0

我正在寻找有关如何在 Microsoft Defender for Endpoint 中构建高级狩猎查询的文档,我可以在其中使用 KQL 查询中的“文件路径”。

该字段位于设备下的软件清单和软件证据部分中, 请参见下面的屏幕转储:

在此处输入图像描述

4

1 回答 1

0

您正在寻找Data Tables 架构下的页面之一。

我的第一个猜测是 DeviceTvmSoftwareInventory,但这似乎不包括路径。

还有其他包含路径的表:DeviceFileEvents 和 DeviceImageLoadEvents 可能是您要查找的表,具体取决于您尝试的用例。以下查询可能是一个好的开始。

DeviceFileEvents
| where FolderPath contains "part\\of\\your\\path\\comes\\here"

或者

DeviceImageLoadEvents
| where FolderPath == "your\\full\\path\\comes\\here"

如果您拥有要查找的每个软件的完整路径,您还可以使用 FolderPath == the escaped(double \\in the path)。

于 2021-12-22T22:39:39.073 回答