Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La DeviceFileCertificateInfo tabella nello schema di ricerca avanzata contiene informazioni sui certificati di firma dei file. Questa tabella usa i dati ottenuti dalle attività di verifica del certificato eseguite regolarmente sui file sugli endpoint.
Questa tabella di ricerca avanzata viene popolata da record di Microsoft Defender per endpoint. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati. Per altre informazioni su come distribuire Defender per endpoint in Defender XDR, vedere Distribuire i servizi supportati.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui è stato generato il record |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
IsSigned |
bool |
Indica se il file è firmato |
SignatureType |
string |
Indica se le informazioni sulla firma sono state lette come contenuto incorporato nel file stesso o lette da un file di catalogo esterno |
Signer |
string |
Informazioni sul firmatario del file |
SignerHash |
string |
Valore hash univoco che identifica il firmatario |
Issuer |
string |
Informazioni sull'autorità di certificazione emittente |
IssuerHash |
string |
Valore hash univoco che identifica l'autorità di certificazione emittente |
CertificateSerialNumber |
string |
Identificatore del certificato univoco per l'autorità di certificazione emittente |
CrlDistributionPointUrls |
string |
Matrice JSON che elenca gli URL delle condivisioni di rete che contengono certificati ed elenchi di revoche di certificati (CRL) |
CertificateCreationTime |
datetime |
Data e ora di creazione del certificato |
CertificateExpirationTime |
datetime |
Data e ora di scadenza del certificato |
CertificateCountersignatureTime |
datetime |
Data e ora in cui il certificato è stato controfirmato |
IsTrusted |
bool |
Indica se il file è attendibile in base ai risultati della funzione WinVerifyTrust, che verifica la presenza di informazioni sconosciute sul certificato radice, firme non valide, certificati revocati e altri attributi discutibili |
IsRootSignerMicrosoft |
boolean |
Indica se il firmatario del certificato radice è Microsoft e se il file è incluso nel sistema operativo Windows |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.