고급 헌팅 스키마의 테이블에는 DeviceFileCertificateInfo 파일 서명 인증서에 대한 정보가 포함되어 있습니다. 이 표에서는 엔드포인트의 파일에서 정기적으로 수행되는 인증서 확인 활동에서 가져온 데이터를 사용합니다.
이 고급 헌팅 테이블은 엔드포인트용 Microsoft Defender 레코드로 채워집니다. organization Microsoft Defender XDR 서비스를 배포하지 않은 경우 테이블을 사용하는 쿼리가 작동하지 않거나 결과를 반환하지 않습니다. Defender XDR 엔드포인트용 Defender를 배포하는 방법에 대한 자세한 내용은 지원되는 서비스 배포를 참조하세요.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
SHA1 |
string |
기록된 조치가 적용된 파일의 SHA-1 |
IsSigned |
bool |
파일이 서명되었는지 여부를 나타냅니다. |
SignatureType |
string |
서명 정보를 파일 자체에 포함된 콘텐츠로 읽었는지 또는 외부 카탈로그 파일에서 읽었는지 여부를 나타냅니다. |
Signer |
string |
파일의 서명자에 대한 정보 |
SignerHash |
string |
서명자를 식별하는 고유 해시 값 |
Issuer |
string |
발급 CA(인증 기관)에 대한 정보 |
IssuerHash |
string |
발급 CA(인증 기관)를 식별하는 고유 해시 값 |
CertificateSerialNumber |
string |
발급 CA(인증 기관)에 고유한 인증서의 식별자 |
CrlDistributionPointUrls |
string |
인증서 및 CRL(인증서 해지 목록)이 포함된 네트워크 공유의 URL을 나열하는 JSON 배열 |
CertificateCreationTime |
datetime |
인증서를 만든 날짜 및 시간 |
CertificateExpirationTime |
datetime |
인증서가 만료되도록 설정된 날짜 및 시간 |
CertificateCountersignatureTime |
datetime |
인증서가 서명된 날짜 및 시간 |
IsTrusted |
bool |
알 수 없는 루트 인증서 정보, 잘못된 서명, 해지된 인증서 및 기타 의심스러운 특성을 확인하는 WinVerifyTrust 함수의 결과에 따라 파일을 신뢰할 수 있는지 여부를 나타냅니다. |
IsRootSignerMicrosoft |
boolean |
루트 인증서의 서명자가 Microsoft인지 여부와 파일이 Windows 운영 체제에 포함되어 있는지 여부를 나타냅니다. |
ReportId |
long |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
관련 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.