DeviceFileCertificateInfo
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Таблица DeviceFileCertificateInfo в схеме расширенной охоты содержит сведения о сертификатах подписи файлов. В этой таблице используются данные, полученные из действий проверки сертификатов, регулярно выполняемых для файлов в конечных точках.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
IsSigned |
bool |
Указывает, подписан ли файл. |
SignatureType |
string |
Указывает, считывались ли сведения о сигнатуре как внедренное содержимое в самом файле или из внешнего файла каталога. |
Signer |
string |
Сведения о подписывшем файле |
SignerHash |
string |
Уникальное хэш-значение, определяющее подписывающее |
Issuer |
string |
Сведения о выдающем центре сертификации (ЦС) |
IssuerHash |
string |
Уникальное хэш-значение, определяющее центр сертификации( ЦС) |
CertificateSerialNumber |
string |
Идентификатор сертификата, уникального для центра сертификации, выдающего сертификат (ЦС) |
CrlDistributionPointUrls |
string |
Массив JSON со списком URL-адресов общих сетевых ресурсов, содержащих сертификаты и списки отзыва сертификатов (CRLs) |
CertificateCreationTime |
datetime |
Дата и время создания сертификата |
CertificateExpirationTime |
datetime |
Дата и время истечения срока действия сертификата |
CertificateCountersignatureTime |
datetime |
Дата и время встречного знака сертификата |
IsTrusted |
bool |
Указывает, является ли файл доверенным на основе результатов функции WinVerifyTrust, которая проверяет наличие неизвестных сведений о корневом сертификате, недопустимых подписей, отозванных сертификатов и других сомнительных атрибутов. |
IsRootSignerMicrosoft |
boolean |
Указывает, является ли подписыватель корневого сертификата корпорацией Майкрософт и включен ли файл в операционную систему Windows. |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.