Подробная информация о файловых операциях
Чтобы открыть подробную информацию о файловых операциях,
- Нажмите на любое место в строке события Файловые операции в таблице событий безопасности в разделе Исследование → События контейнеров.
- В открывшейся боковой панели перейдите на вкладку Информация.
Kaspersky Security для контейнеров отображает следующие данные:
- В блоке Общая информация указываются общие данные:
- Дата и время выполнения файловой операции.
- Тип файловой операции (например, Создание или Удаление).
- Путь к файлу или директории.
- Новый путь к файлу или директории (отображается только для файловой операции типа Переименование или перемещение).
- Новые права (отображается только для файловой операции типа Изменение прав доступа).
- Режим примененной политики среды выполнения.
- Код ошибки.
- В блоке Местоположение приводится следующая информация о контейнере, где были найдены файловые операции:
- Идентификатор и имя контейнера.
- Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.
Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.
- Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.
Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.
- Название пространства имен.
- Имя кластера.
- Имя и IP-адрес узла.
- В блоке Процесс представлены следующие данные о процессе, в котором были найдены файловые операции:
- Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
- Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
- Идентификатор пользователя (англ. User Identifier, UID).
- Идентификатор группы (англ. Group Identifier, GID).
- Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
- Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
- UID нового владельца (отображается только для файловой операции типа Изменение владельца).
- GID нового владельца (отображается только для файловой операции типа Изменение владельца).
- В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с обнаруженными файловыми операциями. Для каждой политики решение показывает название и режим применения политики.
Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.