DeviceFileCertificateInfo

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceFileCertificateInfo w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o certyfikatach podpisywania plików. Ta tabela używa danych uzyskanych z działań weryfikacji certyfikatu regularnie wykonywanych w plikach w punktach końcowych.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
DeviceId string Unikatowy identyfikator maszyny w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) maszyny
SHA1 string SHA-1 pliku, do który zastosowano zarejestrowaną akcję
IsSigned boolean Wskazuje, czy plik jest podpisany
SignatureType string Wskazuje, czy informacje o podpisie były odczytywane jako zawartość osadzona w samym pliku, czy odczytywane z pliku wykazu zewnętrznego
Signer string Informacje dotyczące podpisywania pliku
SignerHash string Unikatowa wartość skrótu identyfikująca osoby podpisujące
Issuer string Informacje o urzędzie wystawiającym certyfikaty (CA)
IssuerHash string Unikatowa wartość skrótu identyfikująca urząd wystawiający certyfikat (CA)
CertificateSerialNumber string Identyfikator certyfikatu, który jest unikatowy dla urzędu wystawiającego certyfikaty (CA)
CrlDistributionPointUrls string Tablica JSON z listą adresów URL udziałów sieciowych zawierających certyfikaty i listy odwołania certyfikatów
CertificateCreationTime datetime Data i godzina utworzenia certyfikatu
CertificateExpirationTime datetime Data i godzina wygaśnięcia certyfikatu
CertificateCountersignatureTime datetime Data i godzina podpisania certyfikatu
IsTrusted boolean Wskazuje, czy plik jest zaufany na podstawie wyników funkcji WinVerifyTrust, która sprawdza, czy nie ma informacji o nieznanym certyfikacie głównym, nieprawidłowych podpisów, odwołanych certyfikatów i innych wątpliwych atrybutów
IsRootSignerMicrosoft boolean Wskazuje, czy podpisywaniem certyfikatu głównego jest firma Microsoft i czy plik jest uwzględniony w systemie operacyjnym Windows
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.