Подробная информация о файловых операциях

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Файловые операции в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Тип файловой операции (например, Создание или Удаление).

    Примеры файловых операций в Kaspersky Security для контейнеров

    Kaspersky Security для контейнеров выявляет следующие типы файловых операций:

    • Открытие.
    • Создание.
    • Чтение.
    • Запись.
    • Переименование или перемещение.
    • Удаление.
    • Изменение владельца.
    • Изменение прав доступа.
  • Путь к файлу или директории.
  • Новый путь к файлу или директории (отображается только для файловой операции типа Переименование или перемещение).
  • Новые права (отображается только для файловой операции типа Изменение прав доступа).
  • Режим примененной политики среды выполнения.
  • Код ошибки.
• В блоке Местоположение приводится следующая информация о контейнере, где были найдены файловые операции:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором были найдены файловые операции:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Идентификатор пользователя (англ. User Identifier, UID).
  • Идентификатор группы (англ. Group Identifier, GID).
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • UID нового владельца (отображается только для файловой операции типа Изменение владельца).
  • GID нового владельца (отображается только для файловой операции типа Изменение владельца).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с обнаруженными файловыми операциями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

В начало