卡巴斯基容器安全

关于文件操作的详细信息

要打开有关文件操作的详细信息，

1. 在调查 → 容器取证部分的安全事件表中单击文件操作事件行中的任意地方。
2. 在打开的侧栏中，转到“信息”选项卡。

卡巴斯基容器安全显示以下信息：

• 常规信息部分包含常规信息：
  • 执行文件操作的日期和时间。
  • 文件操作的类型（例如，创建或删除）。

    卡巴斯基容器安全中的文件操作示例

    卡巴斯基容器安全检测以下类型的文件操作：

    • 打开
    • 创建
    • 读取
    • 写入
    • 重命名或移动
    • 删除
    • 变更所有权
    • 更改访问权限

  • 文件或目录的路径。
  • 文件或目录的新路径（仅显示重命名或移动文件操作类型）。
  • 新权限（仅针对更改访问权限操作类型显示）。
  • 运行时策略模式。
  • 错误代码。
• 位置详细信息块提供有关在其中发现文件操作的容器的以下信息：
  • 容器 ID 和名称。
  • 镜像名称和校验和。您可以通过单击相关镜像的名称打开包含镜像扫描结果的页面。

    要查看镜像扫描的结果，您需要有查看镜像扫描结果的权限。您还需要访问集群的范围。

  • Pod 名称。您可以通过单击 Pod 的名称显示 Pod详情。

    查看和管理集群资源需要相应权限。您还需要访问相应的范围。

  • 命名空间名称。
  • 集群名称。
  • 主机名和 IP 地址。
• 进程部分包含有关在其中发现文件操作的进程的以下数据：
  • 父进程 ID (PPID)
  • 进程 ID (PID) 和新的 PID
  • 用户 ID (UID)
  • 组 ID (GID)
  • 有效用户 ID (EUID)
  • 有效组 ID (EGID)
  • 新所有者的 UID（仅针对更改所有权文件操作类型显示）。
  • 新所有者的 GID（仅针对更改所有权文件操作类型显示）。
• 影响容器部分的运行时策略下面的表格显示可以应用于在其中检测到文件操作的容器的所有运行时策略列表。对于每项策略，该解决方案显示该策略的名称及其模式。

  您可以通过单击策略名称打开包含所应用策略的详细描述的侧边栏。策略信息的显示方式与在图表上查看应用程序程序信息时所呈现的应用策略信息的显示方式类似。当查看策略信息时限制应用。