Detección que correlaciona acciones de Azure Run Command con ejecuciones de procesos en el endpoint en el mismo host dentro de una ventana de dos minutos para identificar abuso de ejecución remota de scripts como SYSTEM/ROOT. El rule vincula eventos de Azure Activity Logs (RUNCOMMAND) con inicios de proceso locales, basándose en la coincidencia de nombre de host y diferencias de tiempo entre la acción Run Command y la ejecución del proceso (0–120 segundos). Utiliza logs de Azure y telemetría de procesos del endpoint para exponer cargas útiles en la guest OS y señales de compromiso. Incluye orientación de investigación y remediación, y presenta señales como usuario, principal_id de identidad de Azure, IP de origen, ASN, geo, suscripción y ruta del proceso, junto con los comandos relevantes.