CloudProcessEvents (предварительная версия)
Область применения:
- Microsoft Defender XDR
Таблица CloudProcessEvents
в схеме расширенной охоты содержит сведения о событиях процессов в многооблачных средах, таких как Служба Azure Kubernetes, Amazon Elastic Kubernetes Service и Google Kubernetes Engine, защищенных Microsoft Defender организации для облака. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Сведения о других таблицах в расширенной схеме охоты см. в справочнике по расширенной охоте.
Имя столбца | Тип данных | Описание |
---|---|---|
Timestamp |
datetime |
Дата и время записи события |
AzureResourceId |
string |
Уникальный идентификатор ресурса Azure, связанного с процессом |
AwsResourceName |
string |
Уникальный идентификатор, характерный для устройств Amazon Web Services, содержащий имя ресурса Amazon |
GcpFullResourceName |
string |
Уникальный идентификатор, характерный для устройств Google Cloud Platform, содержащий сочетание зоны и идентификатора для GCP |
ContainerImageName |
string |
Имя или идентификатор образа контейнера, если он существует. |
KubernetesNamespace |
string |
Имя пространства имен Kubernetes |
KubernetesPodName |
string |
Имя pod Kubernetes |
KubernetesResource |
string |
Значение идентификатора, включающее пространство имен, тип ресурса и имя |
ContainerName |
string |
Имя контейнера в Kubernetes или другой среде выполнения |
ContainerId |
string |
Идентификатор контейнера в Kubernetes или другой среде выполнения |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале. |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FolderPath |
string |
Папка, содержащая файл, к которому было применено записанное действие |
ProcessId |
long |
Идентификатор процесса (PID) вновь созданного процесса |
ProcessName |
string |
Имя процесса |
ParentProcessName |
string |
Имя родительского процесса |
ParentProcessId |
string |
Идентификатор процесса (PID) родительского процесса |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
ProcessCreationTime |
datetime |
Дата и время создания процесса |
ProcessCurrentWorkingDirectory |
string |
Текущий рабочий каталог выполняющегося процесса |
AccountName |
string |
Имя пользователя учетной записи |
LogonId |
long |
Идентификатор сеанса входа. Этот идентификатор уникален в одном и том же модуле pod или контейнере между перезапусками. |
InitiatingProcessId |
string |
Идентификатор процесса (PID) процесса, который инициировал событие |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
Примеры запросов
Эту таблицу можно использовать для получения подробных сведений о процессах, вызываемых в облачной среде. Эта информация полезна в сценариях охоты и может обнаруживать угрозы, которые можно наблюдать с помощью сведений о процессе, таких как вредоносные процессы или сигнатуры командной строки.
Вы также можете исследовать оповещения системы безопасности, предоставляемые Defender для облака, которые используют данные о событиях облачных процессов в расширенной охоте, чтобы понять подробности в дереве процессов для процессов, включающих оповещение системы безопасности.
Обработка событий по аргументам командной строки
Поиск событий процесса, включая заданный термин (представленный словом "x" в приведенном ниже запросе), в аргументах командной строки:
CloudProcessEvents | where ProcessCommandLine has "x"
Редкие события процесса для pod в кластере Kubernetes
Чтобы исследовать необычные события процесса, вызываемые в составе модуля pod в кластере Kubernetes, выполните приведенные ниже действия.
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc