FileProfile()

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Funktionen FileProfile() är en funktion för avancerad sökning som lägger till följande data i filer som hittas av frågan.

Kolumn Datatyp Beskrivning
SHA1 string SHA-1 för filen som den inspelade åtgärden tillämpats på
SHA256 string SHA-256 av filen som den inspelade åtgärden tillämpats på
MD5 string MD5-hash för filen som den inspelade åtgärden tillämpats på
FileSize int Storlek på filen i byte
GlobalPrevalence int Antal förekomster av entitet som observerats av Microsoft globalt
GlobalFirstSeen datetime Datum och tid då enheten för första gången observerades av Microsoft globalt
GlobalLastSeen datetime Datum och tid då enheten senast observerades av Microsoft globalt
Signer string Information om den som signerar filen
Issuer string Information om den utfärdar certifikatutfärdaren (CA)
SignerHash string Unikt hashvärde som identifierar undertecknaren
IsCertificateValid boolean Om det certifikat som används för att signera filen är giltigt
IsRootSignerMicrosoft boolean Anger om undertecknaren av rotcertifikatet är Microsoft
SignatureState string Status för filsignaturen: SigneradeValid – filen är signerad med en giltig signatur, SigneradInvalid – filen har signerats men certifikatet är ogiltigt, inte signerat – filen är inte signerad, okänd – information om filen kan inte hämtas
IsExecutable boolean Om filen är en PE-fil (Portable Executable)
ThreatName string Namn för identifiering av skadlig programvara eller andra hot som påträffades
Publisher string Namnet på organisationen som publicerade filen
SoftwareName string Namnet på programvaruprodukten

Syntax

invoke FileProfile(x,y)

Argument

  • x– den kolumn med fil-ID som ska användas med funktionen : , , eller ; om SHA1 det inte är SHA256 InitiatingProcessSHA1 InitiatingProcessSHA256 SHA1 användningsområden
  • y– begränsning till antalet poster att utöka, 1-1000; funktionen använder 100 om det inte är anspekt

Tips

Tilläggsfunktioner visar endast kompletterande information när de är tillgängliga. Tillgängligheten för informationen är varierad och beror på en mängd faktorer. Tänk på det här när du använder FileProfile() i dina frågor eller när du skapar anpassade identifieringar. För bästa resultat rekommenderar vi att du använder funktionen FileProfile() med SHA1.

Exempel

Project bara SHA1-kolumnen och utöka den

DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()

Förbättra de första 500 posterna och lista filer med låg nivå av arkiv

DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500) 
| where GlobalPrevalence < 15