CloudProcessEvents (Pré-visualização)
Aplica-se a:
- Microsoft Defender XDR
A CloudProcessEvents tabela no esquema de investigação avançada contém informações sobre eventos de processos em ambientes alojados em várias clouds, como Serviço de Kubernetes do Azure, Amazon Elastic Kubernetes Service e Google Kubernetes Engine, protegidos pelo Microsoft Defender da organização para a Cloud. Use essa referência para criar consultas que retornam informações dessa tabela.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
AzureResourceId |
string |
Identificador exclusivo do recurso do Azure associado ao processo |
AwsResourceName |
string |
Identificador exclusivo específico para dispositivos Amazon Web Services, que contém o nome do recurso amazon |
GcpFullResourceName |
string |
Identificador exclusivo específico para dispositivos google Cloud Platform, que contém uma combinação de zona e ID para GCP |
ContainerImageName |
string |
O nome ou ID da imagem do contentor, se existir |
KubernetesNamespace |
string |
O nome do espaço de nomes do Kubernetes |
KubernetesPodName |
string |
O nome do pod do Kubernetes |
KubernetesResource |
string |
Valor do identificador que inclui o espaço de nomes, o tipo de recurso e o nome |
ContainerName |
string |
Nome do contentor no Kubernetes ou noutro ambiente de runtime |
ContainerId |
string |
O identificador do contentor no Kubernetes ou noutro ambiente de runtime |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
ProcessId |
long |
ID do Processo (PID) do processo recentemente criado |
ProcessName |
string |
O nome do processo |
ParentProcessName |
string |
O nome do processo principal |
ParentProcessId |
string |
O ID do processo (PID) do processo principal |
ProcessCommandLine |
string |
Linha de comandos utilizada para criar o novo processo |
ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado |
ProcessCurrentWorkingDirectory |
string |
Diretório de trabalho atual do processo em execução |
AccountName |
string |
Nome de utilizador da conta |
LogonId |
long |
Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo pod ou contentor entre reinícios. |
InitiatingProcessId |
string |
ID do Processo (PID) do processo que iniciou o evento |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
Consultas de exemplo
Pode utilizar esta tabela para obter informações detalhadas sobre os processos invocados num ambiente na cloud. As informações são úteis em cenários de investigação e podem detetar ameaças que podem ser observadas através de detalhes do processo, como processos maliciosos ou assinaturas de linha de comandos.
Também pode investigar alertas de segurança fornecidos pelo Defender para a Cloud que utilizam os dados de eventos do processo da cloud na investigação avançada para compreender os detalhes na árvore de processos para processos que incluem um alerta de segurança.
Processar eventos por argumentos da linha de comandos
Para procurar eventos de processo, incluindo um determinado termo (representado por "x" na consulta abaixo) nos argumentos da linha de comandos:
CloudProcessEvents | where ProcessCommandLine has "x"
Eventos de processo raros para um pod num cluster do Kubernetes
Para investigar eventos de processo invulgares invocados como parte de um pod num cluster do Kubernetes:
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc