wordt geïdentificeerd
Issuer string Informatie over de verlenende certificeringsinstantie (CA)
IssuerHash string Unieke hashwaarde die de verlenende certificeringsinstantie (CA) identificeert
CertificateSerialNumber string Id voor het certificaat dat uniek is voor de verlenende certificeringsinstantie (CA)
CrlDistributionPointUrls string JSON-matrix met de URL's van netwerkshares die certificaten en certificaatintrekkingslijsten (CRL's) bevatten
CertificateCreationTime datetime Datum en tijd waarop het certificaat is gemaakt
CertificateExpirationTime datetime Datum en tijd waarop het certificaat is ingesteld om te verlopen
CertificateCountersignatureTime datetime Datum en tijd waarop het certificaat is ondertekend
IsTrusted bool Geeft aan of het bestand wordt vertrouwd op basis van de resultaten van de functie WinVerifyTrust, die controleert op onbekende basiscertificaatgegevens, ongeldige handtekeningen, ingetrokken certificaten en andere twijfelachtige kenmerken
IsRootSignerMicrosoft boolean Geeft aan of de ondertekenaar van het basiscertificaat Microsoft is en of het bestand is opgenomen in het Windows-besturingssysteem
ReportId long Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.