DeviceFileCertificateInfo
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Tabellen DeviceFileCertificateInfo i det avancerade schemat för sökning innehåller information om certifikat för filsignering. I den här tabellen används data som hämtas från aktiviteter för certifikatverifiering regelbundet som utförs på filer på slutpunkter.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
DeviceId |
string |
Unikt ID för datorn i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för datorn |
SHA1 |
string |
SHA-1 för filen som den inspelade åtgärden tillämpats på |
IsSigned |
boolean |
Anger om filen är signerad |
SignatureType |
string |
Anger om signaturinformation har lästs som inbäddat innehåll i själva filen eller läst från en extern katalogfil |
Signer |
string |
Information om den som signerar filen |
SignerHash |
string |
Unikt hashvärde som identifierar undertecknaren |
Issuer |
string |
Information om den utfärdar certifikatutfärdaren (CA) |
IssuerHash |
string |
Unikt hash-värde som identifierar den certifikatutfärdare som utfärdar certifikatutfärdaren (CA) |
CertificateSerialNumber |
string |
Identifierare för certifikatet som är unikt för den certifikatutfärdare som utfärdar certifikatet (CA) |
CrlDistributionPointUrls |
string |
JSON-matris med URL:er för nätverksresurser som innehåller certifikat och listor över återkallade certifikat (CRL) |
CertificateCreationTime |
datetime |
Datum och tid då certifikatet skapades |
CertificateExpirationTime |
datetime |
Datum och tid då certifikatet är inställt på att upphöra |
CertificateCountersignatureTime |
datetime |
Datum och tid då certifikatet var räknare |
IsTrusted |
boolean |
Anger om filen är betrodd baserat på resultaten av WinVerifyTrust-funktionen som söker efter okänd rotcertifikatinformation, ogiltiga signaturer, återkallade certifikat och andra tveksamma attribut |
IsRootSignerMicrosoft |
boolean |
Anger om undertecknaren av rotcertifikatet är Microsoft |
ReportId |
long |
Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |