DeviceFileCertificateInfo
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
La DeviceFileCertificateInfo tabella nello schema di ricerca avanzata contiene informazioni sui certificati di firma dei file. Questa tabella usa i dati ottenuti dalle attività di verifica del certificato eseguite regolarmente sui file sugli endpoint.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui è stato generato il record |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
IsSigned |
bool |
Indica se il file è firmato |
SignatureType |
string |
Indica se le informazioni sulla firma sono state lette come contenuto incorporato nel file stesso o lette da un file di catalogo esterno |
Signer |
string |
Informazioni sul firmatario del file |
SignerHash |
string |
Valore hash univoco che identifica il firmatario |
Issuer |
string |
Informazioni sull'autorità di certificazione emittente |
IssuerHash |
string |
Valore hash univoco che identifica l'autorità di certificazione emittente |
CertificateSerialNumber |
string |
Identificatore del certificato univoco per l'autorità di certificazione emittente |
CrlDistributionPointUrls |
string |
Matrice JSON che elenca gli URL delle condivisioni di rete che contengono certificati ed elenchi di revoche di certificati (CRL) |
CertificateCreationTime |
datetime |
Data e ora di creazione del certificato |
CertificateExpirationTime |
datetime |
Data e ora di scadenza del certificato |
CertificateCountersignatureTime |
datetime |
Data e ora in cui il certificato è stato controfirmato |
IsTrusted |
bool |
Indica se il file è attendibile in base ai risultati della funzione WinVerifyTrust, che verifica la presenza di informazioni sconosciute sul certificato radice, firme non valide, certificati revocati e altri attributi discutibili |
IsRootSignerMicrosoft |
boolean |
Indica se il firmatario del certificato radice è Microsoft e se il file è incluso nel sistema operativo Windows |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.