Partilhar via

CloudProcessEvents (Pré-visualização)

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A CloudProcessEvents tabela no esquema de investigação avançado contém informações sobre eventos de processo em ambientes alojados em várias clouds, como Azure Kubernetes Service, Amazon Elastic Kubernetes Service e Google Kubernetes Engine. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
AzureResourceId string Identificador exclusivo do recurso do Azure associado ao processo
AwsResourceName string Identificador exclusivo específico para dispositivos Amazon Web Services, que contém o nome do recurso amazon
GcpFullResourceName string Identificador exclusivo específico para dispositivos google Cloud Platform, que contém uma combinação de zona e ID para GCP
ContainerImageName string UO nome ou ID da imagem do contentor, se existir
KubernetesNamespace string O nome do espaço de nomes do Kubernetes
KubernetesPodName string O nome do pod do Kubernetes
KubernetesResource string Valor do identificador que inclui o espaço de nomes, o tipo de recurso e o nome
ContainerName string Nome do contentor no Kubernetes ou noutro ambiente de runtime
ContainerId string O identificador do contentor no Kubernetes ou noutro ambiente de runtime
ActionType string Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes.
FileName string Nome do ficheiro ao qual a ação gravada foi aplicada
FolderPath string Pasta que contém o ficheiro ao qual a ação gravada foi aplicada
ProcessId long ID do Processo (PID) do processo recentemente criado
ProcessName string O nome do processo
ParentProcessName string O nome do processo principal
ParentProcessId string O ID do processo (PID) do processo principal
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
ProcessCreationTime datetime Data e hora em que o processo foi criado
ProcessCurrentWorkingDirectory string Diretório de trabalho atual do processo em execução
AccountName string Nome de utilizador da conta
LogonId long Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo pod ou contentor entre reinícios.
InitiatingProcessId string ID do Processo (PID) do processo que iniciou o evento
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON

Consultas de exemplo

Pode utilizar esta tabela para obter informações detalhadas sobre os processos invocados num ambiente na cloud. As informações são úteis em cenários de investigação e podem detetar ameaças que podem ser observadas através de detalhes do processo, como processos maliciosos ou assinaturas de linha de comandos.

Também pode investigar alertas de segurança fornecidos pelo Defender para a Cloud que utilizam os dados de eventos do processo da cloud na investigação avançada para compreender os detalhes na árvore de processos para processos que incluem um alerta de segurança.

Processar eventos por argumentos da linha de comandos

Para procurar eventos de processo, incluindo um determinado termo (representado por "x" na consulta abaixo) nos argumentos da linha de comandos:

CloudProcessEvents | where ProcessCommandLine has "x"

Eventos de processo raros para um pod num cluster do Kuberentes

Para investigar eventos de processo invulgares invocados como parte de um pod num cluster do Kubernetes:

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc