DeviceFileCertificateInfo
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
Tabellen DeviceFileCertificateInfo i det avanserte jaktskjemaet inneholder informasjon om filsigneringssertifikater. Denne tabellen bruker data hentet fra sertifikatbekreftelsesaktiviteter som utføres regelmessig på filer på endepunkter.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
SHA1 |
string |
SHA-1 for filen som den registrerte handlingen ble brukt på |
IsSigned |
bool |
Angir om filen er signert |
SignatureType |
string |
Angir om signaturinformasjon ble lest som innebygd innhold i selve filen eller lest fra en ekstern katalogfil |
Signer |
string |
Informasjon om signataren for filen |
SignerHash |
string |
Unik hash-verdi som identifiserer signataren |
Issuer |
string |
Informasjon om utstedelse av sertifiseringsinstans (CA) |
IssuerHash |
string |
Unik hash-verdi som identifiserer utstedelse av sertifiseringsinstans (CA) |
CertificateSerialNumber |
string |
Identifikator for sertifikatet som er unik for den utstedende sertifiseringsinstansen (CA) |
CrlDistributionPointUrls |
string |
JSON-matrise som viser URL-adressene til delte nettverksressurser som inneholder sertifikater og sertifikatopphevelser (CRLer) |
CertificateCreationTime |
datetime |
Dato og klokkeslett da sertifikatet ble opprettet |
CertificateExpirationTime |
datetime |
Dato og klokkeslett sertifikatet er satt til å utløpe |
CertificateCountersignatureTime |
datetime |
Dato og klokkeslett da sertifikatet ble kontrasignert |
IsTrusted |
bool |
Angir om filen er klarert basert på resultatene av WinVerifyTrust-funksjonen, som ser etter ukjent rotsertifikatinformasjon, ugyldige signaturer, tilbakekalte sertifikater og andre tvilsomme attributter |
IsRootSignerMicrosoft |
boolean |
Angir om signataren for rotsertifikatet er Microsoft, og om filen er inkludert i Windows-operativsystemet |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.