CloudProcessEvents (versión preliminar)
Se aplica a:
- Microsoft Defender XDR
La CloudProcessEvents tabla del esquema de búsqueda avanzada contiene información sobre los eventos de proceso en entornos hospedados en varias nubes, como Azure Kubernetes Service, Amazon Elastic Kubernetes Service y Google Kubernetes Engine. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
AzureResourceId |
string |
Identificador único del recurso de Azure asociado al proceso |
AwsResourceName |
string |
Identificador único específico de los dispositivos de Amazon Web Services, que contiene el nombre del recurso de Amazon |
GcpFullResourceName |
string |
Identificador único específico de los dispositivos de Google Cloud Platform, que contiene una combinación de zona e identificador para GCP |
ContainerImageName |
string |
UEl nombre o identificador de la imagen de contenedor, si existe |
KubernetesNamespace |
string |
Nombre del espacio de nombres de Kubernetes |
KubernetesPodName |
string |
Nombre del pod de Kubernetes |
KubernetesResource |
string |
Valor de identificador que incluye el espacio de nombres, el tipo de recurso y el nombre |
ContainerName |
string |
Nombre del contenedor en Kubernetes u otro entorno en tiempo de ejecución |
ContainerId |
string |
Identificador de contenedor en Kubernetes u otro entorno en tiempo de ejecución |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
FileName |
string |
Nombre del archivo donde se aplicó la acción registrada |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción registrada |
ProcessId |
long |
Identificador de proceso (PID) del proceso recién creado |
ProcessName |
string |
Nombre del proceso |
ParentProcessName |
string |
Nombre del proceso primario |
ParentProcessId |
string |
Identificador de proceso (PID) del proceso primario |
ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso |
ProcessCreationTime |
datetime |
Fecha y hora en que se creó el proceso |
ProcessCurrentWorkingDirectory |
string |
Directorio de trabajo actual del proceso en ejecución |
AccountName |
string |
Nombre de usuario de la cuenta |
LogonId |
long |
Identificador de una sesión de inicio de sesión. Este identificador es único en el mismo pod o contenedor entre reinicios. |
InitiatingProcessId |
string |
Identificador de proceso (PID) del proceso que inició el evento |
AdditionalFields |
string |
Información adicional sobre el evento en formato de matriz JSON |
Consultas de ejemplo
Puede usar esta tabla para obtener información detallada sobre los procesos invocados en un entorno de nube. La información es útil en escenarios de búsqueda y puede detectar amenazas que se pueden observar a través de detalles del proceso, como procesos malintencionados o firmas de línea de comandos.
También puede investigar las alertas de seguridad proporcionadas por Defender for Cloud que usan los datos de eventos de proceso en la nube en la búsqueda avanzada para comprender los detalles del árbol de procesos de los procesos que incluyen una alerta de seguridad.
Procesar eventos por argumentos de línea de comandos
Para buscar eventos de proceso, incluido un término determinado (representado por "x" en la consulta siguiente) en los argumentos de la línea de comandos:
CloudProcessEvents | where ProcessCommandLine has "x"
Eventos de proceso poco frecuentes para un pod en un clúster de Kuberentes
Para investigar eventos de proceso inusuales invocados como parte de un pod en un clúster de Kubernetes:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc