CloudProcessEvents (プレビュー)
適用対象:
- Microsoft Defender XDR
高度なハンティング スキーマのCloudProcessEvents
テーブルには、Azure Kubernetes Service、Amazon Elastic Kubernetes Service、Google Kubernetes Engine などのマルチクラウドでホストされている環境でのプロセス イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
列名 | データ型 | 説明 |
---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
AzureResourceId |
string |
プロセスに関連付けられている Azure リソースの一意識別子 |
AwsResourceName |
string |
Amazon リソース名を含む Amazon Web Services デバイスに固有の一意の識別子 |
GcpFullResourceName |
string |
GCP のゾーンと ID の組み合わせを含む、Google Cloud Platform デバイスに固有の一意の識別子 |
ContainerImageName |
string |
Uコンテナー イメージ名または ID (存在する場合) |
KubernetesNamespace |
string |
Kubernetes 名前空間名 |
KubernetesPodName |
string |
Kubernetes ポッド名 |
KubernetesResource |
string |
名前空間、リソースの種類、名前を含む識別子の値 |
ContainerName |
string |
Kubernetes または別のランタイム環境のコンテナーの名前 |
ContainerId |
string |
Kubernetes または別のランタイム環境のコンテナー識別子 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、ポータル内スキーマ リファレンスを参照してください。 |
FileName |
string |
記録されたアクションが適用されたファイルの名前 |
FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー |
ProcessId |
long |
新しく作成されたプロセスのプロセス ID (PID) |
ProcessName |
string |
プロセスの名前 |
ParentProcessName |
string |
親プロセスの名前 |
ParentProcessId |
string |
親プロセスのプロセス ID (PID) |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン |
ProcessCreationTime |
datetime |
プロセスが作成された日付と時刻 |
ProcessCurrentWorkingDirectory |
string |
実行中のプロセスの現在の作業ディレクトリ |
AccountName |
string |
アカウントのユーザー名 |
LogonId |
long |
ログオン セッションの識別子。 この識別子は、再起動の間に同じポッドまたはコンテナーで一意です。 |
InitiatingProcessId |
string |
イベントを開始したプロセスのプロセス ID (PID) |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
サンプル クエリ
この表を使用して、クラウド環境で呼び出されるプロセスに関する詳細情報を取得できます。 この情報はハンティング シナリオで役立ち、悪意のあるプロセスやコマンド ライン署名など、プロセスの詳細を通じて観察できる脅威を検出できます。
また、高度なハンティングでクラウド プロセス イベント データを使用する Defender for Cloud によって提供されるセキュリティ アラートを調査して、セキュリティ アラートを含むプロセスのプロセス ツリーの詳細を理解することもできます。
コマンド ライン引数によるイベントの処理
コマンド ライン引数の特定の用語 (以下のクエリで "x" で表される) を含むプロセス イベントを検索するには:
CloudProcessEvents | where ProcessCommandLine has "x"
Kuberentes クラスター内のポッドのまれなプロセス イベント
Kubernetes クラスター内のポッドの一部として呼び出される異常なプロセス イベントを調査するには、
CloudProcessEvents | where AzureResourceId = "x" and KubernetesNamespace = "y" and KubernetesPodName = "z" | summarize count() by ProcessName | top 10 by count_ asc