コンテナの影響を受けたファイルの検索
コンテナイメージが侵害された場合や既知のバグがある場合、Sophos Linux Sensor の調査のクエリを実行して、侵害されたコンテナによる被害を特定できます。クエリは、そのコンテナイメージの名前に関連付けられているすべてのファイルイベントを返します。
必要なテーブル
- file_events
- container_events
入力フィールド
クエリ内の <KNOWN IMAGE NAME> テキストは、「疑わしいイメージの名前」 で置き換えてください。
戻りフィールド
| フィールド | 説明 |
|---|---|
| unix_nano_timestamp path source_path | 変更されたファイル |
| file_events.process_uuid | ファイルを変更したプロセス ID |
クエリ
SELECT unix_nano_timestamp,
path,
source_path,
file_events.process_uuid
FROM file_events
WHERE EXISTS
(SELECT container_id
FROM container_events
WHERE image_name = '<KNOWN IMAGE NAME>')