卡巴斯基容器安全
2.0
简体中文

目录

分析容器取证

调查容器取证部分,卡巴斯基容器安全可让您组织在容器中发生的事件以供进一步分析。有关事件的信息以表格的形式呈现。

如果您有权查看事件,则此部分可用。

在表中,解决方案显示有关事件的以下信息:

  • 事件的日期和时间。
  • 事件类型 — 进程文件操作网络流量文件威胁防护
  • 有关事件的其他信息,以以下方式显示:
    • 对于进程启动,显示在容器中执行的命令
    • 对于文件操作,指示操作类型(例如,写入或删除)
    • 对于网络流量,显示流量的来源和目的地,即来源的 Pod 或域的名称、端口和 IP 地址
    • 对于文件威胁防护组件生成的事件,显示检测到的恶意软件的名称。
  • 运行时策略模式 — 审计强制
  • 要启动的容器可执行文件的完整路径和名称。对于文件操作,文件路径显示为执行任何操作的容器的文件系统中的文件或目录的名称和位置。

通过使用筛选器,您可以自定义表中信息的显示,如下所示:

  • 按事件类型:
    • 按运行进程
    • 按文件操作
    • 按网络流量
    • 按由文件威胁防护组件检测到的恶意软件
  • 按事件的时间(您必须指定事件的日期和时间)。解决方案默认显示当天的事件。
  • 按事件数据或路径(您需要在搜索字段中输入数据或路径)。

通过单击表中的事件行,您可以展开侧边栏以查看有关所选事件的详细信息。

页首
[Topic 291028]

搜索容器取证

调查容器取证下面,您可以搜索在容器中发生的事件。

要查找发生在容器中的安全事件:

按事件数据和路径搜索字段中,输入搜索的事件数据。

根据事件类型,您必须指定以下内容:

  • 容器 ID 或者容器名称(适用于所有事件类型)。
  • 文件路径(适用于进程文件操作或者文件威胁防护事件)。
  • IP 地址或者域名(适用于网络流量类型的事件)。

解决方案在调查容器取证部分的安全事件表中显示搜索结果。

页首
[Topic 293485]

关于正在运行的进程的详细信息

要打开有关正在运行的进程的详细信息:

  1. 调查容器取证部分的安全事件表中单击进程事件行中的任意地方。
  2. 在打开的侧栏中,转到“信息”选项卡。

卡巴斯基容器安全显示以下信息:

  • 常规信息部分包含常规信息:
    • 进程开始的日期和时间。
    • 用于启动进程的命令,包括参数。
    • 文件或目录的路径。
    • 运行时策略模式。
  • 位置详细信息部分包含有关在其中启动该进程的容器的以下信息:
    • 容器 ID 和名称。
    • 镜像名称和校验和。您可以通过单击相关镜像的名称打开包含镜像扫描结果的页面。

      要查看镜像扫描的结果,您需要有查看镜像扫描结果的权限。您还需要访问集群的范围。

    • Pod 名称。您可以通过单击 Pod 的名称显示 Pod详情。

      查看和管理集群资源需要相应权限。您还需要访问相应的范围

    • 命名空间名称。
    • 集群名称。
    • 主机名和 IP 地址。
  • 进程部分包含有关正在运行的进程的以下数据:
    • 父进程 ID (PPID)
    • 进程 ID (PID) 和新的 PID
    • 有效用户 ID (EUID)
    • 有效组 ID (EGID)
    • 组 ID (GID)
  • 影响容器部分的运行时策略下面的表格显示可以应用于包含正在运行的进程的容器的所有运行时策略列表。对于每项策略,该解决方案显示该策略的名称及其模式。

    您可以通过单击策略名称打开包含所应用策略的详细描述的侧边栏。策略信息的显示方式与在图表上查看应用程序程序信息时所呈现的应用策略信息的显示方式类似。当查看策略信息时限制应用。

页首
[Topic 292170]

关于文件操作的详细信息

要打开有关文件操作的详细信息,

  1. 调查容器取证部分的安全事件表中单击文件操作事件行中的任意地方。
  2. 在打开的侧栏中,转到“信息”选项卡。

卡巴斯基容器安全显示以下信息:

