FileProfile()FileProfile()

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Функция является функцией обогащения в продвинутой охоте, которая добавляет следующие данные в FileProfile() файлы, найденные в запросе.The FileProfile() function is an enrichment function in advanced hunting that adds the following data to files found by the query.

ColumnColumn Тип данныхData type ОписаниеDescription
SHA1 stringstring SHA-1 файла, к которому было применено записанное действиеSHA-1 of the file that the recorded action was applied to
SHA256 stringstring SHA-256 файла, к который было применено записанное действиеSHA-256 of the file that the recorded action was applied to
MD5 Строкаstring Hash MD5 файла, к который было применено записано действиеMD5 hash of the file that the recorded action was applied to
FileSize intint Размер файла в bytesSize of the file in bytes
GlobalPrevalence intint Количество экземпляров объекта, наблюдаемого Корпорацией Майкрософт во всем миреNumber of instances of the entity observed by Microsoft globally
GlobalFirstSeen datetimedatetime Дата и время, когда сущность впервые была замечена Корпорацией Майкрософт во всем миреDate and time when the entity was first observed by Microsoft globally
GlobalLastSeen datetimedatetime Дата и время, когда объект в последний раз наблюдался Корпорацией Майкрософт во всем миреDate and time when the entity was last observed by Microsoft globally
Signer Строкаstring Сведения о подписывщике файлаInformation about the signer of the file
Issuer Строкаstring Сведения о полномочиях по выдаче сертификатов (CA)Information about the issuing certificate authority (CA)
SignerHash Строкаstring Уникальное значение hash, определяющие подписавщикаUnique hash value identifying the signer
IsCertificateValid booleanboolean Допустим ли сертификат, используемый для подписи файлаWhether the certificate used to sign the file is valid
IsRootSignerMicrosoft booleanboolean Указывает, является ли подписатель корневого сертификата Корпорацией МайкрософтIndicates whether the signer of the root certificate is Microsoft
SignatureState Строкаstring Состояние подписи файла: SignedValid — файл подписывался с действительной подписью, SignedInvalid — файл подписывался, но сертификат недействителен, Неподписанное — файл не подписан, Неизвестный — сведения о файле не могут быть извлечены.State of the file signature: SignedValid - the file is signed with a valid signature, SignedInvalid - the file is signed but the certificate is invalid, Unsigned - the file is not signed, Unknown - information about the file cannot be retrieved
IsExecutable booleanboolean Является ли файл портативным исполняемым (PE) файломWhether the file is a Portable Executable (PE) file
ThreatName Строкаstring Имя обнаружения любых найденных вредоносных программ или других угрозDetection name for any malware or other threats found
Publisher Строкаstring Имя организации, которая опубликовала файлName of the organization that published the file
SoftwareName stringstring Название программного продуктаName of the software product

СинтаксисSyntax

invoke FileProfile(x,y)

АргументыArguments

  • x— столбец ID файла для использования: , , , или ; использование SHA1 SHA256 функции, если InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 неустановленоx—file ID column to use: SHA1, SHA256, InitiatingProcessSHA1, or InitiatingProcessSHA256; function uses SHA1 if unspecified
  • y— ограничение количества записей для обогащения, 1-1000; функция использует 100, если неустановленоy—limit to the number of records to enrich, 1-1000; function uses 100 if unspecified

Совет

Функции обогащения будут показывать дополнительные сведения только в том случае, если они доступны.Enrichment functions will show supplemental information only when they are available. Доступность информации разнообразна и зависит от многих факторов.Availability of information is varied and depends on a lot of factors. Убедитесь, что это следует учитывать при использовании FileProfile() в запросах или при создании настраиваемой диагностики.Make sure to consider this when using FileProfile() in your queries or in creating custom detections. Для наилучших результатов рекомендуется использовать функцию FileProfile() с SHA1.For best results, we recommend using the FileProfile() function with SHA1.

ПримерыExamples

Проект только столбца SHA1 и его обогащениеProject only the SHA1 column and enrich it

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Обогащение первых 500 записей и списков файлов с низкой распространенностьюEnrich the first 500 records and list low-prevalence files

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15