コンテンツにスキップ

コンテナの影響を受けたファイルの検索

コンテナイメージが侵害された場合や既知のバグがある場合、Sophos Linux Sensor の調査のクエリを実行して、侵害されたコンテナによる被害を特定できます。クエリは、そのコンテナイメージの名前に関連付けられているすべてのファイルイベントを返します。

必要なテーブル

  • file_events
  • container_events

入力フィールド

クエリ内の <KNOWN IMAGE NAME> テキストは、「疑わしいイメージの名前」 で置き換えてください。

戻りフィールド

フィールド 説明
unix_nano_timestamp
path
source_path
変更されたファイル
file_events.process_uuid ファイルを変更したプロセス ID

クエリ

SELECT unix_nano_timestamp,
         path,
         source_path,
         file_events.process_uuid
FROM file_events
WHERE EXISTS
    (SELECT container_id
    FROM container_events
    WHERE image_name = '<KNOWN IMAGE NAME>')