DeviceFileCertificateInfo

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Tabellen DeviceFileCertificateInfo i det avancerade schemat för sökning innehåller information om certifikat för filsignering. I den här tabellen används data som hämtas från aktiviteter för certifikatverifiering regelbundet som utförs på filer på slutpunkter.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
DeviceId string Unikt ID för datorn i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för datorn
SHA1 string SHA-1 för filen som den inspelade åtgärden tillämpats på
IsSigned boolean Anger om filen är signerad
SignatureType string Anger om signaturinformation har lästs som inbäddat innehåll i själva filen eller läst från en extern katalogfil
Signer string Information om den som signerar filen
SignerHash string Unikt hashvärde som identifierar undertecknaren
Issuer string Information om den utfärdar certifikatutfärdaren (CA)
IssuerHash string Unikt hash-värde som identifierar den certifikatutfärdare som utfärdar certifikatutfärdaren (CA)
CertificateSerialNumber string Identifierare för certifikatet som är unikt för den certifikatutfärdare som utfärdar certifikatet (CA)
CrlDistributionPointUrls string JSON-matris med URL:er för nätverksresurser som innehåller certifikat och listor över återkallade certifikat (CRL)
CertificateCreationTime datetime Datum och tid då certifikatet skapades
CertificateExpirationTime datetime Datum och tid då certifikatet är inställt på att upphöra
CertificateCountersignatureTime datetime Datum och tid då certifikatet var räknare
IsTrusted boolean Anger om filen är betrodd baserat på resultaten av WinVerifyTrust-funktionen som söker efter okänd rotcertifikatinformation, ogiltiga signaturer, återkallade certifikat och andra tveksamma attribut
IsRootSignerMicrosoft boolean Anger om undertecknaren av rotcertifikatet är Microsoft
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.