DeviceFileCertificateInfo

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

DeviceFileCertificateInfo 高级搜寻架构中的表包含有关文件签名证书的信息。 此表使用定期对终结点上的文件执行的证书验证活动获取的数据。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 生成记录的日期和时间
DeviceId string 服务中设备的唯一标识符
DeviceName string 设备的 FQDN) (完全限定的域名
SHA1 string 录制操作所应用到的文件的 SHA-1
IsSigned bool 指示文件是否已签名
SignatureType string 指示签名信息是作为文件本身的嵌入内容读取还是从外部目录文件读取
Signer string 有关文件签名者的信息
SignerHash string 标识签名者的唯一哈希值
Issuer string 有关证书颁发机构 (CA) 的信息
IssuerHash string 标识证书颁发机构 (CA) 的唯一哈希值
CertificateSerialNumber string 颁发证书颁发机构唯一的证书标识符 (CA)
CrlDistributionPointUrls string 列出包含证书的网络共享的 URL 的 JSON 数组,以及证书吊销列表 (CRL)
CertificateCreationTime datetime 证书的创建日期和时间
CertificateExpirationTime datetime 证书设置为过期的日期和时间
CertificateCountersignatureTime datetime 对证书进行反签名的日期和时间
IsTrusted bool 根据 WinVerifyTrust 函数的结果指示文件是否受信任,该函数检查未知根证书信息、无效签名、吊销的证书和其他可疑属性
IsRootSignerMicrosoft boolean 指示根证书的签名者是否为 Microsoft 以及该文件是否包含在 Windows 操作系统中
ReportId long 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区