FileProfile()
Aplica-se a:
- Microsoft Defender XDR
A FileProfile() função é uma função de enriquecimento na caça avançada que adiciona os seguintes dados aos arquivos encontrados pela consulta.
| Coluna | Tipo de dados | Descrição |
|---|---|---|
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada |
MD5 |
string |
Hash MD5 do arquivo ao qual a ação gravada foi aplicada |
FileSize |
int |
Tamanho do arquivo em bytes |
GlobalPrevalence |
int |
Número de instâncias da entidade observadas pela Microsoft globalmente |
GlobalFirstSeen |
datetime |
Data e hora em que a entidade foi observada pela primeira vez pela Microsoft globalmente |
GlobalLastSeen |
datetime |
Data e hora em que a entidade foi observada pela última vez pela Microsoft globalmente |
Signer |
string |
Informações sobre o signatário do arquivo |
Issuer |
string |
Informações sobre a autoridade de certificado de emissão (AC) |
SignerHash |
string |
Valor de hash exclusivo que identifica o signatário |
IsCertificateValid |
boolean |
Se o certificado usado para assinar o arquivo é válido |
IsRootSignerMicrosoft |
boolean |
Indica se o signatário do certificado raiz é a Microsoft e o arquivo é integrado ao sistema operacional Windows |
SignatureState |
string |
Estado da assinatura do arquivo: SignedValid - o arquivo é assinado com uma assinatura válida, SignedInvalid - o arquivo é assinado, mas o certificado é inválido, Não assinado - o arquivo não está assinado, Desconhecido - informações sobre o arquivo não podem ser recuperadas |
IsExecutable |
boolean |
Se o arquivo é um arquivo PE (executável portátil) |
ThreatName |
string |
Nome de detecção para qualquer malware ou outras ameaças encontradas |
Publisher |
string |
Nome da organização que publicou o arquivo |
SoftwareName |
string |
Nome do produto de software |
ProfileAvailability |
string |
Indica a disponibilidade status dos dados de perfil do arquivo: Disponível - o perfil foi consultado com êxito e os dados do arquivo retornados, Ausente - o perfil foi consultado com êxito, mas nenhuma informação de arquivo foi encontrada, Erro - erro ao consultar as informações do arquivo ou tempo máximo atribuído foi excedido antes que a consulta pudesse ser concluída ou um valor vazio - se a ID do arquivo for inválida ou o número máximo de arquivos foi atingido |
Sintaxe
invoke FileProfile(x,y)
Argumentos
- x– coluna ID do arquivo a ser usada:
SHA1,SHA256,InitiatingProcessSHA1ouInitiatingProcessSHA256; a função usaSHA1se não for especificada - y– limite para o número de registros a serem enriquecidos, 1-1000; função usa 100 se não especificado
Dica
As funções de enriquecimento mostrarão informações complementares somente quando estiverem disponíveis. A disponibilidade de informações é variada e depende de muitos fatores. Considere isso ao usar FileProfile() em suas consultas ou na criação de detecções personalizadas. Para obter melhores resultados, recomendamos usar a função FileProfile() com SHA1.
Exemplos
Projetar apenas a coluna SHA1 e enriquecê-la
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Enriquecer os primeiros 500 registros e listar arquivos de baixa prevalência
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Compreender o esquema
- Obter mais exemplos de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de