  • 常规信息部分包含常规信息:
    • 执行文件操作的日期和时间。
    • 文件操作的类型(例如,创建删除)。

      卡巴斯基容器安全中的文件操作示例

      卡巴斯基容器安全检测以下类型的文件操作:

      • 打开
      • 创建
      • 读取
      • 写入
      • 重命名或移动
      • 删除
      • 变更所有权
      • 更改访问权限
    • 文件或目录的路径。
    • 文件或目录的新路径(仅显示重命名或移动文件操作类型)。
    • 新权限(仅针对更改访问权限操作类型显示)。
    • 运行时策略模式。
    • 错误代码。
  • 位置详细信息块提供有关在其中发现文件操作的容器的以下信息:
    • 容器 ID 和名称。
    • 镜像名称和校验和。您可以通过单击相关镜像的名称打开包含镜像扫描结果的页面。

      要查看镜像扫描的结果,您需要有查看镜像扫描结果的权限。您还需要访问集群的范围。

    • Pod 名称。您可以通过单击 Pod 的名称显示 Pod详情。

      查看和管理集群资源需要相应权限。您还需要访问相应的范围

    • 命名空间名称。
    • 集群名称。
    • 主机名和 IP 地址。
  • 进程部分包含有关在其中发现文件操作的进程的以下数据:
    • 父进程 ID (PPID)
    • 进程 ID (PID) 和新的 PID
    • 用户 ID (UID)
    • 组 ID (GID)
    • 有效用户 ID (EUID)
    • 有效组 ID (EGID)
    • 新所有者的 UID(仅针对更改所有权文件操作类型显示)。
    • 新所有者的 GID(仅针对更改所有权文件操作类型显示)。
  • 影响容器部分的运行时策略下面的表格显示可以应用于在其中检测到文件操作的容器的所有运行时策略列表。对于每项策略,该解决方案显示该策略的名称及其模式。

    您可以通过单击策略名称打开包含所应用策略的详细描述的侧边栏。策略信息的显示方式与在图表上查看应用程序程序信息时所呈现的应用策略信息的显示方式类似。当查看策略信息时限制应用。

页首
[Topic 292232]

关于网络流量的详细信息

要打开有关文件操作的详细信息,

  1. 调查容器取证部分的安全事件表中单击网络流量事件行中的任意地方。
  2. 在打开的侧栏中,转到“信息”选项卡。

卡巴斯基容器安全显示以下信息:

  • 常规信息部分包含常规信息:
    • 执行文件操作的日期和时间。
    • 运行时策略模式。
    • 流量类型:Ingress 或 Egress 连接。
  • 部分包含有关连接的以下信息:
    • 连接源的 Pod 名称或域。您可以通过单击 Pod 的名称显示 Pod详情。

      查看和管理集群资源需要相应权限。您还需要访问相应的范围

    • 网络流量来源的 IP 地址。
    • 用于连接的端口。
  • 目的地部分包含有关连接的以下信息:
    • 网络流量接收者的 Pod 名称或域。您可以通过单击 Pod 的名称显示 Pod详情。
    • 网络流量接收者的 IP 地址。
    • 用于连接的端口。
  • 位置详细信息部分提供有关在其中检测到网络流量的容器的以下信息:
    • 容器 ID 和名称。
    • 镜像名称和校验和。您可以通过单击相关镜像的名称打开包含镜像扫描结果的页面。

      要查看镜像扫描的结果,您需要有查看镜像扫描结果的权限。您还需要访问集群的范围。

    • Pod 名称。您可以通过单击 Pod 的名称显示 Pod详情。
    • 命名空间名称。
    • 集群名称。
    • 主机名和 IP 地址。
  • 影响容器部分的运行时策略下面的表格显示可以应用于在其中检测到网络连接的容器的所有运行时策略列表。对于每项策略,该解决方案显示该策略的名称及其模式。

    您可以通过单击策略名称打开包含所应用策略的详细描述的侧边栏。策略信息的显示方式与在图表上查看应用程序程序信息时所呈现的应用策略信息的显示方式类似。当查看策略信息时限制应用。

页首
[Topic 292235]

关于检测到的恶意对象的详细信息

要打开有关检测到的恶意的对象的详细信息:

  1. 调查容器取证部分的安全事件表中单击文件威胁防护事件行中的任意地方。
  2. 在打开的侧栏中,转到“信息”选项卡。

卡巴斯基容器安全显示以下信息:

  • 常规信息部分包含常规信息:
    • 检测到恶意软件的日期和时间。
    • 恶意软件名称。
    • 检测到的恶意软件类型(例如病毒软件)。
    • 恶意软件的严重级别
    • MD5 和 SHA286 格式的文件校验和。
    • 事件类型(例如,检测到的威胁)。
    • 文件或目录的路径。
    • 所有者 ID。
    • 对象 ID。
    • 运行时策略模式。
    • 文件拦截器模式(无论运行时策略模式如何,文件拦截器都会运行)。
  • 位置详细信息部分包含有关在其中检测到恶意软件的容器的以下信息:
    • 容器 ID 和名称。
    • 镜像名称和校验和。您可以通过单击相关镜像的名称打开包含镜像扫描结果的页面。

      要查看镜像扫描的结果,您需要有查看镜像扫描结果的权限。您还需要访问集群的范围。

    • Pod 名称。您可以通过单击 Pod 的名称显示 Pod详情。

      查看和管理集群资源需要相应权限。您还需要访问相应的范围

    • 命名空间名称。
    • 集群名称。
    • 主机名和 IP 地址。
  • 进程部分包含有关在其中检测到恶意软件的进程的以下信息:
    • 进程 ID (PID) 和新的 PID
    • 有效用户 ID (EUID)
  • 影响容器部分的运行时策略下面的表格显示可以应用于在其中检测到恶意软件的容器的所有运行时策略列表。对于每项策略,该解决方案显示该策略的名称及其模式。

    您可以通过单击策略名称打开包含所应用策略的详细描述的侧边栏。策略信息的显示方式与在图表上查看应用程序程序信息时所呈现的应用策略信息的显示方式类似。当查看策略信息时限制应用。

页首
[Topic 292237]

对运行时策略的限制

对于每种事件类型,卡巴斯基容器安全都会显示可应用于在其中发现安全事件的容器的所有运行时策略的列表。对策略列表的访问受到以下限制:

  • 如果用户拥有管理运行时策略的权限并拥有与策略作者相同的角色,则该用户可以访问有关策略的所有信息,还可以编辑运行时策略设置。
  • 如果用户被授予查看运行时策略的权限,则该用户可以访问有关策略的所有信息。
  • 如果用户没有被授予查看运行时策略的权限,则用户无法打开运行时策略的详细描述。用户只能访问侧栏中“信息”选项卡上有关应用的运行时策略列表的信息以及安全事件的详细描述。
页首
[Topic 292240]

调查容器取证同时解释相邻事件

在调查事件时,应该关注并分析相关事件前后发生的事件。

要查看相关事件之前和之后发生的事件:

  1. 调查容器取证部分的安全事件表中单击事件行中的任意地方。
  2. 转到相邻事件选项卡。

默认情况下,解决方案会显示一个包含以下信息的表格:

  • 正在审查的事件。
  • 3 起在所检查事件之前发生的事件。
  • 46 起在所检查事件之后发生的事件。

对于每个事件,您还可以查看 90 天范围内的事件。例如,如果您正在查看当天的事件,则可以打开过去 90 天的事件。如果有关事件发生在 45 天前,您可以打开被检查事件前 45 天发生的事件。

对于表中的每个事件,解决方案显示以下信息:

  • 事件的日期和时间。
  • 事件类型。
  • 关于事件的其他信息
  • 完整路径。

您可以通过单击表中的事件行打开有关所选事件的详细信息的侧边栏。

您还可以下载有关所有事件的信息,其中包含每个事件的详细描述(文本格式)。

页首
[Topic 292233]