包含有关多云托管环境中的进程事件的信息,例如Azure Kubernetes 服务、Amazon Elastic Kubernetes 服务和 Google Kubernetes 引擎,受组织的Microsoft Defender for Cloud保护。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
Yes |
Columns
| 列 |
类型 |
说明 |
| 账户名称 |
字符串 |
帐户的用户名 |
| 操作类型 |
字符串 |
触发事件的活动类型。 有关详细信息,请参阅门户内架构参考。 |
| AdditionalFields |
字符串 |
有关 JSON 数组格式的事件的其他信息 |
| AwsResourceName (AWS资源名称) |
字符串 |
特定于 Amazon Web Services 设备的唯一标识符,其中包含 Amazon 资源名称 |
| AzureResourceId |
字符串 |
与进程关联的Azure资源的唯一标识符 |
| _BilledSize |
real |
记录大小(字节) |
| 容器 ID |
字符串 |
Kubernetes 或其他运行时环境中的容器标识符 |
| 容器镜像名称 |
字符串 |
容器映像名称或 ID(如果存在) |
| 容器名称 |
字符串 |
Kubernetes 或其他运行时环境中的容器名称 |
| 文件名 |
字符串 |
录制操作所应用到的文件的名称 |
| FolderPath |
字符串 |
包含已记录操作应用到的文件的文件夹 |
| GcpFullResourceName |
字符串 |
特定于 Google Cloud Platform 设备的唯一标识符,包含 GCP 的区域和 ID 的组合 |
| InitiatingProcessId |
字符串 |
进程 ID (启动事件的进程的 PID) |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KubernetesNamespace |
字符串 |
Kubernetes 命名空间名称 |
| KubernetesPodName |
字符串 |
Kubernetes Pod 名称 |
| KubernetesResource |
字符串 |
包含命名空间、资源类型和名称的标识符值 |
| 登录ID |
long |
登录会话的标识符。 此标识符在重启之间的同一 Pod 或容器上是唯一的。 |
| ParentProcessId |
字符串 |
父进程的进程 ID (PID) |
| 父进程名称 |
字符串 |
父进程的名称 |
| ProcessCommandLine |
字符串 |
用于创建新进程的命令行 |
| 进程创建时间 |
日期/时间 |
进程的创建日期和时间 |
| ProcessCurrentWorkingDirectory |
字符串 |
正在运行的进程当前工作目录 |
| ProcessId |
long |
进程 ID (新创建的进程的 PID) |
| ProcessName |
字符串 |
进程的名称 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成记录时的日期和时间 (UTC) |
| 类型 |
字符串 |
表的名称 |