我正在寻找有关如何在 Microsoft Defender for Endpoint 中构建高级狩猎查询的文档,我可以在其中使用 KQL 查询中的“文件路径”。
该字段位于设备下的软件清单和软件证据部分中, 请参见下面的屏幕转储:
我正在寻找有关如何在 Microsoft Defender for Endpoint 中构建高级狩猎查询的文档,我可以在其中使用 KQL 查询中的“文件路径”。
该字段位于设备下的软件清单和软件证据部分中, 请参见下面的屏幕转储:
您正在寻找Data Tables 架构下的页面之一。
我的第一个猜测是 DeviceTvmSoftwareInventory,但这似乎不包括路径。
还有其他包含路径的表:DeviceFileEvents 和 DeviceImageLoadEvents 可能是您要查找的表,具体取决于您尝试的用例。以下查询可能是一个好的开始。
DeviceFileEvents
| where FolderPath contains "part\\of\\your\\path\\comes\\here"
或者
DeviceImageLoadEvents
| where FolderPath == "your\\full\\path\\comes\\here"
如果您拥有要查找的每个软件的完整路径,您还可以使用 FolderPath == the escaped(double \\
in the path)。