DeviceFileCertificateInfo
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
A DeviceFileCertificateInfo tabela no esquema de investigação avançada contém informações sobre certificados de assinatura de ficheiros. Esta tabela utiliza dados obtidos a partir de atividades de verificação de certificados executadas regularmente em ficheiros em pontos finais.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o registo foi gerado |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
IsSigned |
bool |
Indica se o ficheiro está assinado |
SignatureType |
string |
Indica se as informações da assinatura foram lidas como conteúdo incorporado no próprio ficheiro ou lidas a partir de um ficheiro de catálogo externo |
Signer |
string |
Informações sobre o signatário do ficheiro |
SignerHash |
string |
Valor hash exclusivo que identifica o signatário |
Issuer |
string |
Informações sobre a autoridade de certificação (AC) emissora |
IssuerHash |
string |
Valor hash exclusivo que identifica a autoridade de certificação (AC) emissora |
CertificateSerialNumber |
string |
Identificador do certificado exclusivo da autoridade de certificação (AC) emissora |
CrlDistributionPointUrls |
string |
Matriz JSON que lista os URLs das partilhas de rede que contêm certificados e listas de revogação de certificados (CRLs) |
CertificateCreationTime |
datetime |
Data e hora em que o certificado foi criado |
CertificateExpirationTime |
datetime |
Data e hora em que o certificado está definido para expirar |
CertificateCountersignatureTime |
datetime |
Data e hora em que o certificado foi contra-assinado |
IsTrusted |
bool |
Indica se o ficheiro é fidedigno com base nos resultados da função WinVerifyTrust, que verifica se existem informações de certificado de raiz desconhecidas, assinaturas inválidas, certificados revogados e outros atributos questionáveis |
IsRootSignerMicrosoft |
boolean |
Indica se o signatário do certificado de raiz é a Microsoft e se o ficheiro está incluído no sistema operativo Windows |
ReportId |
long |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.