CloudProcessEvents (預覽)

適用於：

• Microsoft Defender XDR

進階搜捕架構中的表格CloudProcessEvents包含多重雲端託管環境中處理事件的相關信息，例如 Azure Kubernetes Service、Amazon Elastic Kubernetes Service 和 Google Kubernetes Engine，受組織的雲端 Microsoft Defender 保護。 使用這個參考來建立從此表格取回之資訊的查詢。

重要事項

部分資訊與發行前版本產品有關，在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

如需進階搜捕架構中其他數據表的資訊，請參閱 進階搜捕參考。

資料行名稱	資料類型	描述
Timestamp	datetime	事件記錄的日期和時間
AzureResourceId	string	與進程相關聯之 Azure 資源的唯一標識碼
AwsResourceName	string	Amazon Web Services 裝置專屬的唯一標識碼，其中包含 Amazon 資源名稱
GcpFullResourceName	string	Google 雲端平台裝置專屬的唯一標識符，其中包含 GCP 的區域和標識碼組合
ContainerImageName	string	如果容器映像名稱或標識碼存在，則為
KubernetesNamespace	string	Kubernetes 命名空間名稱
KubernetesPodName	string	Kubernetes Pod 名稱
KubernetesResource	string	包含命名空間、資源類型和名稱的標識碼值
ContainerName	string	Kubernetes 或其他運行時間環境中的容器名稱
ContainerId	string	Kubernetes 或其他運行時間環境中的容器標識碼
ActionType	string	觸發事件的活動類型。 如需詳細資訊，請參閱入口網站內架構參考。
FileName	string	記錄動作已套用的檔案名稱
FolderPath	string	包含已記錄動作套用至之檔案的資料夾
ProcessId	long	新建立進程的進程標識碼 (PID)
ProcessName	string	進程的名稱
ParentProcessName	string	父進程的名稱
ParentProcessId	string	父進程的進程標識 (PID)
ProcessCommandLine	string	用來建立新進程的命令行
ProcessCreationTime	datetime	建立進程的日期和時間
ProcessCurrentWorkingDirectory	string	執行中進程的目前工作目錄
AccountName	string	帳戶的用戶名稱
LogonId	long	登入會話的標識碼。 此標識碼在重新啟動之間的相同 Pod 或容器上是唯一的。
InitiatingProcessId	string	起始事件之進程的進程標識 (PID)
AdditionalFields	string	JSON 數位格式事件的其他相關信息

範例查詢

您可以使用此資料表來取得雲端環境中所叫用程式的詳細資訊。 此資訊在搜捕案例中很有用，而且可以探索可透過程式詳細數據觀察到的威脅，例如惡意進程或命令行簽章。

您也可以調查適用於雲端的 Defender 所提供的安全性警示，這些警示會在進階搜捕中使用雲端處理事件數據，以瞭解包含安全性警示之處理程式樹狀結構中的詳細數據。

依命令行自變數處理事件

若要搜捕進程事件，包括下列查詢中 「x」 所表示的指定字詞 (，請在命令行自變數中) ：

CloudProcessEvents | where ProcessCommandLine has "x"

Kubernetes 叢集中 Pod 的罕見處理事件

若要調查在 Kubernetes 叢集中當做 Pod 一部分叫用的異常進程事件：

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc

相關主題

• 進階搜捕概觀
• 了解查詢語言
• 使用共用查詢
• 跨裝置、電子郵件、應用程式和身分識別搜捕
• 了解結構描述
• 套用查詢最佳做法