Contenido
- Análisis forense de contenedores
- Buscar datos forenses sobre contenedores
- Información detallada sobre un proceso en ejecución
- Información detallada sobre operaciones en archivos
- Información detallada sobre el tráfico de red
- Información detallada sobre objetos maliciosos detectados
- Restricciones para directivas referentes a la ejecución
- Análisis forense de contenedores considerando eventos próximos en el tiempo
Análisis forense de contenedores
En la sección Investigation → Container forensic, Kaspersky Container Security le permite organizar los eventos que hayan ocurrido en los contenedores para un siguiente análisis. La información sobre estos eventos se presentará en formato de tabla.
Podrá ver esta sección si tiene los derechos para visualizar eventos.
En la tabla, verá la siguiente información sobre los eventos:
- Fecha y hora del evento
- Tipo de evento: Process, File operations, Network traffic o File Threat Protection
- Información adicional, exhibida de la siguiente forma:
- Para la ejecución de un proceso, se indica el comando ejecutado en el contenedor.
- Para operaciones en archivos, se indica el tipo de operación (por ejemplo, escritura o eliminación).
- Para el tráfico de red, se indica el emisor y el destinatario del tráfico, es decir, el nombre del pod o dominio del emisor, los puertos y las direcciones IP.
- Para eventos generados por el componente Protección frente a amenazas en archivos, se indica el nombre del malware detectado.
- Modo de la directiva referente a la ejecución: Audit o Enforce
- Nombre y ruta completa del archivo ejecutable en el contenedor que se iniciará (en el caso de operaciones en archivos, se muestra la ruta al archivo como nombre y ubicación del archivo o directorio en el sistema de archivos del contenedor donde se realizó la acción)
Con los filtros, puede modificar la visualización de la información en la tabla de la siguiente manera:
- Por tipo de evento:
- Procesos en ejecución
- Operaciones en archivos
- Tráfico de red
- Malware detectado por el componente Protección frente a amenazas en archivos
- Por fecha del evento (debe especificar la fecha y la hora del evento). De forma predeterminada, la solución muestra los eventos del día actual.
- Por ruta o datos del evento (debe introducir los datos o la ruta en el campo de búsqueda).
Si hace clic en la fila del evento en la tabla, podrá expandir la barra lateral que contiene información detallada sobre el evento elegido.
Inicio de páginaBuscar datos forenses sobre contenedores
En Investigation → Container forensic, puede buscar eventos que ocurrieron en contenedores.
Para buscar eventos de seguridad que ocurrieron en el contenedor:
En el campo Search by event data and path, introduzca la fecha del evento que busca.
Según el tipo de evento, deberá especificar los siguientes datos:
- ID o nombre del contenedor (para todos los tipos de eventos)
- Ruta a los archivos (para los eventos Process, File operations o File Threat Protection)
- Dirección IP o nombre de dominio (para el evento Network traffic)
En la solución, verá los resultados de la búsqueda en la tabla de eventos de seguridad, en la sección Investigation → Container forensic.
Inicio de páginaInformación detallada sobre un proceso en ejecución
Para ver información detallada sobre un proceso en ejecución:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento Process en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se inició el proceso
- Comando usado para iniciar el proceso, incluidos los argumentos
- Ruta al archivo o directorio
- Modo de la directiva referente a la ejecución
- En la sección Location details, verá la siguiente información sobre el contenedor donde se inició el proceso:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, verá los siguientes datos sobre el proceso en ejecución:
- ID del proceso principal (PPID)
- ID del proceso (PID) y un nuevo PID
- ID del usuario vigente (EUID)
- ID del grupo vigente (EGID)
- ID del grupo (GID)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor que tienen los procesos en ejecución. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre operaciones en archivos
Para ver información detallada sobre operaciones en archivos, realice lo siguiente:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento File operations en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se realizó la operación en el archivo
- Tipo de operación en archivo (por ejemplo, Create o Delete)
Ejemplos de operaciones en archivos en Kaspersky Container Security
- Ruta al archivo o directorio
- Nueva ruta al archivo o directorio (solo mostrada para la operación Rename or move)
- Nuevos permisos (solo mostrados para la operación Change access permissions)
- Modo de la directiva referente a la ejecución
- Código del error
- En el bloque Location details, verá la siguiente información sobre el contenedor donde se hallaron las operaciones en archivos:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, encontrará los siguientes datos sobre el proceso donde se hallaron las operaciones en archivos:
- ID del proceso principal (PPID)
- ID del proceso (PID) y un nuevo PID
- ID del usuario (UID)
- ID del grupo
- ID del usuario vigente (EUID)
- ID del grupo vigente (EGID)
- UID del nuevo propietario (solo mostrado para la operación Change ownership)
- GID del nuevo propietario (solo mostrado para la operación Change ownership)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectaron las operaciones en archivos. Para cada directiva, en la solución se muestra el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre el tráfico de red
Para ver información detallada sobre operaciones en archivos, realice lo siguiente:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento Network traffic en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se realizó la operación en el archivo
- Modo de la directiva referente a la ejecución
- Tipo de tráfico: conexión de entrada o salida
- En la sección Source, verá la siguiente información sobre la conexión:
- Nombre del pod o dominio del emisor en la conexión. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Dirección IP del emisor del tráfico de red.
