CloudProcessEvents (préversion)
S’applique à :
- Microsoft Defender XDR
Le CloudProcessEvents tableau du schéma de repérage avancé contient des informations sur les événements de processus dans les environnements hébergés multicloud, tels que Azure Kubernetes Service, Amazon Elastic Kubernetes Service et Google Kubernetes Engine. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
AzureResourceId |
string |
Identificateur unique de la ressource Azure associée au processus |
AwsResourceName |
string |
Identificateur unique spécifique aux appareils Amazon Web Services, contenant le nom de la ressource Amazon |
GcpFullResourceName |
string |
Identificateur unique spécifique aux appareils Google Cloud Platform, contenant une combinaison de zone et d’ID pour GCP |
ContainerImageName |
string |
Nom ou ID de l’image conteneur, s’il existe |
KubernetesNamespace |
string |
Nom de l’espace de noms Kubernetes |
KubernetesPodName |
string |
Nom du pod Kubernetes |
KubernetesResource |
string |
Valeur d’identificateur qui inclut l’espace de noms, le type de ressource et le nom |
ContainerName |
string |
Nom du conteneur dans Kubernetes ou un autre environnement d’exécution |
ContainerId |
string |
Identificateur de conteneur dans Kubernetes ou un autre environnement d’exécution |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail. |
FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée |
FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée |
ProcessId |
long |
ID de processus (PID) du processus nouvellement créé |
ProcessName |
string |
Nom du processus |
ParentProcessName |
string |
Nom du processus parent |
ParentProcessId |
string |
ID de processus (PID) du processus parent |
ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus |
ProcessCreationTime |
datetime |
Date et heure de création du processus |
ProcessCurrentWorkingDirectory |
string |
Répertoire de travail actuel du processus en cours d’exécution |
AccountName |
string |
Nom d’utilisateur du compte |
LogonId |
long |
Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur le même pod ou conteneur entre les redémarrages. |
InitiatingProcessId |
string |
ID de processus (PID) du processus qui a lancé l’événement |
AdditionalFields |
string |
Informations supplémentaires sur l’événement au format tableau JSON |
Exemples de requêtes
Vous pouvez utiliser ce tableau pour obtenir des informations détaillées sur les processus appelés dans un environnement cloud. Ces informations sont utiles dans les scénarios de repérage et peuvent détecter des menaces qui peuvent être observées via les détails du processus, comme les processus malveillants ou les signatures de ligne de commande.
Vous pouvez également examiner les alertes de sécurité fournies par Defender pour le cloud qui utilisent les données des événements de processus cloud dans la chasse avancée pour comprendre les détails de l’arborescence de processus pour les processus qui incluent une alerte de sécurité.
Traiter les événements par arguments de ligne de commande
Pour rechercher les événements de processus, y compris un terme donné (représenté par « x » dans la requête ci-dessous) dans les arguments de ligne de commande :
CloudProcessEvents | where ProcessCommandLine has "x"
Événements de processus rares pour un pod dans un cluster Kuberentes
Pour examiner les événements de processus inhabituels appelés dans le cadre d’un pod dans un cluster Kubernetes :
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc