CloudProcessEvents (esikatselu)
Koskee seuraavia:
- Microsoft Defender XDR
CloudProcessEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja monipilviympäristöjen isännöityjen ympäristöjen prosessitapahtumista, kuten Azuren Kubernetes-palvelu, Amazon Elastic Kubernetes -palvelusta ja Google Kubernetes Enginestä. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
AzureResourceId |
string |
Prosessiin liittyvän Azure-resurssin yksilöllinen tunnus |
AwsResourceName |
string |
Amazon Web Services -laitteille määritetty yksilöllinen tunniste, joka sisältää Amazon-resurssin nimen |
GcpFullResourceName |
string |
Google Cloud Platform -laitteille määritetty yksilöllinen tunniste, joka sisältää vyöhykkeen ja tunnuksen yhdistelmän GCP:lle |
ContainerImageName |
string |
USäilön kuvan nimi tai tunnus, jos se on olemassa |
KubernetesNamespace |
string |
Kubernetes-nimitilan nimi |
KubernetesPodName |
string |
Kubernetes-kapselin nimi |
KubernetesResource |
string |
Tunnisteen arvo, joka sisältää nimitilan, resurssin tyypin ja nimen |
ContainerName |
string |
Säilön nimi Kubernetesissä tai toisessa suorituspalveluympäristössä |
ContainerId |
string |
Kubernetes-säilön tunnus tai muu suorituksenaikainen ympäristö |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittaus -kohdassa. |
FileName |
string |
Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin |
FolderPath |
string |
Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin |
ProcessId |
long |
Juuri luodun prosessin prosessitunnus (PID) |
ProcessName |
string |
Prosessin nimi |
ParentProcessName |
string |
Pääprosessin nimi |
ParentProcessId |
string |
Pääprosessin prosessitunnus (PID) |
ProcessCommandLine |
string |
Uuden prosessin luomiseen käytettävä komentorivi |
ProcessCreationTime |
datetime |
Prosessin luontipäivämäärä ja -kellonaika |
ProcessCurrentWorkingDirectory |
string |
Käynnissä olevan prosessin nykyinen työhakemisto |
AccountName |
string |
Tilin käyttäjänimi |
LogonId |
long |
Kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa kapselissa tai säilössä uudelleenkäynnistysten välillä. |
InitiatingProcessId |
string |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
Esimerkkikyselyt
Tämän taulukon avulla voit saada yksityiskohtaisia tietoja pilviympäristössä käynnistettyistä prosesseista. Tiedot ovat hyödyllisiä metsästysskenaariossa, ja ne voivat havaita uhkia, joita voidaan havaita prosessin tietojen, kuten haitallisten prosessien tai komentorivin allekirjoitusten, avulla.
Voit myös tutkia Defender for Cloudin tarjoamia suojaushälytyksiä, jotka hyödyntävät pilviprosessitapahtumien tietoja kehittyneessä metsästyksessä ymmärtääksesi prosessipuun tietoja prosesseille, jotka sisältävät suojausilmoituksen.
Käsittele tapahtumat komentoriviargumenttien mukaan
Jos haluat etsiä prosessin tapahtumia, mukaan lukien tietty termi (jota edustaa "x" alla olevassa kyselyssä), komentoriviargumenteissa:
CloudProcessEvents | where ProcessCommandLine has "x"
Kuberentes-klusterin kapselin harvinaiset prosessitapahtumat
Kubernetes-klusterin kapselin osana käynnistettyjen epätavallisten prosessitapahtumien tutkiminen:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc