通过

CloudProcessEvents (预览版)

  • 项目

适用于:

  • Microsoft Defender XDR

CloudProcessEvents 高级搜寻架构中的表包含有关多云托管环境(例如Azure Kubernetes 服务、Amazon Elastic Kubernetes 服务和受组织的 Microsoft Defender for Cloud 保护的 Google Kubernetes 引擎)中的进程事件的信息。 使用此参考来构建从此表返回信息的查询。

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

有关高级搜寻架构中其他表的信息,请参阅 高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
AzureResourceId string 与进程关联的 Azure 资源的唯一标识符
AwsResourceName string 特定于 Amazon Web Services 设备的唯一标识符,其中包含 Amazon 资源名称
GcpFullResourceName string 特定于 Google Cloud Platform 设备的唯一标识符,包含 GCP 的区域和 ID 的组合
ContainerImageName string 容器映像名称或 ID(如果存在)
KubernetesNamespace string Kubernetes 命名空间名称
KubernetesPodName string Kubernetes Pod 名称
KubernetesResource string 包含命名空间、资源类型和名称的标识符值
ContainerName string Kubernetes 或其他运行时环境中的容器名称
ContainerId string Kubernetes 或其他运行时环境中的容器标识符
ActionType string 触发事件的活动类型。 有关详细信息,请参阅门户内架构参考。
FileName string 录制操作所应用到的文件的名称
FolderPath string 包含已记录操作应用到的文件的文件夹
ProcessId long 进程 ID (新创建的进程的 PID)
ProcessName string 进程的名称
ParentProcessName string 父进程的名称
ParentProcessId string 父进程的进程 ID (PID)
ProcessCommandLine string 用于创建新进程的命令行
ProcessCreationTime datetime 进程的创建日期和时间
ProcessCurrentWorkingDirectory string 正在运行的进程当前工作目录
AccountName string 帐户的用户名
LogonId long 登录会话的标识符。 此标识符在重启之间的同一 Pod 或容器上是唯一的。
InitiatingProcessId string 进程 ID (启动事件的进程的 PID)
AdditionalFields string 有关 JSON 数组格式的事件的其他信息

示例查询

可以使用此表获取有关在云环境中调用的进程的详细信息。 此信息在搜寻方案中非常有用,并且可以发现可以通过进程详细信息(如恶意进程或命令行签名)观察到的威胁。

还可以调查 Defender for Cloud 提供的安全警报,这些警报利用高级搜寻中的云进程事件数据来了解包含安全警报的进程的进程树中的详细信息。

通过命令行参数处理事件

若要在以下查询中搜寻包含给定术语 (由“x”表示的进程事件,) 命令行参数中:

CloudProcessEvents | where ProcessCommandLine has "x"

Kubernetes 群集中 Pod 的罕见进程事件

若要调查在 Kubernetes 群集中作为 Pod 的一部分调用的异常进程事件,请执行以下操作:

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc