FileProfile()
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Funktionen FileProfile() är en funktion för avancerad sökning som lägger till följande data i filer som hittas av frågan.
| Kolumn | Datatyp | Beskrivning |
|---|---|---|
SHA1 |
string |
SHA-1 för filen som den inspelade åtgärden tillämpats på |
SHA256 |
string |
SHA-256 av filen som den inspelade åtgärden tillämpats på |
MD5 |
string |
MD5-hash för filen som den inspelade åtgärden tillämpats på |
FileSize |
int |
Storlek på filen i byte |
GlobalPrevalence |
int |
Antal förekomster av entitet som observerats av Microsoft globalt |
GlobalFirstSeen |
datetime |
Datum och tid då enheten för första gången observerades av Microsoft globalt |
GlobalLastSeen |
datetime |
Datum och tid då enheten senast observerades av Microsoft globalt |
Signer |
string |
Information om den som signerar filen |
Issuer |
string |
Information om den utfärdar certifikatutfärdaren (CA) |
SignerHash |
string |
Unikt hashvärde som identifierar undertecknaren |
IsCertificateValid |
boolean |
Om det certifikat som används för att signera filen är giltigt |
IsRootSignerMicrosoft |
boolean |
Anger om undertecknaren av rotcertifikatet är Microsoft |
SignatureState |
string |
Status för filsignaturen: SigneradeValid – filen är signerad med en giltig signatur, SigneradInvalid – filen har signerats men certifikatet är ogiltigt, inte signerat – filen är inte signerad, okänd – information om filen kan inte hämtas |
IsExecutable |
boolean |
Om filen är en PE-fil (Portable Executable) |
ThreatName |
string |
Namn för identifiering av skadlig programvara eller andra hot som påträffades |
Publisher |
string |
Namnet på organisationen som publicerade filen |
SoftwareName |
string |
Namnet på programvaruprodukten |
Syntax
invoke FileProfile(x,y)
Argument
- x– den kolumn med fil-ID som ska användas med funktionen : , , eller ; om
SHA1det inte ärSHA256InitiatingProcessSHA1InitiatingProcessSHA256SHA1användningsområden - y– begränsning till antalet poster att utöka, 1-1000; funktionen använder 100 om det inte är anspekt
Tips
Tilläggsfunktioner visar endast kompletterande information när de är tillgängliga. Tillgängligheten för informationen är varierad och beror på en mängd faktorer. Tänk på det här när du använder FileProfile() i dina frågor eller när du skapar anpassade identifieringar. För bästa resultat rekommenderar vi att du använder funktionen FileProfile() med SHA1.
Exempel
Project bara SHA1-kolumnen och utöka den
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Förbättra de första 500 posterna och lista filer med låg nivå av arkiv
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15