CloudProcessEvents (forhåndsvisning)
Gjelder for:
- Microsoft Defender XDR
Tabellen CloudProcessEvents i det avanserte jaktskjemaet inneholder informasjon om prosesshendelser i miljøer med flereskyer som Azure Kubernetes Service, Amazon Elastic Kubernetes Service og Google Kubernetes Engine som beskyttet av organisasjonens Microsoft Defender for Cloud. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
AzureResourceId |
string |
Unik identifikator for Azure-ressursen som er knyttet til prosessen |
AwsResourceName |
string |
Unik identifikator som er spesifikk for Amazon Web Services-enheter, som inneholder Amazon-ressursnavnet |
GcpFullResourceName |
string |
Unik identifikator som er spesifikk for Google Cloud Platform-enheter, som inneholder en kombinasjon av sone og ID for GCP |
ContainerImageName |
string |
Navnet på beholderbildet eller ID-en hvis den finnes |
KubernetesNamespace |
string |
Navn på Kubernetes-navneområde |
KubernetesPodName |
string |
Kubernetes pod-navn |
KubernetesResource |
string |
Identifikatorverdi som inkluderer navneområde, ressurstype og navn |
ContainerName |
string |
Navnet på beholderen i Kubernetes eller et annet kjøretidsmiljø |
ContainerId |
string |
Beholderidentifikatoren i Kubernetes eller et annet kjøretidsmiljø |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon. |
FileName |
string |
Navnet på filen som den registrerte handlingen ble brukt på |
FolderPath |
string |
Mappe som inneholder filen som den registrerte handlingen ble brukt på |
ProcessId |
long |
Prosess-ID (PID) for den nyopprettede prosessen |
ProcessName |
string |
Navnet på prosessen |
ParentProcessName |
string |
Navnet på den overordnede prosessen |
ParentProcessId |
string |
Prosess-ID-en (PID) for den overordnede prosessen |
ProcessCommandLine |
string |
Kommandolinje som brukes til å opprette den nye prosessen |
ProcessCreationTime |
datetime |
Dato og klokkeslett prosessen ble opprettet |
ProcessCurrentWorkingDirectory |
string |
Gjeldende arbeidskatalog for prosessen som kjører |
AccountName |
string |
Brukernavn for kontoen |
LogonId |
long |
Identifikator for en påloggingsøkt. Denne identifikatoren er unik på samme pod eller beholder mellom omstarter. |
InitiatingProcessId |
string |
Prosess-ID (PID) for prosessen som startet hendelsen |
AdditionalFields |
string |
Tilleggsinformasjon om hendelsen i JSON-matriseformat |
Eksempelspørringer
Du kan bruke denne tabellen til å få detaljert informasjon om prosesser som aktiveres i et skymiljø. Informasjonen er nyttig i jaktscenarioer og kan oppdage trusler som kan observeres gjennom prosessdetaljer, for eksempel skadelige prosesser eller kommandolinjesignaturer.
Du kan også undersøke sikkerhetsvarsler fra Defender for Cloud som benytter data om skyprosesshendelser i avansert jakt for å forstå detaljer i prosesstreet for prosesser som inkluderer et sikkerhetsvarsel.
Behandle hendelser etter kommandolinjeargumenter
Slik søker du etter prosesshendelser, inkludert en gitt term (representert av "x" i spørringen nedenfor) i kommandolinjeargumentene:
CloudProcessEvents | where ProcessCommandLine has "x"
Sjeldne prosesshendelser for en pod i en Kubernetes-klynge
Slik undersøker du uvanlige prosesshendelser som aktiveres som en del av en pod i en Kubernetes-klynge:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc