CloudProcessEvents (Vorschau)
Gilt für:
- Microsoft Defender XDR
Die CloudProcessEvents Tabelle im Schema für erweiterte Suche enthält Informationen zu Prozessereignissen in multicloudgehosteten Umgebungen wie Azure Kubernetes Service, Amazon Elastic Kubernetes Service und Google Kubernetes Engine, die durch die Microsoft Defender für Cloud des organization geschützt sind. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Informationen zu anderen Tabellen im Schema für die erweiterte Suche finden Sie in der Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
AzureResourceId |
string |
Eindeutiger Bezeichner der Azure-Ressource, die dem Prozess zugeordnet ist |
AwsResourceName |
string |
Eindeutiger Bezeichner, der für Amazon Web Services-Geräte spezifisch ist und den Amazon-Ressourcennamen enthält |
GcpFullResourceName |
string |
Eindeutiger Bezeichner, der für Google Cloud Platform-Geräte spezifisch ist und eine Kombination aus Zone und ID für GCP enthält |
ContainerImageName |
string |
Der Name oder die ID des Containerimages, sofern vorhanden |
KubernetesNamespace |
string |
Der Kubernetes-Namespacename |
KubernetesPodName |
string |
Der Name des Kubernetes-Pods |
KubernetesResource |
string |
Bezeichnerwert, der Namespace, Ressourcentyp und Name enthält |
ContainerName |
string |
Name des Containers in Kubernetes oder einer anderen Laufzeitumgebung |
ContainerId |
string |
Der Containerbezeichner in Kubernetes oder einer anderen Laufzeitumgebung |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal. |
FileName |
string |
Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
FolderPath |
string |
Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
ProcessId |
long |
Prozess-ID (PID) des neu erstellten Prozesses |
ProcessName |
string |
Der Name des Prozesses |
ParentProcessName |
string |
Der Name des übergeordneten Prozesses |
ParentProcessId |
string |
Die Prozess-ID (PID) des übergeordneten Prozesses |
ProcessCommandLine |
string |
Zum Erstellen des neuen Prozesses verwendete Befehlszeile |
ProcessCreationTime |
datetime |
Datum und Uhrzeit der Prozesserstellung |
ProcessCurrentWorkingDirectory |
string |
Aktuelles Arbeitsverzeichnis des ausgeführten Prozesses |
AccountName |
string |
Benutzername des Kontos |
LogonId |
long |
Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist für denselben Pod oder Container zwischen Neustarts eindeutig. |
InitiatingProcessId |
string |
Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat |
AdditionalFields |
string |
Zusätzliche Informationen zum Ereignis im JSON-Arrayformat |
Beispiele für Abfragen
Sie können diese Tabelle verwenden, um ausführliche Informationen zu Prozessen zu erhalten, die in einer Cloudumgebung aufgerufen werden. Die Informationen sind nützlich in Hunting-Szenarien und können Bedrohungen erkennen, die durch Prozessdetails wie schädliche Prozesse oder Befehlszeilensignaturen beobachtet werden können.
Sie können auch Sicherheitswarnungen untersuchen, die von Defender für Cloud bereitgestellt werden, die die Daten von Cloudprozessereignissen in der erweiterten Suche verwenden, um Details in der Prozessstruktur für Prozesse zu verstehen, die eine Sicherheitswarnung enthalten.
Verarbeiten von Ereignissen mit Befehlszeilenargumenten
So suchen Sie nach Prozessereignissen, einschließlich eines bestimmten Begriffs (dargestellt durch "x" in der Abfrage unten) in den Befehlszeilenargumenten:
CloudProcessEvents | where ProcessCommandLine has "x"
Seltene Prozessereignisse für einen Pod in einem Kubernetes-Cluster
So untersuchen Sie ungewöhnliche Prozessereignisse, die als Teil eines Pods in einem Kubernetes-Cluster aufgerufen werden:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc