CloudProcessEvents (anteprima)
Si applica a:
- Microsoft Defender XDR
La CloudProcessEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi di elaborazione in ambienti ospitati multicloud, ad esempio servizio Azure Kubernetes, il servizio Amazon Elastic Kubernetes e il motore di Google Kubernetes. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
AzureResourceId |
string |
Identificatore univoco della risorsa di Azure associata al processo |
AwsResourceName |
string |
Identificatore univoco specifico dei dispositivi Amazon Web Services, contenente il nome della risorsa Amazon |
GcpFullResourceName |
string |
Identificatore univoco specifico dei dispositivi Google Cloud Platform, contenente una combinazione di zona e ID per GCP |
ContainerImageName |
string |
UNome o ID dell'immagine del contenitore, se esistente |
KubernetesNamespace |
string |
Nome dello spazio dei nomi Kubernetes |
KubernetesPodName |
string |
Nome del pod Kubernetes |
KubernetesResource |
string |
Valore identificatore che include spazio dei nomi, tipo di risorsa e nome |
ContainerName |
string |
Nome del contenitore in Kubernetes o in un altro ambiente di runtime |
ContainerId |
string |
Identificatore del contenitore in Kubernetes o in un altro ambiente di runtime |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale. |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
ProcessId |
long |
ID processo (PID) del processo appena creato |
ProcessName |
string |
Nome del processo |
ParentProcessName |
string |
Nome del processo padre |
ParentProcessId |
string |
ID processo (PID) del processo padre |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
ProcessCreationTime |
datetime |
Data e ora di creazione del processo |
ProcessCurrentWorkingDirectory |
string |
Directory di lavoro corrente del processo in esecuzione |
AccountName |
string |
Nome utente dell'account |
LogonId |
long |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso pod o nello stesso contenitore tra i riavvii. |
InitiatingProcessId |
string |
ID processo (PID) del processo che ha avviato l'evento |
AdditionalFields |
string |
Informazioni aggiuntive sull'evento in formato matrice JSON |
Query di esempio
È possibile usare questa tabella per ottenere informazioni dettagliate sui processi richiamati in un ambiente cloud. Le informazioni sono utili negli scenari di ricerca e possono individuare le minacce che possono essere osservate tramite i dettagli del processo, ad esempio processi dannosi o firme della riga di comando.
È anche possibile analizzare gli avvisi di sicurezza forniti da Defender per cloud che usano i dati degli eventi del processo cloud nella ricerca avanzata per comprendere i dettagli nell'albero dei processi per i processi che includono un avviso di sicurezza.
Elaborare gli eventi in base agli argomenti della riga di comando
Per cercare eventi di processo, incluso un determinato termine (rappresentato da "x" nella query seguente) negli argomenti della riga di comando:
CloudProcessEvents | where ProcessCommandLine has "x"
Eventi di processo rari per un pod in un cluster Kuberentes
Per analizzare eventi di processo insoliti richiamati come parte di un pod in un cluster Kubernetes:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc