Анализ событий контейнеров

В разделе Исследование → События контейнеров Kaspersky Security для контейнеров дает возможность систематизировать произошедшие в контейнерах события для последующего анализа. Информация о событиях представлена в виде таблицы.

Раздел доступен при наличии прав на просмотр событий.

В таблице решение показывает следующую информацию о событиях:

• Дата и время наступления события.
• Тип события – Процесс, Файловые операции, Сетевой трафик или Защита от файловых угроз.
• Дополнительные данные о событии, которые отображаются следующим образом:
  • для запуска процессов показывается выполненная в контейнере команда;
  • для файловых операций приводится тип операции (например, запись или удаление);
  • для сетевого трафика отображается источник и получатель трафика, а именно имя пода или домена источника, порты и IP-адреса;
  • для событий, произошедших в рамках работы компонента Защита от файловых угроз, показывается название найденного вредоносного ПО.
• Режим примененной политики среды выполнения – Аудит или Блокирование.
• Имя запускаемого исполняемого файла контейнера с полным путем расположения. Для файловых операций путь к файлу отображается как имя и расположение файла или директории в файловой системе контейнера, в отношении которого были проведены какие-либо действия.

С помощью фильтров вы можете настроить отображение информации в таблице следующим образом:

• По типам событий:
  • по запущенным процессам;
  • по файловым операциям;
  • по сетевому трафику;
  • по обнаруженному в рамках работы компонента Защита от файловых угроз вредоносному ПО.
• По времени наступления события (требуется указать дату и время события). По умолчанию решение показывает события за текущий день.
• По данным о событии или пути (требуется ввести данные или путь в поле поиска).

Нажав на строку события в таблице, вы можете раскрыть боковую панель с подробной информацией о выбранном событии.

Поиск событий контейнеров

В разделе Исследование → События контейнеров вы можете искать интересующие вас события, которые произошли в контейнерах.

Чтобы найти произошедшие в контейнере события безопасности,

В поле Поиск по информации о событии и пути укажите данные для поиска события.

В зависимости от типа события для поиска требуется указать следующее:

• Идентификатор контейнера или имя контейнера (для всех типов событий).
• Путь до файлов (для событий типа Процесс, Файловые операции или Защита от файловых угроз).
• IP-адрес или доменное имя (для событий типа Сетевой трафик).

Решение отобразит результаты поиска в таблице событий безопасности в разделе Исследование → События контейнеров.

Подробная информация о запущенном процессе

Чтобы открыть подробную информацию о запущенном процессе:

1. Нажмите на любое место в строке события Процесс в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время запуска процесса.
  • Запущенная команда, включая аргументы.
  • Путь к файлу или директории.
  • Режим примененной политики среды выполнения.
• В блоке Местоположение приводится следующая информация о контейнере, где был запущен процесс:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о запущенном процессе:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • Идентификатор группы пользователей (англ. Group Identifier, GID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с запущенным процессом. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о файловых операциях

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Файловые операции в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Тип файловой операции (например, Создание или Удаление).

    Примеры файловых операций в Kaspersky Security для контейнеров

    Kaspersky Security для контейнеров выявляет следующие типы файловых операций:

    • Открытие.
    • Создание.
    • Чтение.
    • Запись.
    • Переименование или перемещение.
    • Удаление.
    • Изменение владельца.
    • Изменение прав доступа.
  • Путь к файлу или директории.
  • Новый путь к файлу или директории (отображается только для файловой операции типа Переименование или перемещение).
  • Новые права (отображается только для файловой операции типа Изменение прав доступа).
  • Режим примененной политики среды выполнения.
  • Код ошибки.
• В блоке Местоположение приводится следующая информация о контейнере, где были найдены файловые операции:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором были найдены файловые операции:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Идентификатор пользователя (англ. User Identifier, UID).
  • Идентификатор группы (англ. Group Identifier, GID).
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • UID нового владельца (отображается только для файловой операции типа Изменение владельца).
  • GID нового владельца (отображается только для файловой операции типа Изменение владельца).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с обнаруженными файловыми операциями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о сетевом трафике

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Сетевой трафик в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Режим примененной политики среды выполнения.
  • Тип трафика: входящее или исходящее соединение.
• В блоке Источник приводится следующая информация о соединении:
  • Имя пода или домен источника соединения. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • IP-адрес источника сетевого трафика.
  • Используемый для соединения порт.
• В блоке Точка назначения представлены следующие данные о соединении:
  • Имя пода или домен получателя сетевого трафика. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • IP-адрес получателя сетевого трафика.
  • Используемый для соединения порт.
• В блоке Местоположение приводится следующая информация о контейнере, где был обнаружен сетевой трафик:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденными сетевыми соединениями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Подробная информация о выявленных вредоносных объектах

Чтобы открыть подробную информацию о выявленных вредоносных объектах:

1. Нажмите на любое место в строке события Защита от файловых угроз в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выявления вредоносного ПО.
  • Название вредоносного ПО.
  • Тип обнаруженного вредоносного ПО (например, вирусное ПО).
  • Уровень критичности вредоносного ПО.
  • Контрольные суммы файла в форматах MD5 и SHA286.
  • Тип события (например, выявленная угроза).
  • Путь к файлу или директории.
  • Идентификатор владельца.
  • Идентификатор объекта.
  • Режим примененной политики среды выполнения.
  • Режим работы файлового перехватчика (работает вне зависимости от режима примененной политики среды выполнения).
• В блоке Местоположение приводится следующая информация о контейнере, где было найдено вредоносное ПО:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором было выявлено вредоносное ПО:
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденным вредоносным ПО. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

Ограничения в отношении политик среды выполнения

Для каждого типа событий Kaspersky Security для контейнеров показывает список всех политик среды выполнения, которые могут применяться к контейнеру, где найдено анализируемое событие безопасности. Доступ к списку политик предоставляется с учетом следующих ограничений:

• Если пользователю предоставлены права на управление политиками среды выполнения и назначена такая же роль, как у автора политики, ему доступна вся информация по политикам, а также есть возможность изменять параметры политик среды выполнения.
• Если пользователю предоставлены права на просмотр политик среды выполнения, ему доступна для просмотра вся информация по политикам.
• Если пользователю не предоставлены права на просмотр политик среды выполнения, у него нет возможности открыть подробное описание политики среды выполнения. Пользователю доступна только информация по списку примененных политик среды выполнения на вкладке Информация в боковой панели с подробным описанием события безопасности.

Исследование событий контейнеров с учетом соседних событий

При рассмотрении события следует обращать внимание и анализировать те события, которые произошли до и после интересующего вас события.

Чтобы посмотреть события, которые произошли до и после интересующего вас события:

1. Нажмите на любое место в строке события в таблице событий безопасности в разделе Исследование → События контейнеров.
2. Перейдите на вкладку Соседние события.

По умолчанию решение в виде таблицы показывает следующее:

• Рассматриваемое событие.
• 3 события, произошедшие до рассматриваемого события.
• 46 событий, произошедших после рассматриваемого события.

Для каждого события вы также можете посмотреть события в диапазоне 90 дней. Например, если вы просматриваете событие за текущий день, то можете открыть события за прошедшие 90 дней. Если интересующее вас событие произошло 45 дней назад, вы можете открыть события, произошедшие за 45 дней до рассматриваемого события.

Для каждого события в таблице решение показывает следующую информацию:

• Дата и время наступления события.
• Тип события.
• Дополнительные данные о событии.
• Полный путь расположения.

Вы можете открыть боковую панель с подробной информацией о выбранном событии, нажав на строку события в таблице.

Вы также можете загрузить информацию обо всех событиях с подробным описанием каждого из них в текстовом формате.