DeviceFileCertificateInfo
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabellen DeviceFileCertificateInfo i det avancerede jagtskema indeholder oplysninger om certifikater til filsignering. Denne tabel bruger data, der er hentet fra aktiviteter til bekræftelse af certifikater, som jævnligt udføres på filer på slutpunkter.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for oprettelse af posten |
DeviceId |
string |
Entydigt id for enheden i tjenesten |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
SHA1 |
string |
SHA-1 for den fil, som den registrerede handling blev anvendt på |
IsSigned |
bool |
Angiver, om filen er signeret |
SignatureType |
string |
Angiver, om signaturoplysningerne blev læst som integreret indhold i selve filen eller læst fra en ekstern katalogfil |
Signer |
string |
Oplysninger om underskriveren af filen |
SignerHash |
string |
Entydig hashværdi, der identificerer underskriveren |
Issuer |
string |
Oplysninger om det udstedende nøglecenter |
IssuerHash |
string |
Entydig hashværdi, der identificerer udstedende nøglecenter (CA) |
CertificateSerialNumber |
string |
Id for det certifikat, der er entydigt for det udstedende nøglecenter (CA) |
CrlDistributionPointUrls |
string |
JSON-matrix, der viser URL-adresserne til netværksshares, der indeholder certifikater og lister over tilbagekaldte certifikater |
CertificateCreationTime |
datetime |
Dato og klokkeslæt for oprettelse af certifikatet |
CertificateExpirationTime |
datetime |
Dato og klokkeslæt, hvor certifikatet er angivet til at udløbe |
CertificateCountersignatureTime |
datetime |
Dato og klokkeslæt, hvor certifikatet blev kontrasigneret |
IsTrusted |
bool |
Angiver, om der er tillid til filen på baggrund af resultaterne af funktionen WinVerifyTrust, som kontrollerer, om der er ukendte rodcertifikatoplysninger, ugyldige signaturer, tilbagekaldte certifikater og andre tvivlsomme attributter |
IsRootSignerMicrosoft |
boolean |
Angiver, om underskriveren af rodcertifikatet er Microsoft, og om filen er inkluderet i Windows-operativsystemet |
ReportId |
long |
Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp. |
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.