Поле Пути к файлам запроса из Защитника Майкрософт

Question

Поле Пути к файлам запроса из Защитника Майкрософт

Я ищу документацию о том, как создать запрос Advanced Hunting в Защитнике Microsoft для конечной точки, где я могу использовать «Пути к файлам» в запросе KQL.

Это поле находится в инвентаре программного обеспечения в разделе «Устройства» и в разделе « Свидетельства о программном обеспечении». См. Дамп экрана ниже:

введите описание изображения здесь

0

microsoft365-defender

Источник

user17380474 20 дек '21 в 18:15

1 ответ

Другие вопросы по тегам microsoft365-defender

user12534623 22 дек '21 в 22:39 2021-12-22 22:39 · Answer 1 · 2021-12-22 22:39

Вы ищете одну из страниц схемы Data Tables .

Моим первым предположением был бы DeviceTvmSoftwareInventory, однако он, похоже, не включает путь.

Существуют и другие таблицы, содержащие путь: DeviceFileEvents и DeviceImageLoadEvents могут быть теми, которые вы ищете, в зависимости от варианта использования, который вы пытаетесь использовать. Следующие запросы могут быть хорошим началом.

      DeviceFileEvents
| where FolderPath contains "part\\of\\your\\path\\comes\\here"

или же

      DeviceImageLoadEvents
| where FolderPath == "your\\full\\path\\comes\\here"

Если у вас есть полный путь к каждому программному обеспечению, которое вы ищете, вы также можете использовать FolderPath == the escaped(double \\в пути).