DeviceFileCertificateInfo
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
Tabellen DeviceFileCertificateInfo i det avancerade jaktschemat innehåller information om filsigneringscertifikat. Den här tabellen använder data som hämtats från certifikatverifieringsaktiviteter som regelbundet utförs på filer på slutpunkter.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då posten genererades |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
SHA1 |
string |
SHA-1 av filen som den inspelade åtgärden tillämpades på |
IsSigned |
bool |
Anger om filen är signerad |
SignatureType |
string |
Anger om signaturinformation har lästs som inbäddat innehåll i själva filen eller lästs från en extern katalogfil |
Signer |
string |
Information om filens undertecknare |
SignerHash |
string |
Unikt hashvärde som identifierar undertecknaren |
Issuer |
string |
Information om den utfärdande certifikatutfärdare (CA) |
IssuerHash |
string |
Unikt hashvärde som identifierar utfärdande certifikatutfärdare (CA) |
CertificateSerialNumber |
string |
Identifierare för certifikatet som är unikt för den utfärdande certifikatutfärdaren (CA) |
CrlDistributionPointUrls |
string |
JSON-matris som visar URL:er för nätverksresurser som innehåller certifikat och listor över återkallade certifikat (CRL) |
CertificateCreationTime |
datetime |
Datum och tid då certifikatet skapades |
CertificateExpirationTime |
datetime |
Datum och tid då certifikatet har angetts att upphöra att gälla |
CertificateCountersignatureTime |
datetime |
Datum och tid då certifikatet kontrasignerades |
IsTrusted |
bool |
Anger om filen är betrodd baserat på resultatet av funktionen WinVerifyTrust, som söker efter okänd rotcertifikatinformation, ogiltiga signaturer, återkallade certifikat och andra tvivelaktiga attribut |
IsRootSignerMicrosoft |
boolean |
Anger om undertecknaren av rotcertifikatet är Microsoft och om filen ingår i Windows-operativsystemet |
ReportId |
long |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.