CloudProcessEvents (Preview)
Platí pro:
- Microsoft Defender XDR
Tabulka CloudProcessEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech procesů v prostředích hostovaných na více cloudech, jako jsou Azure Kubernetes Service, Amazon Elastic Kubernetes Service a Google Kubernetes Engine, které jsou chráněné Microsoft Defender organizace pro cloud. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
AzureResourceId |
string |
Jedinečný identifikátor prostředku Azure přidruženého k procesu |
AwsResourceName |
string |
Jedinečný identifikátor specifický pro zařízení Amazon Web Services obsahující název prostředku Amazon |
GcpFullResourceName |
string |
Jedinečný identifikátor specifický pro zařízení Google Cloud Platform, který obsahuje kombinaci zóny a ID pro GCP |
ContainerImageName |
string |
Název nebo ID image kontejneru, pokud existuje |
KubernetesNamespace |
string |
Název oboru názvů Kubernetes |
KubernetesPodName |
string |
Název podu Kubernetes |
KubernetesResource |
string |
Hodnota identifikátoru, která zahrnuje obor názvů, typ prostředku a název |
ContainerName |
string |
Název kontejneru v Kubernetes nebo jiném prostředí runtime |
ContainerId |
string |
Identifikátor kontejneru v Kubernetes nebo jiném prostředí runtime |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu. |
FileName |
string |
Název souboru, na který se zaznamenaná akce použila |
FolderPath |
string |
Složka obsahující soubor, u kterého byla zaznamenána akce použita |
ProcessId |
long |
ID procesu (PID) nově vytvořeného procesu |
ProcessName |
string |
Název procesu |
ParentProcessName |
string |
Název nadřazeného procesu |
ParentProcessId |
string |
ID procesu (PID) nadřazeného procesu |
ProcessCommandLine |
string |
Příkazový řádek použitý k vytvoření nového procesu |
ProcessCreationTime |
datetime |
Datum a čas vytvoření procesu |
ProcessCurrentWorkingDirectory |
string |
Aktuální pracovní adresář spuštěného procesu |
AccountName |
string |
Uživatelské jméno účtu |
LogonId |
long |
Identifikátor přihlašovací relace. Tento identifikátor je jedinečný ve stejném podu nebo kontejneru mezi restartováními. |
InitiatingProcessId |
string |
ID procesu (PID) procesu, který událost inicioval |
AdditionalFields |
string |
Další informace o události ve formátu pole JSON |
Ukázkové dotazy
Pomocí této tabulky můžete získat podrobné informace o procesech vyvolaých v cloudovém prostředí. Tyto informace jsou užitečné ve scénářích proaktivního vyhledávání a můžou odhalit hrozby, které lze pozorovat prostřednictvím podrobností procesu, jako jsou škodlivé procesy nebo podpisy příkazového řádku.
Můžete také prozkoumat výstrahy zabezpečení poskytované defenderem pro cloud, které využívají data událostí cloudového procesu v rozšířeném proaktivním vyhledávání, abyste porozuměli podrobnostem ve stromu procesů pro procesy, které obsahují výstrahu zabezpečení.
Zpracování událostí pomocí argumentů příkazového řádku
Vyhledávání událostí procesu, včetně daného termínu (reprezentovaného "x" v níže uvedeném dotazu), v argumentech příkazového řádku:
CloudProcessEvents | where ProcessCommandLine has "x"
Vzácné události procesu pro pod v clusteru Kubernetes
Zkoumání neobvyklých událostí procesu vyvolaných jako součást podu v clusteru Kubernetes:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc