Udostępnij za pośrednictwem


CloudProcessEvents (wersja zapoznawcza)

Dotyczy:

  • Microsoft Defender XDR

Tabela CloudProcessEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach procesów w środowiskach hostowanych w wielu chmurach, takich jak Azure Kubernetes Service, Amazon Elastic Kubernetes Service i Google Kubernetes Engine jako chronione przez organizację Microsoft Defender for Cloud. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
AzureResourceId string Unikatowy identyfikator zasobu platformy Azure skojarzonego z procesem
AwsResourceName string Unikatowy identyfikator specyficzny dla urządzeń amazon web services zawierający nazwę zasobu Amazon
GcpFullResourceName string Unikatowy identyfikator specyficzny dla urządzeń google cloud platform zawierający kombinację strefy i identyfikatora dla GCP
ContainerImageName string Nazwa lub identyfikator obrazu kontenera, jeśli istnieje
KubernetesNamespace string Nazwa przestrzeni nazw Kubernetes
KubernetesPodName string Nazwa zasobnika Kubernetes
KubernetesResource string Wartość identyfikatora obejmująca przestrzeń nazw, typ zasobu i nazwę
ContainerName string Nazwa kontenera na platformie Kubernetes lub w innym środowisku uruchomieniowym
ContainerId string Identyfikator kontenera na platformie Kubernetes lub w innym środowisku uruchomieniowym
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu.
FileName string Nazwa pliku, do którego została zastosowana zarejestrowana akcja
FolderPath string Folder zawierający plik, do który zastosowano zarejestrowaną akcję
ProcessId long Identyfikator procesu (PID) nowo utworzonego procesu
ProcessName string Nazwa procesu
ParentProcessName string Nazwa procesu nadrzędnego
ParentProcessId string Identyfikator procesu (PID) procesu nadrzędnego
ProcessCommandLine string Wiersz polecenia używany do utworzenia nowego procesu
ProcessCreationTime datetime Data i godzina utworzenia procesu
ProcessCurrentWorkingDirectory string Bieżący katalog roboczy uruchomionego procesu
AccountName string Nazwa użytkownika konta
LogonId long Identyfikator sesji logowania. Ten identyfikator jest unikatowy w tym samym zasobniku lub kontenerze między ponownymi uruchomieniami.
InitiatingProcessId string Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
AdditionalFields string Dodatkowe informacje o zdarzeniu w formacie tablicy JSON

Przykładowe zapytania

Ta tabela umożliwia uzyskanie szczegółowych informacji na temat procesów wywoływanych w środowisku chmury. Informacje te są przydatne w scenariuszach wyszukiwania zagrożeń i mogą wykrywać zagrożenia, które można zaobserwować za pośrednictwem szczegółów procesu, takich jak złośliwe procesy lub sygnatury wiersza polecenia.

Możesz również zbadać alerty zabezpieczeń udostępniane przez usługę Defender for Cloud, które wykorzystują dane zdarzeń przetwarzania w chmurze w zaawansowanym wyszukiwaniu, aby poznać szczegóły w drzewie procesów dla procesów zawierających alert zabezpieczeń.

Przetwarzanie zdarzeń według argumentów wiersza polecenia

Aby wyszukać zdarzenia procesu, w tym dany termin (reprezentowany przez "x" w poniższym zapytaniu) w argumentach wiersza polecenia:

CloudProcessEvents | where ProcessCommandLine has "x"

Rzadkie zdarzenia procesu zasobnika w klastrze Kubernetes

Aby zbadać nietypowe zdarzenia procesu wywoływane jako część zasobnika w klastrze Kubernetes:

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc