添加自定義規則

說明
不支持添加“主機異常”類的自定義規則。

登錄容器安全衛士控制臺。
在左側導航欄，選擇“容器安全 > 容器策略”，進入容器策略頁面。
選擇“入侵檢測規則”頁簽。
單擊“添加規則”，進入添加規則頁面。
在入侵檢查規則頁面輸入規則名稱（必填）和規則描述（非必填），選擇是否啟用，輸入告警信息、選擇規則類型（命令執行、網絡活動、文件讀寫、文件內容）、Att&ck戰術、Att&ck技術、風險等級、規則內容（DSL）、修復建議、開啟建議。
單擊“保存”，生成一條新規則。

系統內置規則

類型 檢測項 說明
命令執行 啟動特權容器 以特權模式啟動容器相當于擁有服務器的管理員權限，可以操作服務器上的任何資源、執行任意命令。
容器內使用ncat工具 該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。
容器內使用特定網絡工具 該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。
執行敏感命令 此類通常為攻擊者獲得低權限shell后試圖利用setuid獲得高權限行為。
搜索私鑰行為 攻擊者搜索可利用的私鑰從而登錄并攻陷對應的服務器。
疑似contanerd逃逸 發現可以進程，疑似為利用cve-2020-15257進行逃逸，請確認是否為黑客行為。
疑似修改命名空間逃逸 發現可疑進程，疑似容器內獲取宿主機權限后修改容器命名空間為宿主機命名空間以達成容器逃逸，請確認是否為黑客行為。
執行遠程文件傳輸命令 攻擊者常利用此命令來下載后門、上傳敏感信息等。
創建指向敏感文件的軟連接 攻擊者常利用此命令來提升權限，業務進程較少使用。
臟牛漏洞提權 利用Linux系統的Copy On Write寫時復制的競爭條件漏洞，達到權限提升的目的，攻擊者可利用此漏洞提升為管理員權限從而控制服務器。
容器內sudo漏洞利用 利用CVE-2019-14287，可以進行提權行為。
kubectl cp漏洞利用 利用CVE-2019-1002101，關于kubectl cp漏洞利用行為。
java內存馬 攻擊者利用java的類缺陷，動態的修改java程序在內存中的代碼段，注入遠控后門程序，實現遠程控制，具有隱蔽、不落盤等特點。
啟動挖礦程序 攻擊者在服務器上植入挖礦程序，占用服務器大量計算資源挖礦，會導致業務進程緩慢、卡死等風險。
啟動遠程木馬程序 攻擊者入侵成功后留下的遠控后門，方便持續滲透。
執行具有setuid位的命令 此類通常為攻擊者獲得低權限shell后試圖利用setuid獲得高權限行為。
偽裝k8s容器 此類通常為攻擊者進行偽裝的惡意容器。
啟動容器掛載目錄 當容器掛載了一些風險目錄時，容器內可以修改宿主機中的某些關鍵文件，將會有逃逸或者提權的風險。
啟動具有敏感權限容器 此類行為容易增加逃逸風險。
隧道利用 該方式是攻擊者經常使用，用于下載數據、探測信息等。
疑似CVE-2021-3156漏洞利用 利用CVE-2021-3156，可以進行提權行為。
疑似CVE-2021-25741漏洞利用 利用CVE-2021-25741，可使攻擊者使用軟鏈接的方式在容器中掛載指定subPath配置的目錄逃逸到主機敏感目錄。
疑似CVE-2022-0492漏洞利用 利用CVE-2022-0492，可以繞過命名空間隔離，從而造成容器逃逸。
執行惡意腳本 發現容器內部執行惡意腳本，請檢查是否是黑客行為。
內存惡意代碼執行 發現容器內部內存惡意代碼執行，請檢查是否是黑客行為。
疑似webshell執行命令 發現容器內疑似webshell執行命令。
crond執行惡意腳本 發現容器內crond執行惡意腳本，請檢查是否為黑客行為。
疑似dind逃逸漏洞利用 當容器掛載了docker.sock或者其根目錄，容器內如果安裝docker,就可利用docker聯系docker.sock創建新的容器并掛載宿主機敏感目錄，以達到容器逃逸的目的。
疑似cve-2018-15664逃逸 發現可疑進程，疑似為利用docker cp進行逃逸，請確認是否為黑客行為。
疑似特權容器掛載設備逃逸 發現可疑進程，疑似為利用特權容器掛載設備逃逸，請確認是否為黑客行為。
疑似容器逃逸 發現容器內文件以宿主機進程執行，具有容器逃逸的風險，請確認是否為黑客行為。
從磁盤中刪除大容量數據 此類行為通常為攻擊者破壞數據、清除痕跡的操作，也有可能是業務進程清理日志，請根據詳情進一步確認。
執行惡意腳本 發現容器內部執行惡意腳本，請檢查是否是黑客行為。
crond執行惡意腳本 發現容器內crond執行惡意腳本，請檢查是否為黑客行為。
容器內proc目錄被掛載 發現容器內的/proc目錄被掛載，請檢查容器是否為黑客啟動。
添加setuid權限 為文件添加setuid權限。
讀寫文件 runc逃逸漏洞利用 疑似利用runc逃逸漏洞CVE-2019-5736。
容器內發現惡意文件 此類文件通常為病毒、木馬等具有破壞行為的文件。
篡改計劃任務 此類通常為攻擊者的惡意操作。
docker-cp漏洞利用 利用CVE-2019-14271，關于docker cp的提權漏洞。
疑似CVE-2021-4034漏洞利用行為 利用CVE-2021-4034，可以進行提取行為。
操作敏感文件 此類行為可將正常的可執行文件修改為具有破壞行為的文件。
篡改容器內可執行文件 此類行為可將正常的可執行文件修改為具有破壞行為的文件。
疑似mount-procfs容器逃逸 /proc/sys/kernel/core_pattern文件是負責進程奔潰時內存數據轉儲的，當第一個字符是管道符|時， 后面的部分會以命令行的方式進行解析并運行。
疑似重寫devices.allow逃逸 發現可疑進程，疑似為利用重寫devices.allow進行逃逸，請確認是否為黑客行為。
網絡活動 反彈shell操作 攻擊者常利用此命令來繞過防火墻規則，遠程控制服務器。
容器暴力破解 此類行為通常是攻擊者在嘗試獲取目標服務的權限。
文件內容 -
支持自定義文件內容檢測。
主機異常 通過docker exec進入pod 通過kubectl exec進入pod，某些情況不允許。
通過docker_exec進入容器 通過docker exec進入pod，某些情況不允許。
反彈shell操作 攻擊者常利用此命令來繞過防火墻規則，遠程控制服務器。
runc被篡改 此類行為可能為逃逸行為。
高危系統調用使用 此行為可能造成攻擊利用。
宿主機上使用特定網絡工具 該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。

