CloudProcessEvents (förhandsversion)
Gäller för:
- Microsoft Defender XDR
Tabellen CloudProcessEvents i det avancerade jaktschemat innehåller information om processhändelser i miljöer med flera moln som Azure Kubernetes Service, Amazon Elastic Kubernetes Service och Google Kubernetes Engine som skyddas av organisationens Microsoft Defender för molnet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
AzureResourceId |
string |
Unik identifierare för den Azure-resurs som är associerad med processen |
AwsResourceName |
string |
Unik identifierare som är specifik för Amazon Web Services-enheter som innehåller Amazon-resursnamnet |
GcpFullResourceName |
string |
Unik identifierare som är specifik för Google Cloud Platform-enheter som innehåller en kombination av zon och ID för GCP |
ContainerImageName |
string |
Containeravbildningens namn eller ID, om det finns |
KubernetesNamespace |
string |
Namnområdesnamnet för Kubernetes |
KubernetesPodName |
string |
Kubernetes-poddnamnet |
KubernetesResource |
string |
Identifierarvärde som innehåller namnområde, resurstyp och namn |
ContainerName |
string |
Namnet på containern i Kubernetes eller en annan körningsmiljö |
ContainerId |
string |
Containeridentifieraren i Kubernetes eller en annan körningsmiljö |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen. |
FileName |
string |
Namnet på filen som den inspelade åtgärden tillämpades på |
FolderPath |
string |
Mapp som innehåller filen som den inspelade åtgärden tillämpades på |
ProcessId |
long |
Process-ID (PID) för den nyligen skapade processen |
ProcessName |
string |
Namnet på processen |
ParentProcessName |
string |
Namnet på den överordnade processen |
ParentProcessId |
string |
Process-ID (PID) för den överordnade processen |
ProcessCommandLine |
string |
Kommandorad som används för att skapa den nya processen |
ProcessCreationTime |
datetime |
Datum och tid då processen skapades |
ProcessCurrentWorkingDirectory |
string |
Aktuell arbetskatalog för den pågående processen |
AccountName |
string |
Användarkontots användarnamn |
LogonId |
long |
Identifierare för en inloggningssession. Den här identifieraren är unik för samma podd eller container mellan omstarter. |
InitiatingProcessId |
string |
Process-ID (PID) för processen som initierade händelsen |
AdditionalFields |
string |
Ytterligare information om händelsen i JSON-matrisformat |
Exempelfrågor
Du kan använda den här tabellen för att få detaljerad information om processer som anropas i en molnmiljö. Informationen är användbar i jaktscenarier och kan identifiera hot som kan observeras via processinformation, till exempel skadliga processer eller kommandoradssignaturer.
Du kan också undersöka säkerhetsaviseringar från Defender för molnet som använder data om molnprocesshändelser i avancerad jakt för att förstå information i processträdet för processer som innehåller en säkerhetsvarning.
Bearbeta händelser efter kommandoradsargument
Så här jagar du processhändelser inklusive en viss term (representeras av "x" i frågan nedan) i kommandoradsargumenten:
CloudProcessEvents | where ProcessCommandLine has "x"
Sällsynta processhändelser för en podd i ett Kubernetes-kluster
Så här undersöker du ovanliga processhändelser som anropas som en del av en podd i ett Kubernetes-kluster:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc