Поделиться через

CloudProcessEvents (предварительная версия)

  • Статья

Область применения:

  • Microsoft Defender XDR

Таблица CloudProcessEvents в схеме расширенной охоты содержит сведения о событиях процессов в многооблачных средах, таких как Служба Azure Kubernetes, Amazon Elastic Kubernetes Service и Google Kubernetes Engine, защищенных Microsoft Defender организации для облака. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Сведения о других таблицах в расширенной схеме охоты см. в справочнике по расширенной охоте.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
AzureResourceId string Уникальный идентификатор ресурса Azure, связанного с процессом
AwsResourceName string Уникальный идентификатор, характерный для устройств Amazon Web Services, содержащий имя ресурса Amazon
GcpFullResourceName string Уникальный идентификатор, характерный для устройств Google Cloud Platform, содержащий сочетание зоны и идентификатора для GCP
ContainerImageName string Имя или идентификатор образа контейнера, если он существует.
KubernetesNamespace string Имя пространства имен Kubernetes
KubernetesPodName string Имя pod Kubernetes
KubernetesResource string Значение идентификатора, включающее пространство имен, тип ресурса и имя
ContainerName string Имя контейнера в Kubernetes или другой среде выполнения
ContainerId string Идентификатор контейнера в Kubernetes или другой среде выполнения
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале.
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к которому было применено записанное действие
ProcessId long Идентификатор процесса (PID) вновь созданного процесса
ProcessName string Имя процесса
ParentProcessName string Имя родительского процесса
ParentProcessId string Идентификатор процесса (PID) родительского процесса
ProcessCommandLine string Командная строка, используемая для создания нового процесса
ProcessCreationTime datetime Дата и время создания процесса
ProcessCurrentWorkingDirectory string Текущий рабочий каталог выполняющегося процесса
AccountName string Имя пользователя учетной записи
LogonId long Идентификатор сеанса входа. Этот идентификатор уникален в одном и том же модуле pod или контейнере между перезапусками.
InitiatingProcessId string Идентификатор процесса (PID) процесса, который инициировал событие
AdditionalFields string Дополнительные сведения о событии в формате массива JSON

Примеры запросов

Эту таблицу можно использовать для получения подробных сведений о процессах, вызываемых в облачной среде. Эта информация полезна в сценариях охоты и может обнаруживать угрозы, которые можно наблюдать с помощью сведений о процессе, таких как вредоносные процессы или сигнатуры командной строки.

Вы также можете исследовать оповещения системы безопасности, предоставляемые Defender для облака, которые используют данные о событиях облачных процессов в расширенной охоте, чтобы понять подробности в дереве процессов для процессов, включающих оповещение системы безопасности.

Обработка событий по аргументам командной строки

Поиск событий процесса, включая заданный термин (представленный словом "x" в приведенном ниже запросе), в аргументах командной строки:

CloudProcessEvents | where ProcessCommandLine has "x"

Редкие события процесса для pod в кластере Kubernetes

Чтобы исследовать необычные события процесса, вызываемые в составе модуля pod в кластере Kubernetes, выполните приведенные ниже действия.

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc