DeviceFileCertificateInfo
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceFileCertificateInfo tabela no esquema de caça avançado contém informações sobre certificados de assinatura de arquivo. Esta tabela usa dados obtidos de atividades de verificação de certificado regularmente executadas em arquivos em pontos de extremidade.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o registro foi gerado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
IsSigned |
bool |
Indica se o arquivo está assinado |
SignatureType |
string |
Indica se as informações de assinatura foram lidas como conteúdo inserido no próprio arquivo ou lidas de um arquivo de catálogo externo |
Signer |
string |
Informações sobre o signatário do arquivo |
SignerHash |
string |
Valor de hash exclusivo que identifica o signatário |
Issuer |
string |
Informações sobre a autoridade de certificado de emissão (AC) |
IssuerHash |
string |
Valor de hash exclusivo que identifica a autoridade de certificado de emissão (AC) |
CertificateSerialNumber |
string |
Identificador para o certificado exclusivo da autoridade de certificado emissor (AC) |
CrlDistributionPointUrls |
string |
Matriz JSON listando as URLs de compartilhamentos de rede que contêm certificados e listas de revogação de certificados (CRLs) |
CertificateCreationTime |
datetime |
Data e hora em que o certificado foi criado |
CertificateExpirationTime |
datetime |
Data e hora em que o certificado está definido para expirar |
CertificateCountersignatureTime |
datetime |
Data e hora em que o certificado foi contra-assinado |
IsTrusted |
bool |
Indica se o arquivo é confiável com base nos resultados da função WinVerifyTrust, que verifica se há informações de certificado raiz desconhecidas, assinaturas inválidas, certificados revogados e outros atributos questionáveis |
IsRootSignerMicrosoft |
boolean |
Indica se o signatário do certificado raiz é a Microsoft e se o arquivo está incluído no sistema operacional Windows |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.