다음을 통해 공유


CloudProcessEvents(미리 보기)

적용 대상:

  • Microsoft Defender XDR

CloudProcessEvents 고급 헌팅 스키마의 표에는 organization 클라우드용 Microsoft Defender 의해 보호되는 Azure Kubernetes Service, Amazon Elastic Kubernetes Service 및 Google Kubernetes Engine과 같은 다중 클라우드 호스팅 환경의 프로세스 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

고급 헌팅 스키마의 다른 테이블에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 이벤트가 기록된 날짜와 시간
AzureResourceId string 프로세스와 연결된 Azure 리소스의 고유 식별자
AwsResourceName string Amazon 리소스 이름을 포함하는 Amazon Web Services 디바이스와 관련된 고유 식별자
GcpFullResourceName string GCP에 대한 영역과 ID의 조합을 포함하는 Google Cloud Platform 디바이스와 관련된 고유 식별자
ContainerImageName string 컨테이너 이미지 이름 또는 ID(있는 경우)
KubernetesNamespace string Kubernetes 네임스페이스 이름
KubernetesPodName string Kubernetes Pod 이름
KubernetesResource string 네임스페이스, 리소스 종류 및 이름을 포함하는 식별자 값
ContainerName string Kubernetes 또는 다른 런타임 환경의 컨테이너 이름
ContainerId string Kubernetes 또는 다른 런타임 환경의 컨테이너 식별자
ActionType string 이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요.
FileName string 기록된 조치가 적용된 파일의 이름
FolderPath string 기록된 작업이 적용된 파일이 포함된 폴더
ProcessId long 새로 만든 프로세스의 PID(프로세스 ID)
ProcessName string 프로세스의 이름
ParentProcessName string 부모 프로세스의 이름
ParentProcessId string 부모 프로세스의 PID(프로세스 ID)
ProcessCommandLine string 새 프로세스를 만드는 데 사용되는 명령줄
ProcessCreationTime datetime 프로세스가 만들어진 날짜 및 시간
ProcessCurrentWorkingDirectory string 실행 중인 프로세스의 현재 작업 디렉터리
AccountName string 계정의 사용자 이름
LogonId long 로그온 세션의 식별자입니다. 이 식별자는 다시 시작 사이에 동일한 Pod 또는 컨테이너에서 고유합니다.
InitiatingProcessId string 이벤트를 시작한 프로세스의 PID(프로세스 ID)
AdditionalFields string JSON 배열 형식의 이벤트에 대한 추가 정보

샘플 쿼리

이 테이블을 사용하여 클라우드 환경에서 호출된 프로세스에 대한 자세한 정보를 가져올 수 있습니다. 이 정보는 헌팅 시나리오에 유용하며 악의적인 프로세스 또는 명령줄 서명과 같은 프로세스 세부 정보를 통해 관찰할 수 있는 위협을 검색할 수 있습니다.

고급 헌팅에서 클라우드 프로세스 이벤트 데이터를 사용하는 클라우드용 Defender에서 제공하는 보안 경고를 조사하여 보안 경고가 포함된 프로세스에 대한 프로세스 트리의 세부 정보를 이해할 수도 있습니다.

명령줄 인수로 이벤트 처리

명령줄 인수에서 지정된 용어(아래 쿼리에서 "x"로 표시됨)를 포함한 프로세스 이벤트를 헌팅하려면 다음을 수행합니다.

CloudProcessEvents | where ProcessCommandLine has "x"

Kubernetes 클러스터의 Pod에 대한 드문 프로세스 이벤트

Kubernetes 클러스터에서 Pod의 일부로 호출된 비정상적인 프로세스 이벤트를 조사하려면 다음을 수행합니다.

CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc