CloudProcessEvents(미리 보기)
적용 대상:
- Microsoft Defender XDR
CloudProcessEvents
고급 헌팅 스키마의 표에는 organization 클라우드용 Microsoft Defender 의해 보호되는 Azure Kubernetes Service, Amazon Elastic Kubernetes Service 및 Google Kubernetes Engine과 같은 다중 클라우드 호스팅 환경의 프로세스 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
고급 헌팅 스키마의 다른 테이블에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
열 이름 | 데이터 형식 | 설명 |
---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
AzureResourceId |
string |
프로세스와 연결된 Azure 리소스의 고유 식별자 |
AwsResourceName |
string |
Amazon 리소스 이름을 포함하는 Amazon Web Services 디바이스와 관련된 고유 식별자 |
GcpFullResourceName |
string |
GCP에 대한 영역과 ID의 조합을 포함하는 Google Cloud Platform 디바이스와 관련된 고유 식별자 |
ContainerImageName |
string |
컨테이너 이미지 이름 또는 ID(있는 경우) |
KubernetesNamespace |
string |
Kubernetes 네임스페이스 이름 |
KubernetesPodName |
string |
Kubernetes Pod 이름 |
KubernetesResource |
string |
네임스페이스, 리소스 종류 및 이름을 포함하는 식별자 값 |
ContainerName |
string |
Kubernetes 또는 다른 런타임 환경의 컨테이너 이름 |
ContainerId |
string |
Kubernetes 또는 다른 런타임 환경의 컨테이너 식별자 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요. |
FileName |
string |
기록된 조치가 적용된 파일의 이름 |
FolderPath |
string |
기록된 작업이 적용된 파일이 포함된 폴더 |
ProcessId |
long |
새로 만든 프로세스의 PID(프로세스 ID) |
ProcessName |
string |
프로세스의 이름 |
ParentProcessName |
string |
부모 프로세스의 이름 |
ParentProcessId |
string |
부모 프로세스의 PID(프로세스 ID) |
ProcessCommandLine |
string |
새 프로세스를 만드는 데 사용되는 명령줄 |
ProcessCreationTime |
datetime |
프로세스가 만들어진 날짜 및 시간 |
ProcessCurrentWorkingDirectory |
string |
실행 중인 프로세스의 현재 작업 디렉터리 |
AccountName |
string |
계정의 사용자 이름 |
LogonId |
long |
로그온 세션의 식별자입니다. 이 식별자는 다시 시작 사이에 동일한 Pod 또는 컨테이너에서 고유합니다. |
InitiatingProcessId |
string |
이벤트를 시작한 프로세스의 PID(프로세스 ID) |
AdditionalFields |
string |
JSON 배열 형식의 이벤트에 대한 추가 정보 |
샘플 쿼리
이 테이블을 사용하여 클라우드 환경에서 호출된 프로세스에 대한 자세한 정보를 가져올 수 있습니다. 이 정보는 헌팅 시나리오에 유용하며 악의적인 프로세스 또는 명령줄 서명과 같은 프로세스 세부 정보를 통해 관찰할 수 있는 위협을 검색할 수 있습니다.
고급 헌팅에서 클라우드 프로세스 이벤트 데이터를 사용하는 클라우드용 Defender에서 제공하는 보안 경고를 조사하여 보안 경고가 포함된 프로세스에 대한 프로세스 트리의 세부 정보를 이해할 수도 있습니다.
명령줄 인수로 이벤트 처리
명령줄 인수에서 지정된 용어(아래 쿼리에서 "x"로 표시됨)를 포함한 프로세스 이벤트를 헌팅하려면 다음을 수행합니다.
CloudProcessEvents | where ProcessCommandLine has "x"
Kubernetes 클러스터의 Pod에 대한 드문 프로세스 이벤트
Kubernetes 클러스터에서 Pod의 일부로 호출된 비정상적인 프로세스 이벤트를 조사하려면 다음을 수행합니다.
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc