Compartir a través de


CloudProcessEvents (versión preliminar)

Se aplica a:

  • Microsoft Defender XDR

La CloudProcessEvents tabla del esquema de búsqueda avanzada contiene información sobre los eventos de proceso en entornos hospedados en varias nubes, como Azure Kubernetes Service, Amazon Elastic Kubernetes Service y Google Kubernetes Engine, protegidos por la Microsoft Defender de la organización para la nube. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, consulte la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
AzureResourceId string Identificador único del recurso de Azure asociado al proceso
AwsResourceName string Identificador único específico de los dispositivos de Amazon Web Services, que contiene el nombre del recurso de Amazon
GcpFullResourceName string Identificador único específico de los dispositivos de Google Cloud Platform, que contiene una combinación de zona e identificador para GCP
ContainerImageName string El nombre o el identificador de la imagen de contenedor, si existe
KubernetesNamespace string Nombre del espacio de nombres de Kubernetes
KubernetesPodName string Nombre del pod de Kubernetes
KubernetesResource string Valor de identificador que incluye el espacio de nombres, el tipo de recurso y el nombre
ContainerName string Nombre del contenedor en Kubernetes u otro entorno en tiempo de ejecución
ContainerId string Identificador de contenedor en Kubernetes u otro entorno en tiempo de ejecución
ActionType string Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información.
FileName string Nombre del archivo donde se aplicó la acción registrada
FolderPath string Carpeta que contiene el archivo al que se aplicó la acción registrada
ProcessId long Identificador de proceso (PID) del proceso recién creado
ProcessName string Nombre del proceso
ParentProcessName string Nombre del proceso primario
ParentProcessId string Identificador de proceso (PID) del proceso primario
ProcessCommandLine string Línea de comandos usada para crear el nuevo proceso
ProcessCreationTime datetime Fecha y hora en que se creó el proceso
ProcessCurrentWorkingDirectory string Directorio de trabajo actual del proceso en ejecución
AccountName string Nombre de usuario de la cuenta
LogonId long Identificador de una sesión de inicio de sesión. Este identificador es único en el mismo pod o contenedor entre reinicios.
InitiatingProcessId string Identificador de proceso (PID) del proceso que inició el evento
AdditionalFields string Información adicional sobre el evento en formato de matriz JSON

Consultas de ejemplo

Puede usar esta tabla para obtener información detallada sobre los procesos invocados en un entorno de nube. La información es útil en escenarios de búsqueda y puede detectar amenazas que se pueden observar a través de detalles del proceso, como procesos malintencionados o firmas de línea de comandos.

También puede investigar las alertas de seguridad proporcionadas por Defender for Cloud que usan los datos de eventos de proceso en la nube en la búsqueda avanzada para comprender los detalles del árbol de procesos de los procesos que incluyen una alerta de seguridad.

Procesar eventos por argumentos de línea de comandos

Para buscar eventos de proceso, incluido un término determinado (representado por "x" en la consulta siguiente) en los argumentos de la línea de comandos:

CloudProcessEvents | where ProcessCommandLine has "x"

Eventos de proceso poco frecuentes para un pod en un clúster de Kubernetes

Para investigar eventos de proceso inusuales invocados como parte de un pod en un clúster de Kubernetes:

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc