CloudProcessEvents (prøveversion)
Gælder for:
- Microsoft Defender XDR
Tabellen CloudProcessEvents i det avancerede jagtskema indeholder oplysninger om proceshændelser i multicloud-hostede miljøer, f.eks. Azure Kubernetes Service, Amazon Elastic Kubernetes Service og Google Kubernetes Engine som beskyttet af organisationens Microsoft Defender til Cloud. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
AzureResourceId |
string |
Entydigt id for den Azure-ressource, der er knyttet til processen |
AwsResourceName |
string |
Entydigt id, der er specifikt for Amazon Web Services-enheder, og som indeholder Amazon-ressourcenavnet |
GcpFullResourceName |
string |
Entydigt id, der er specifikt for Google Cloud Platform-enheder, og som indeholder en kombination af zone og id for GCP |
ContainerImageName |
string |
Objektbeholderens billednavn eller id, hvis det findes |
KubernetesNamespace |
string |
Navnet på Kubernetes-navneområdet |
KubernetesPodName |
string |
Kubernetes-podnavnet |
KubernetesResource |
string |
Id-værdi, der indeholder navneområde, ressourcetype og navn |
ContainerName |
string |
Navnet på objektbeholderen i Kubernetes eller et andet kørselsmiljø |
ContainerId |
string |
Objektbeholder-id'et i Kubernetes eller et andet kørselsmiljø |
ActionType |
string |
Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få flere oplysninger. |
FileName |
string |
Navnet på den fil, som den registrerede handling blev anvendt på |
FolderPath |
string |
Mappe, der indeholder den fil, som den registrerede handling blev anvendt på |
ProcessId |
long |
Proces-id (PID) for den nyoprettede proces |
ProcessName |
string |
Processens navn |
ParentProcessName |
string |
Navnet på den overordnede proces |
ParentProcessId |
string |
Proces-id'et (PID) for den overordnede proces |
ProcessCommandLine |
string |
Kommandolinje, der bruges til at oprette den nye proces |
ProcessCreationTime |
datetime |
Dato og klokkeslæt for oprettelse af processen |
ProcessCurrentWorkingDirectory |
string |
Aktuel arbejdsmappe for den kørende proces |
AccountName |
string |
Brugernavnet på kontoen |
LogonId |
long |
Id for en logonsession. Dette id er entydigt på den samme pod eller objektbeholder mellem genstart. |
InitiatingProcessId |
string |
Proces-id (PID) for den proces, der startede hændelsen |
AdditionalFields |
string |
Yderligere oplysninger om hændelsen i JSON-matrixformat |
Eksempelforespørgsler
Du kan bruge denne tabel til at få detaljerede oplysninger om processer, der er aktiveret i et cloudmiljø. Oplysningerne er nyttige i jagtscenarier og kan finde trusler, der kan observeres via procesdetaljer, f.eks. skadelige processer eller kommandolinjesignaturer.
Du kan også undersøge sikkerhedsbeskeder, der leveres af Defender for Cloud, og som gør brug af data om cloudprocesser i avanceret jagt for at forstå detaljer i procestræet for processer, der indeholder en sikkerhedsadvarsel.
Behandl hændelser efter kommandolinjeargumenter
Sådan jagter du proceshændelser, herunder et givet ord (repræsenteret af "x" i forespørgslen nedenfor) i kommandolinjeargumenterne:
CloudProcessEvents | where ProcessCommandLine has "x"
Sjældne proceshændelser for en pod i en Kubernetes-klynge
Sådan undersøges usædvanlige proceshændelser, der er aktiveret som en del af en pod i en Kubernetes-klynge:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc