В статье представлен кластеризационный метод идентификации воздействий на файлы, используемый при расследовании инцидентов информационной безопасности. Предлагаемый метод основан на применении алгоритма кластеризации k-средних с адаптированным алгоритмом автоматического определения оптимального количества кластеров, которые описывают воздействия на файлы. В статье рассмотрен процесс подготовки входных данных, полученных из записей журнала изменений тома $UsnJrnl, а также алгоритм выявления сложных комплексных воздействий на файлы, основанный на поиске взаимосвязей между кластерами. Предлагаемый кластеризационный метод имеет ярко выраженный автоматизированный характер, что позволяет специалисту, проводящему расследование инцидента информационной безопасности, ускорить процесс выявления и ликвидации последствий инцидента.