- Puerto usado para la conexión.
- Nombre del pod o dominio del emisor en la conexión. Puede ver información detallada del pod si hace clic en el nombre del pod.
- En la sección Destination, verá la siguiente información sobre la conexión:
- Nombre del pod o dominio del destinatario del tráfico de red. Puede ver información detallada del pod si hace clic en el nombre del pod.
- Dirección IP del destinatario del tráfico de red.
- Puerto usado para la conexión
- En la sección Location details, verá la siguiente información sobre el contenedor donde se detectó tráfico de red:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectaron las conexiones de red. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre objetos maliciosos detectados
Para ver información detallada sobre objetos maliciosos detectados:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento File Threat Protection en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se detectó el malware
- Nombre del malware
- Tipo de malware detectado (por ejemplo, un virus)
- Nivel de gravedad del malware
- Sumas de verificación del archivo en los formatos MD5 o SHA286
- Tipo de evento (por ejemplo, amenaza detectada)
- Ruta al archivo o directorio
- ID del propietario
- ID del objeto
- Modo de la directiva referente a la ejecución
- Modo interceptor de archivos (el interceptor de archivos se ejecuta sin considerar el modo de la directiva referente a la ejecución)
- En la sección Location details, verá la siguiente información sobre el contenedor donde se detectó el malware:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, verá la siguiente información sobre el proceso donde se detectó el malware:
- ID del proceso (PID) y un nuevo PID
- ID del usuario vigente (EUID)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectó el malware. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Restricciones para directivas referentes a la ejecución
Para cada tipo de evento, Kaspersky Container Security muestra una lista de las directivas referentes a la ejecución que pueden aplicarse al contenedor donde se halló el evento de seguridad. La lista de directivas está disponible bajo las siguientes condiciones:
- Si el usuario tiene los derechos para gestionar las directivas referentes a la ejecución y tiene el mismo rol que el autor de la directiva, el usuario tendrá acceso a toda la información sobre las directivas y también podrá modificar la configuración de la directiva referente a la ejecución.
- Si el usuario tiene los derechos para ver las directivas referentes a la ejecución, el usuario tendrá acceso a toda la información sobre las directivas.
- Si el usuario no tiene los derechos para ver las directivas referentes a la ejecución, el usuario no podrá ver una descripción detallada de la directiva referente a la ejecución. El usuario solo tendrá acceso a la información sobre la lista de directivas referentes a la ejecución pertinentes en la pestaña Information, en la barra lateral que contiene una descripción detallada del evento de seguridad.
Análisis forense de contenedores considerando eventos próximos en el tiempo
Al investigar un evento, debe prestar atención y analizar los eventos que ocurrieron antes y después del evento en cuestión.
Para ver los eventos que ocurrieron antes y después del evento en cuestión:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento en la tabla.
- Vaya a la pestaña Adjacent events.
De forma predeterminada, la solución muestra una tabla que contiene la siguiente información:
- El evento examinado
- 3 eventos que ocurrieron antes del evento en cuestión
- 46 eventos que ocurrieron después del evento en cuestión
Para cada evento, también podrá visualizar los eventos que ocurrieron en un rango de 90 días. Por ejemplo, si está viendo un evento del día de hoy, podrá abrir los eventos de los 90 días anteriores. Si un evento ocurrió hace 45 días, podrá abrir los eventos que ocurrieron hasta 45 días antes del evento en cuestión.
Para cada evento en la tabla, la solución muestra la siguiente información:
- Fecha y hora del evento
- Tipo de evento
- Información adicional del evento
- Ruta completa
Si hace clic en la fila del evento en la tabla, podrá abrir la barra lateral que contiene información detallada sobre el evento elegido.
También puede descargar información sobre todos los eventos con una descripción detallada de cada uno en formato de texto.
Inicio de página