FileProfile()FileProfile()

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Aplica-se a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

A função é uma função de enriquecimento na busca avançada que adiciona os seguintes dados aos FileProfile() arquivos encontrados pela consulta. The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColunaColumn Tipo de dadosData type DescriçãoDescription
SHA1 cadeia de caracteresstring SHA-1 do arquivo ao qual a ação gravada foi aplicadaSHA-1 of the file that the recorded action was applied to
SHA256 cadeia de caracteresstring SHA-256 do arquivo ao que a ação gravada foi aplicadaSHA-256 of the file that the recorded action was applied to
MD5 cadeia de caracteresstring Hash MD5 do arquivo ao que a ação gravada foi aplicadaMD5 hash of the file that the recorded action was applied to
FileSize intint Tamanho do arquivo em bytesSize of the file in bytes
GlobalPrevalence intint Número de instâncias da entidade observadas globalmente pela MicrosoftNumber of instances of the entity observed by Microsoft globally
GlobalFirstSeen datetimedatetime Data e hora em que a entidade foi observada pela primeira vez pela Microsoft globalmenteDate and time when the entity was first observed by Microsoft globally
GlobalLastSeen datetimedatetime Data e hora em que a entidade foi observada pela última vez pela Microsoft globalmenteDate and time when the entity was last observed by Microsoft globally
Signer cadeia de caracteresstring Informações sobre o signante do arquivoInformation about the signer of the file
Issuer cadeia de caracteresstring Informações sobre a autoridade de certificação de emissão (CA)Information about the issuing certificate authority (CA)
SignerHash cadeia de caracteresstring Valor de hash exclusivo que identifica o signanteUnique hash value identifying the signer
IsCertificateValid boolianoboolean Se o certificado usado para assinar o arquivo é válidoWhether the certificate used to sign the file is valid
IsRootSignerMicrosoft boolianoboolean Indica se o signante do certificado raiz é a MicrosoftIndicates whether the signer of the root certificate is Microsoft
SignatureState cadeia de caracteresstring Estado da assinatura do arquivo: SignedValid - o arquivo é assinado com uma assinatura válida, SignedInvalid - o arquivo é assinado, mas o certificado é inválido, não assinado - o arquivo não está assinado, Unknown - as informações sobre o arquivo não podem ser recuperadasState of the file signature: SignedValid - the file is signed with a valid signature, SignedInvalid - the file is signed but the certificate is invalid, Unsigned - the file is not signed, Unknown - information about the file cannot be retrieved
IsExecutable boolianoboolean Se o arquivo é um arquivo Executável Portátil (PE)Whether the file is a Portable Executable (PE) file
ThreatName cadeia de caracteresstring Nome da detecção de qualquer malware ou outras ameaças encontradasDetection name for any malware or other threats found
Publisher cadeia de caracteresstring Nome da organização que publicou o arquivoName of the organization that published the file
SoftwareName stringstring Nome do produto de softwareName of the software product

SintaxeSyntax

invoke FileProfile(x,y)

ArgumentosArguments

  • x— coluna ID de arquivo a ser usada: SHA1 , , ou ; a função usa se não SHA256 InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 especificadox—file ID column to use: SHA1, SHA256, InitiatingProcessSHA1, or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y— limite para o número de registros a enriquecer, 1-1000; function usa 100 se não especificadoy—limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

Dica

As funções de enriquecimento mostrarão informações complementares somente quando elas estão disponíveis.Enrichment functions will show supplemental information only when they are available. A disponibilidade de informações é variada e depende de muitos fatores.Availability of information is varied and depends on a lot of factors. Considere isso ao usar FileProfile() em suas consultas ou na criação de detecções personalizadas.Make sure to consider this when using FileProfile() in your queries or in creating custom detections. Para melhores resultados, recomendamos usar a função FileProfile() com SHA1.For best results, we recommend using the FileProfile() function with SHA1.

ExemplosExamples

Project somente a coluna SHA1 e a enriqueceProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Enriquecer os primeiros 500 registros e listar arquivos de baixa prevalênciaEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15