CloudProcessEvents (wersja zapoznawcza)
Dotyczy:
- Microsoft Defender XDR
Tabela CloudProcessEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach procesu w środowiskach hostowanych w wielu chmurach, takich jak Azure Kubernetes Service, Amazon Elastic Kubernetes Service i Google Kubernetes Engine. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
AzureResourceId |
string |
Unikatowy identyfikator zasobu platformy Azure skojarzonego z procesem |
AwsResourceName |
string |
Unikatowy identyfikator specyficzny dla urządzeń amazon web services zawierający nazwę zasobu Amazon |
GcpFullResourceName |
string |
Unikatowy identyfikator specyficzny dla urządzeń google cloud platform zawierający kombinację strefy i identyfikatora dla GCP |
ContainerImageName |
string |
UNazwa obrazu kontenera lub identyfikator, jeśli istnieje |
KubernetesNamespace |
string |
Nazwa przestrzeni nazw Kubernetes |
KubernetesPodName |
string |
Nazwa zasobnika Kubernetes |
KubernetesResource |
string |
Wartość identyfikatora obejmująca przestrzeń nazw, typ zasobu i nazwę |
ContainerName |
string |
Nazwa kontenera na platformie Kubernetes lub w innym środowisku uruchomieniowym |
ContainerId |
string |
Identyfikator kontenera na platformie Kubernetes lub w innym środowisku uruchomieniowym |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu. |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
ProcessId |
long |
Identyfikator procesu (PID) nowo utworzonego procesu |
ProcessName |
string |
Nazwa procesu |
ParentProcessName |
string |
Nazwa procesu nadrzędnego |
ParentProcessId |
string |
Identyfikator procesu (PID) procesu nadrzędnego |
ProcessCommandLine |
string |
Wiersz polecenia używany do utworzenia nowego procesu |
ProcessCreationTime |
datetime |
Data i godzina utworzenia procesu |
ProcessCurrentWorkingDirectory |
string |
Bieżący katalog roboczy uruchomionego procesu |
AccountName |
string |
Nazwa użytkownika konta |
LogonId |
long |
Identyfikator sesji logowania. Ten identyfikator jest unikatowy w tym samym zasobniku lub kontenerze między ponownymi uruchomieniami. |
InitiatingProcessId |
string |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
AdditionalFields |
string |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
Przykładowe zapytania
Ta tabela umożliwia uzyskanie szczegółowych informacji na temat procesów wywoływanych w środowisku chmury. Informacje te są przydatne w scenariuszach wyszukiwania zagrożeń i mogą wykrywać zagrożenia, które można zaobserwować za pośrednictwem szczegółów procesu, takich jak złośliwe procesy lub sygnatury wiersza polecenia.
Możesz również zbadać alerty zabezpieczeń udostępniane przez usługę Defender for Cloud, które wykorzystują dane zdarzeń przetwarzania w chmurze w zaawansowanym wyszukiwaniu, aby poznać szczegóły w drzewie procesów dla procesów zawierających alert zabezpieczeń.
Przetwarzanie zdarzeń według argumentów wiersza polecenia
Aby wyszukać zdarzenia procesu, w tym dany termin (reprezentowany przez "x" w poniższym zapytaniu) w argumentach wiersza polecenia:
CloudProcessEvents | where ProcessCommandLine has "x"
Rzadkie zdarzenia procesu zasobnika w klastrze Kuberentes
Aby zbadać nietypowe zdarzenia procesu wywoływane jako część zasobnika w klastrze Kubernetes:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc