DeviceFileCertificateInfo
Uwaga
Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
- Microsoft 365 Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceFileCertificateInfo
w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o certyfikatach podpisywania plików. Ta tabela używa danych uzyskanych z działań weryfikacji certyfikatu regularnie wykonywanych w plikach w punktach końcowych.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Nazwa kolumny | Typ danych | Opis |
---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator maszyny w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) maszyny |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
IsSigned |
boolean |
Wskazuje, czy plik jest podpisany |
SignatureType |
string |
Wskazuje, czy informacje o podpisie były odczytywane jako zawartość osadzona w samym pliku, czy odczytywane z pliku wykazu zewnętrznego |
Signer |
string |
Informacje dotyczące podpisywania pliku |
SignerHash |
string |
Unikatowa wartość skrótu identyfikująca osoby podpisujące |
Issuer |
string |
Informacje o urzędzie wystawiającym certyfikaty (CA) |
IssuerHash |
string |
Unikatowa wartość skrótu identyfikująca urząd wystawiający certyfikat (CA) |
CertificateSerialNumber |
string |
Identyfikator certyfikatu, który jest unikatowy dla urzędu wystawiającego certyfikaty (CA) |
CrlDistributionPointUrls |
string |
Tablica JSON z listą adresów URL udziałów sieciowych zawierających certyfikaty i listy odwołania certyfikatów |
CertificateCreationTime |
datetime |
Data i godzina utworzenia certyfikatu |
CertificateExpirationTime |
datetime |
Data i godzina wygaśnięcia certyfikatu |
CertificateCountersignatureTime |
datetime |
Data i godzina podpisania certyfikatu |
IsTrusted |
boolean |
Wskazuje, czy plik jest zaufany na podstawie wyników funkcji WinVerifyTrust, która sprawdza, czy nie ma informacji o nieznanym certyfikacie głównym, nieprawidłowych podpisów, odwołanych certyfikatów i innych wątpliwych atrybutów |
IsRootSignerMicrosoft |
boolean |
Wskazuje, czy podpisywaniem certyfikatu głównego jest firma Microsoft i czy plik jest uwzględniony w systemie operacyjnym Windows |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |