Исследование событий безопасности

Для исследования произошедших в контейнерах событий и обнаруженных в образах уязвимостей Kaspersky Security для контейнеров предоставляет возможность выполнять следующие задачи:

• Анализ событий контейнеров. Решение позволяет определять события в контейнерах по запущенным процессам, файловым операциям, сетевому трафику и обнаруженному вредоносному ПО.
• Анализ уязвимостей. Решение формирует список уязвимостей, которые были обнаружены при статическом анализе образов реестров, сканирования образов в среде выполнения и объектов CI/CD.

Анализ событий контейнеров

В разделе Исследование → События контейнеров Kaspersky Security для контейнеров дает возможность систематизировать произошедшие в контейнерах события для последующего анализа. Информация о событиях представлена в виде таблицы.

Раздел доступен при наличии прав на просмотр событий.

В таблице решение показывает следующую информацию о событиях:

• Дата и время наступления события.
• Тип события – Процесс, Файловые операции, Сетевой трафик или Защита от файловых угроз.
• Дополнительные данные о событии, которые отображаются следующим образом:
  • для запуска процессов показывается выполненная в контейнере команда;
  • для файловых операций приводится тип операции (например, запись или удаление);
  • для сетевого трафика отображается источник и получатель трафика, а именно имя пода или домена источника, порты и IP-адреса;
  • для событий, произошедших в рамках работы компонента Защита от файловых угроз, показывается название найденного вредоносного ПО.
• Режим примененной политики среды выполнения – Аудит или Блокирование.
• Имя запускаемого исполняемого файла контейнера с полным путем расположения. Для файловых операций путь к файлу отображается как имя и расположение файла или директории в файловой системе контейнера, в отношении которого были проведены какие-либо действия.

С помощью фильтров вы можете настроить отображение информации в таблице следующим образом:

• По типам событий:
  • по запущенным процессам;
  • по файловым операциям;
  • по сетевому трафику;
  • по обнаруженному в рамках работы компонента Защита от файловых угроз вредоносному ПО.
• По времени наступления события (требуется указать дату и время события). По умолчанию решение показывает события за текущий день.
• По данным о событии или пути (требуется ввести данные или путь в поле поиска).

Нажав на строку события в таблице, вы можете раскрыть боковую панель с подробной информацией о выбранном событии.

Поиск событий контейнеров

В разделе Исследование → События контейнеров вы можете искать интересующие вас события, которые произошли в контейнерах.

Чтобы найти произошедшие в контейнере события безопасности,

В поле Поиск по информации о событии и пути укажите данные для поиска события.

В зависимости от типа события для поиска требуется указать следующее:

• Идентификатор контейнера или имя контейнера (для всех типов событий).
• Путь до файлов (для событий типа Процесс, Файловые операции или Защита от файловых угроз).
• IP-адрес или доменное имя (для событий типа Сетевой трафик).

Решение отобразит результаты поиска в таблице событий безопасности в разделе Исследование → События контейнеров.

Подробная информация о запущенном процессе

Чтобы открыть подробную информацию о запущенном процессе:

1. Нажмите на любое место в строке события Процесс в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время запуска процесса.
  • Запущенная команда, включая аргументы.
  • Путь к файлу или директории.
  • Режим примененной политики среды выполнения.
• В блоке Местоположение приводится следующая информация о контейнере, где был запущен процесс:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о запущенном процессе:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • Идентификатор группы пользователей (англ. Group Identifier, GID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с запущенным процессом. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о файловых операциях

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Файловые операции в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Тип файловой операции (например, Создание или Удаление).

    Примеры файловых операций в Kaspersky Security для контейнеров

    Kaspersky Security для контейнеров выявляет следующие типы файловых операций:

    • Открытие.
    • Создание.
    • Чтение.
    • Запись.
    • Переименование или перемещение.
    • Удаление.
    • Изменение владельца.
    • Изменение прав доступа.
  • Путь к файлу или директории.
  • Новый путь к файлу или директории (отображается только для файловой операции типа Переименование или перемещение).
  • Новые права (отображается только для файловой операции типа Изменение прав доступа).
  • Режим примененной политики среды выполнения.
  • Код ошибки.
• В блоке Местоположение приводится следующая информация о контейнере, где были найдены файловые операции:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором были найдены файловые операции:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Идентификатор пользователя (англ. User Identifier, UID).
  • Идентификатор группы (англ. Group Identifier, GID).
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • UID нового владельца (отображается только для файловой операции типа Изменение владельца).
  • GID нового владельца (отображается только для файловой операции типа Изменение владельца).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с обнаруженными файловыми операциями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о сетевом трафике

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Сетевой трафик в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Режим примененной политики среды выполнения.
  • Тип трафика: входящее или исходящее соединение.
• В блоке Источник приводится следующая информация о соединении:
  • Имя пода или домен источника соединения. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • IP-адрес источника сетевого трафика.
  • Используемый для соединения порт.
• В блоке Точка назначения представлены следующие данные о соединении:
  • Имя пода или домен получателя сетевого трафика. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • IP-адрес получателя сетевого трафика.
  • Используемый для соединения порт.
• В блоке Местоположение приводится следующая информация о контейнере, где был обнаружен сетевой трафик:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденными сетевыми соединениями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о выявленных вредоносных объектах

Чтобы открыть подробную информацию о выявленных вредоносных объектах:

1. Нажмите на любое место в строке события Защита от файловых угроз в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выявления вредоносного ПО.
  • Название вредоносного ПО.
  • Тип обнаруженного вредоносного ПО (например, вирусное ПО).
  • Уровень критичности вредоносного ПО.
  • Контрольные суммы файла в форматах MD5 и SHA286.
  • Тип события (например, выявленная угроза).
  • Путь к файлу или директории.
  • Идентификатор владельца.
  • Идентификатор объекта.
  • Режим примененной политики среды выполнения.
  • Режим работы файлового перехватчика (работает вне зависимости от режима примененной политики среды выполнения).
• В блоке Местоположение приводится следующая информация о контейнере, где было найдено вредоносное ПО:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором было выявлено вредоносное ПО:
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденным вредоносным ПО. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Ограничения в отношении политик среды выполнения

Для каждого типа событий Kaspersky Security для контейнеров показывает список всех политик среды выполнения, которые могут применяться к контейнеру, где найдено анализируемое событие безопасности. Доступ к списку политик предоставляется с учетом следующих ограничений:

• Если пользователю предоставлены права на управление политиками среды выполнения и назначена такая же роль, как у автора политики, ему доступна вся информация по политикам, а также есть возможность изменять параметры политик среды выполнения.
• Если пользователю предоставлены права на просмотр политик среды выполнения, ему доступна для просмотра вся информация по политикам.
• Если пользователю не предоставлены права на просмотр политик среды выполнения, у него нет возможности открыть подробное описание политики среды выполнения. Пользователю доступна только информация по списку примененных политик среды выполнения на вкладке Информация в боковой панели с подробным описанием события безопасности.

Исследование событий контейнеров с учетом соседних событий

При рассмотрении события следует обращать внимание и анализировать те события, которые произошли до и после интересующего вас события.

Чтобы посмотреть события, которые произошли до и после интересующего вас события:

1. Нажмите на любое место в строке события в таблице событий безопасности в разделе Исследование → События контейнеров.
2. Перейдите на вкладку Соседние события.

По умолчанию решение в виде таблицы показывает следующее:

• Рассматриваемое событие.
• 3 события, произошедшие до рассматриваемого события.
• 46 событий, произошедших после рассматриваемого события.

Для каждого события вы также можете посмотреть события в диапазоне 90 дней. Например, если вы просматриваете событие за текущий день, то можете открыть события за прошедшие 90 дней. Если интересующее вас событие произошло 45 дней назад, вы можете открыть события, произошедшие за 45 дней до рассматриваемого события.

Для каждого события в таблице решение показывает следующую информацию:

• Дата и время наступления события.
• Тип события.
• Дополнительные данные о событии.
• Полный путь расположения.

Вы можете открыть боковую панель с подробной информацией о выбранном событии, нажав на строку события в таблице.

Вы также можете загрузить информацию обо всех событиях с подробным описанием каждого из них в текстовом формате.

Анализ выявленных уязвимостей

Kaspersky Security для контейнеров выявляет уязвимости в рамках статического анализа образов реестров, сканирования образов в среде выполнения и объектов CI/CD. Для целей анализа полный перечень обнаруженных уязвимостей представлен в виде таблицы в разделе Исследование → Уязвимости.

В таблице для каждой выявленной уязвимости представлено следующее:

• В столбце Уязвимость указывается идентификатор записи об уязвимости. Нажав на идентификатор, вы можете открыть страницу с подробной информацией о выявленной в образе уязвимости.
• В столбце Уровень критичности отображается уровень критичности обнаруженной уязвимости и наличие в ней эксплойта.
• В столбце Ресурс указывается наименование ресурса, где обнаружена уязвимость.
• В столбце Исправлено производителем отображается наличие исправления уязвимости от производителя. Решение показывает номер версии с исправлением или отмечает отсутствие исправления.
• В столбце Артефакты показывается количество артефактов (образы в реестрах и среде выполнения, а также объекты CI/CD), которые проверяет Kaspersky Security для контейнеров.

  Решение отображает количество уникальных образов по imagename:tag для выбранной области применения. При определении количества артефактов применяются следующие правила:

  • Если образ по imagename:tag попадает в ресурсы области применения по ресурсам и по кластерам, то такой образ учитывается один раз.
  • Если у пользователя есть доступ к ресурсам области применения по кластерам, но нет доступа к ресурсам по реестрам в этой области применения, учитывается только количество образов в среде выполнения.
  • Если в фильтре областей применения указывается значение Все, отображается общее количество артефактов для всех областей применения.
  • Артефакты CI/CD доступны для учета только при работе с глобальной областью применения.
• В столбце Рабочие нагрузки отображается количество подов, содержащих образы с уязвимостью.

С помощью фильтров вы можете выбрать уязвимости для отображения в таблице в разделе Исследование → Уязвимости.

Выбор уязвимостей для отображения

Чтобы выбрать уязвимости для отображения в таблице с помощью кнопок фильтров, расположенных над таблицей:

1. Щелкните мышью на кнопках фильтра со значениями, которые нужно отображать. Уязвимости можно выбрать по следующим критериям:
   • Уязвимости по месту обнаружения:
     • Образ в реестрах.
     • Образ, развернутый в среде выполнения.
     • Объект CI/CD.
   • Уязвимости по уровню критичности:
     • Незначительный.
     • Низкий.
     • Средний.
     • Высокий.
     • Критический.

   По умолчанию выбраны все места обнаружения и уровни критичности уязвимостей.

2. При необходимости с помощью переключателя Выключено / Включено активируйте или отключите отображение только уязвимостей с доступными эксплойтами. По умолчанию переключатель установлен на значение Выключено.
3. При необходимости в поле поиска укажите идентификатор уязвимости или наименование ресурса.

Чтобы выбрать уязвимости для отображения в таблице с помощью фильтра:

1. Нажмите на значок фильтра () над таблицей со списком уязвимостей.
2. В открывшейся боковой панели с помощью переключателя Выключено / Включено активируйте или отключите отображение только уязвимостей с доступными эксплойтами. По умолчанию переключатель установлен на значение Выключено.
3. Для определения уровня критичности выберите один из предложенных вариантов: Уровень критичности или Оценка, а затем выполните следующие действия:
   • Если вы выбрали Уровень критичности, выберите кнопки со значениями, которые нужно отображать. Для выбора доступны следующие значения:
     • Незначительный.
     • Низкий.
     • Средний.
     • Высокий.
     • Критический.

     По умолчанию выбраны все уровни критичности уязвимостей.

   • Если вы выбрали Оценка, с помощью ползунка определите оценку уязвимости. Доступны значения от 0 до 10. Решение будет отображать уязвимости, соответствующие установленной оценке уязвимости.
4. Для параметра Исправлено производителем укажите наличие исправления производителя: Все, Доступно или Недоступно. По умолчанию указано значение Все.
5. Для параметра Принятие риска укажите наличие факта принятия риска для выбранной уязвимости в указанном ресурсе: Все, Принято или Не принято. По умолчанию указано значение Все.
6. Для параметра Место обнаружения укажите место обнаружения уязвимости:
   • Образ в реестрах.
   • Образ, развернутый в среде выполнения.
   • Объект CI/CD.

   По умолчанию выбраны все места обнаружения уязвимостей.

Ограничения, связанные с областями применения

Доступ к списку обнаруженных уязвимостей осуществляется по областям применения, назначенным пользователю следующим образом.

• Если пользователю назначена глобальная область применения, ему доступна вся информация по выявленным уязвимостям, в том числе объектам CI/CD.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по реестрам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки равно 0.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по кластерам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки больше 0.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по реестрам и по кластерам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки больше или равно 0.