CloudProcessEvents (preview)

Van toepassing op:

• Microsoft Defender XDR

De CloudProcessEvents tabel in het geavanceerde opsporingsschema bevat informatie over procesgebeurtenissen in gehoste omgevingen met meerdere clouds, zoals Azure Kubernetes Service, Amazon Elastic Kubernetes Service en Google Kubernetes Engine, zoals beveiligd door de Microsoft Defender voor cloud van de organisatie. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam	Gegevenstype:	Beschrijving
Timestamp	datetime	Datum en tijd waarop de gebeurtenis is vastgelegd
AzureResourceId	string	Unieke id van de Azure-resource die is gekoppeld aan het proces
AwsResourceName	string	Unieke id die specifiek is voor Amazon Web Services-apparaten, met de naam van de Amazon-resource
GcpFullResourceName	string	Unieke id die specifiek is voor Google Cloud Platform-apparaten, met een combinatie van zone en id voor GCP
ContainerImageName	string	De naam of id van de containerinstallatiekopieën, indien aanwezig
KubernetesNamespace	string	De naam van de Kubernetes-naamruimte
KubernetesPodName	string	De kubernetes-podnaam
KubernetesResource	string	Id-waarde die naamruimte, resourcetype en naam bevat
ContainerName	string	Naam van de container in Kubernetes of een andere runtime-omgeving
ContainerId	string	De container-id in Kubernetes of een andere runtime-omgeving
ActionType	string	Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie.
FileName	string	Naam van het bestand waarop de vastgelegde actie is toegepast
FolderPath	string	Map met het bestand waarop de vastgelegde actie is toegepast
ProcessId	long	Proces-id (PID) van het zojuist gemaakte proces
ProcessName	string	De naam van het proces
ParentProcessName	string	De naam van het bovenliggende proces
ParentProcessId	string	De proces-id (PID) van het bovenliggende proces
ProcessCommandLine	string	Opdrachtregel die wordt gebruikt om het nieuwe proces te maken
ProcessCreationTime	datetime	Datum en tijd waarop het proces is gemaakt
ProcessCurrentWorkingDirectory	string	Huidige werkmap van het actieve proces
AccountName	string	Gebruikersnaam van het account
LogonId	long	Id voor een aanmeldingssessie. Deze id is uniek op dezelfde pod of container tussen het opnieuw opstarten.
InitiatingProcessId	string	Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd
AdditionalFields	string	Aanvullende informatie over de gebeurtenis in JSON-matrixindeling

Voorbeeldquery's

U kunt deze tabel gebruiken voor gedetailleerde informatie over processen die worden aangeroepen in een cloudomgeving. De informatie is nuttig bij opsporingsscenario's en kan bedreigingen detecteren die kunnen worden waargenomen via procesdetails, zoals schadelijke processen of opdrachtregelhandtekeningen.

U kunt ook beveiligingswaarschuwingen onderzoeken die worden geleverd door Defender for Cloud die gebruikmaken van de gegevens van gebeurtenissen in het cloudproces in geavanceerde opsporing om inzicht te krijgen in details in de processtructuur voor processen die een beveiligingswaarschuwing bevatten.

Gebeurtenissen verwerken op opdrachtregelargumenten

Als u wilt zoeken naar procesgebeurtenissen, waaronder een bepaalde term (vertegenwoordigd door 'x' in de onderstaande query) in de opdrachtregelargumenten:

CloudProcessEvents | where ProcessCommandLine has "x"

Zeldzame procesevenementen voor een pod in een Kubernetes-cluster

Ongebruikelijke procesgebeurtenissen onderzoeken die worden aangeroepen als onderdeel van een pod in een Kubernetes-cluster:

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc

Verwante onderwerpen

• Overzicht van geavanceerd opsporen
• De querytaal leren
• Gedeelde query's gebruiken
• Opsporen op apparaten en in e-mailberichten, apps en identiteiten
• Meer informatie over het schema
• Aanbevolen procedures voor query's toepassen