開啟節點防護后，部署在每個容器宿主機上的Agent會對容器運行狀態進行實時監控，支持逃逸檢測、高危系統調用、異常進程檢測、文件異常檢測、容器環境等檢測。用戶可通過容器安全告警全面了解告警事件類型，及時發現資產中的安全威脅、實時掌握資產的安全狀態。

告警事件列表說明

事件類型
告警事件
原理說明
惡意軟件
未分類惡意軟件
通過程序特征、行為檢測，結合AI圖像指紋算法以及云查殺，有效識別后門、木馬、挖礦軟件、蠕蟲和病毒等惡意程序，也可檢測出容器中未知的惡意程序和病毒變種。
勒索軟件
檢測來自網頁、軟件、郵件、存儲介質等介質捆綁、植入的勒索軟件。
勒索軟件用于鎖定、控制您的文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種數據資產，并以此作為向您勒索錢財的籌碼。
Webshell
檢測容器中Web目錄中的文件，判斷是否為Webshell木馬文件，支持檢測常見的PHP、JSP等后門文件類型。
黑客工具
檢測利用漏洞或者黑客工具的惡意行為，一旦發現進行告警上報。
漏洞利用
漏洞逃逸攻擊
HSS監控到容器內進程行為符合已知漏洞的行為特征時（例如：“臟牛”、“bruteforce”、“runc”、“shocker”等），觸發逃逸漏洞攻擊告警。
文件逃逸攻擊
HSS監控發現容器進程訪問了宿主機系統的關鍵文件目錄（例如：“/etc/shadow”、“/etc/crontab”），則認為容器內發生了逃逸文件訪問，觸發告警。即使該目錄符合容器配置的目錄映射規則，HSS仍然會觸發告警。
系統異常行為
反彈Shell
支持對TCP、UDP、ICMP等協議的檢測。
您可以在“策略管理”的“惡意文件檢測”策略中配置反彈Shell檢測，HSS會實時檢測執行的可疑指令、主機被遠程控制執行任意命令等。
文件提權
檢測利用SUID、SGID程序漏洞進行root提權的行為，一旦發現進行告警上報。
進程提權
當黑客成功入侵容器后，會嘗試利用漏洞進行root提權或者文件提權，從而達到非法創建和修改系統賬號的權限或者篡改文件的目的。
HSS支持檢測以下異常提權操作：
利用SUID程序漏洞進行root提權。
利用內核漏洞進行root提權。
對文件的提權。
關鍵文件變更
實時監控系統關鍵文件（例如：ls、ps、login、top等），對修改文件內容的操作進行告警，提醒用戶關鍵文件可能被篡改。
對于關鍵文件變更，HSS只檢測文件內容是否被修改，不關注是人為還是進程進行的修改。
進程異常行為
檢測各個主機的進程信息，包括進程ID、命令行、進程路徑、行為等。
對于進程的非法行為、黑客入侵過程進行告警。
進程異常行為可以監控以下異常行為：
監控進程CPU使用異常。
檢測進程對惡意IP的訪問。
檢測進程并發連接數異常等。
高危系統調用
Linux系統調用是用戶進程進入內核執行任務的請求通道。CGS監控容器進程，如果發現進程使用了危險系統調用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），觸發高危系統調用告警。
高危命令執行
實時檢測容器系統中執行的高危命令，當發生高危命令執行時觸發告警。
容器進程異常
容器惡意程序
HSS監控容器內啟動的容器進程的行為特征和進程文件指紋，如果特征與已定義的惡意程序吻合則觸發容器惡意程序告警。
容器異常進程
容器業務通常比較單一。如果您能夠確定容器內只會運行某些特定進程，可以在“策略管理”設置“容器進程白名單”并將策略關聯容器鏡像。
對于已關聯的容器鏡像啟動的容器，HSS只允許白名單進程啟動，如果容器內存在非白名單進程，觸發容器異常程序告警。
敏感文件訪問
HSS監控容器內已配置文件保護策略的容器鏡像文件狀態。如果發生文件修改事件則觸發文件異常告警。
容器異常啟動
HSS監控新啟動的容器，對容器啟動配置選項進行檢測，當發現容器權限過高存在風險時觸發告警。容器環境檢測觸發的告警只是提醒容器啟動風險，并不是發生實際攻擊。如果黑客利用容器配置風險執行了真實攻擊，仍然會觸發HSS容器安全的其他檢測告警。
HSS支持以下容器環境檢測：
禁止啟動特權容器(privileged:true)
特權容器是指容器以最大權限啟動，類似與操作系統的root權限，擁有最大能力。docker ? run啟動容器時攜帶“–privileged=true”參數，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此時容器會以特權容器方式啟動。
告警內容中提示：“privileged:true”，表示該容器以特權容器模式啟動。
需要限制容器能力集（capabilities:[xxx]）
Linux系統將系統權限做了分類，通過授予特定的權限集合，能控制容器進程的操作范圍，避免出現嚴重問題。容器啟動時默認開啟了一些常用能力，通過修改啟動配置可以放開所有系統權限。
告警內容中提示：“capabilities:[xxx]”，表示該容器啟動時擁有所有能力集過大，存在風險。
建議啟用seccomp（seccomp=unconfined）
Seccomp(secure computing mode)是Linux的一種內核特性，用于限制進程能夠調用的系統調用，減少內核的攻擊面。如果容器啟動時設置“seccomp=unconfined”，將不會對容器內的系統調用執行限制。
告警內容中提示：“seccomp=unconfined”，表示該容器啟動時沒有啟動seccomp，存在風險。
說明
啟用seccomp后，由于每次系統調用Linux內核都需要執行權限校驗，如果容器業務場景會頻繁使用系統調用，開啟seccomp對性能會有一定影響。具體影響建議在實際業務場景測試分析。

限制容器獲取新的權限(no-new-privileges:false)
進程可以通過程序的suid位或者sgid位獲取附加權限，通過sudo提權執行更高權限的操作。容器默認配置限制不允許進行權限提升。
如果容器啟動時指定了“–no-new-privileges=false”，則該容器擁有權限提升的能力。
告警內容中提示：“no-new-privileges:false”，表示該容器關閉了提權限制，存在風險。
危險目錄映射(mounts:[...])
容器啟動時可以將宿主機目錄映射到容器內，方便容器內業務直接讀寫宿主機上的資源。這是一種存在風險的使用方式，如果容器啟動時映射了宿主機操作系統關鍵目錄，容易造成從容器內破壞宿主機系統的事件。
HSS監控到容器啟動時mount了宿主機危險路徑時觸發告警，定義的宿主機危險目錄包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。
告警內容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示該容器映射的文件路徑存在風險。

說明
對于docker容器常用的需要訪問的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不會觸發告警。
禁止啟動命名空間為host的容器
容器的命名空間需要與主機隔離開，如果容器配置了與主機相同的命名空間，則該容器可以訪問并修改主機上的內容，易造成容器逃逸的安全事件，存在安全風險。因此HSS會檢測容器的pid，network，ipc命名空間是否為host。
告警名稱為“容器命名空間”，告警內容中提示“容器pid命名空間模式”、“容器ipc命名空間模式”、“容器網絡命名空間模式”，表示啟動了命名空間為host的容器，需要按照告警中的提示排查容器的啟動選項，如果存在業務需要，可以將該告警事件忽略。

容器鏡像阻斷
在Docker環境中容器啟動前，HSS檢測到中指定的不安全容器鏡像運行時觸發告警。
說明
需安裝Docker插件。
用戶異常行為
非法系統賬號
黑客可能通過風險賬號入侵容器，以達到控制容器的目的，需要您及時排查系統中的賬戶。
HSS檢查系統中存在的可疑隱藏賬號、克隆賬號；如果存在可疑賬號、克隆賬號等，則觸發告警。
暴力破解
檢測容器場景下“嘗試暴力破解”和“暴力破解成功”等暴破異常行為，發現暴破行為時觸發告警。
支持檢測容器場景下SSH、Web和Enumdb暴破行為。
說明
目前暫僅支持Docker容器運行時的暴力破解檢測告警。
用戶密碼竊取
檢測到通過非法手段獲取用戶密鑰行為，一旦發現進行告警上報。
網絡異常訪問
異常外聯行為
檢測到服務器存在異常外聯可疑IP的行為，一旦發現進行告警上報。
端口轉發檢測
檢測到利用可疑工具進行端口轉發行為，一旦發現進行告警上報。

關鍵文件變更監控路徑

類型
Linux
bin
/bin/ls
/bin/ps
/bin/bash
/bin/login
usr
/usr/bin/ls
/usr/bin/ps
/usr/bin/bash
/usr/bin/login
/usr/bin/passwd
/usr/bin/top
/usr/bin/killall
/usr/bin/ssh
/usr/bin/wget
/usr/bin/curl