亚欧色一区w666天堂,色情一区二区三区免费看,少妇特黄A片一区二区三区,亚洲人成网站999久久久综合,国产av熟女一区二区三区

智算服務

應用商城

定價

合作伙伴

開發者

支持與服務

了解天翼云

容器安全衛士

容器安全衛士

添加自定義規則

系統內置規則

類型	檢測項	說明
命令執行	啟動特權容器	以特權模式啟動容器相當于擁有服務器的管理員權限，可以操作服務器上的任何資源、執行任意命令。
	容器內使用ncat工具	該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。
	容器內使用特定網絡工具	該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。
	執行敏感命令	此類通常為攻擊者獲得低權限shell后試圖利用setuid獲得高權限行為。
	搜索私鑰行為	攻擊者搜索可利用的私鑰從而登錄并攻陷對應的服務器。
	疑似contanerd逃逸	發現可以進程，疑似為利用cve-2020-15257進行逃逸，請確認是否為黑客行為。
	疑似修改命名空間逃逸	發現可疑進程，疑似容器內獲取宿主機權限后修改容器命名空間為宿主機命名空間以達成容器逃逸，請確認是否為黑客行為。
	執行遠程文件傳輸命令	攻擊者常利用此命令來下載后門、上傳敏感信息等。
	創建指向敏感文件的軟連接	攻擊者常利用此命令來提升權限，業務進程較少使用。
	臟牛漏洞提權	利用Linux系統的Copy On Write寫時復制的競爭條件漏洞，達到權限提升的目的，攻擊者可利用此漏洞提升為管理員權限從而控制服務器。
	容器內sudo漏洞利用	利用CVE-2019-14287，可以進行提權行為。
	kubectl cp漏洞利用	利用CVE-2019-1002101，關于kubectl cp漏洞利用行為。
	java內存馬	攻擊者利用java的類缺陷，動態的修改java程序在內存中的代碼段，注入遠控后門程序，實現遠程控制，具有隱蔽、不落盤等特點。
	啟動挖礦程序	攻擊者在服務器上植入挖礦程序，占用服務器大量計算資源挖礦，會導致業務進程緩慢、卡死等風險。
	啟動遠程木馬程序	攻擊者入侵成功后留下的遠控后門，方便持續滲透。
	執行具有setuid位的命令	此類通常為攻擊者獲得低權限shell后試圖利用setuid獲得高權限行為。
	偽裝k8s容器	此類通常為攻擊者進行偽裝的惡意容器。
	啟動容器掛載目錄	當容器掛載了一些風險目錄時，容器內可以修改宿主機中的某些關鍵文件，將會有逃逸或者提權的風險。
	啟動具有敏感權限容器	此類行為容易增加逃逸風險。
	隧道利用	該方式是攻擊者經常使用，用于下載數據、探測信息等。
	疑似CVE-2021-3156漏洞利用	利用CVE-2021-3156，可以進行提權行為。
	疑似CVE-2021-25741漏洞利用	利用CVE-2021-25741，可使攻擊者使用軟鏈接的方式在容器中掛載指定subPath配置的目錄逃逸到主機敏感目錄。
	疑似CVE-2022-0492漏洞利用	利用CVE-2022-0492，可以繞過命名空間隔離，從而造成容器逃逸。
	執行惡意腳本	發現容器內部執行惡意腳本，請檢查是否是黑客行為。
	內存惡意代碼執行	發現容器內部內存惡意代碼執行，請檢查是否是黑客行為。
	疑似webshell執行命令	發現容器內疑似webshell執行命令。
	crond執行惡意腳本	發現容器內crond執行惡意腳本，請檢查是否為黑客行為。
	疑似dind逃逸漏洞利用	當容器掛載了docker.sock或者其根目錄，容器內如果安裝docker,就可利用docker聯系docker.sock創建新的容器并掛載宿主機敏感目錄，以達到容器逃逸的目的。
	疑似cve-2018-15664逃逸	發現可疑進程，疑似為利用docker cp進行逃逸，請確認是否為黑客行為。
	疑似特權容器掛載設備逃逸	發現可疑進程，疑似為利用特權容器掛載設備逃逸，請確認是否為黑客行為。
	疑似容器逃逸	發現容器內文件以宿主機進程執行，具有容器逃逸的風險，請確認是否為黑客行為。
	從磁盤中刪除大容量數據	此類行為通常為攻擊者破壞數據、清除痕跡的操作，也有可能是業務進程清理日志，請根據詳情進一步確認。
	執行惡意腳本	發現容器內部執行惡意腳本，請檢查是否是黑客行為。
	crond執行惡意腳本	發現容器內crond執行惡意腳本，請檢查是否為黑客行為。
	容器內proc目錄被掛載	發現容器內的/proc目錄被掛載，請檢查容器是否為黑客啟動。
	添加setuid權限	為文件添加setuid權限。
讀寫文件	runc逃逸漏洞利用	疑似利用runc逃逸漏洞CVE-2019-5736。
	容器內發現惡意文件	此類文件通常為病毒、木馬等具有破壞行為的文件。
	篡改計劃任務	此類通常為攻擊者的惡意操作。
	docker-cp漏洞利用	利用CVE-2019-14271，關于docker cp的提權漏洞。
	疑似CVE-2021-4034漏洞利用行為	利用CVE-2021-4034，可以進行提取行為。
	操作敏感文件	此類行為可將正常的可執行文件修改為具有破壞行為的文件。
	篡改容器內可執行文件	此類行為可將正常的可執行文件修改為具有破壞行為的文件。
	疑似mount-procfs容器逃逸	/proc/sys/kernel/core_pattern文件是負責進程奔潰時內存數據轉儲的，當第一個字符是管道符\|時，后面的部分會以命令行的方式進行解析并運行。
	疑似重寫devices.allow逃逸	發現可疑進程，疑似為利用重寫devices.allow進行逃逸，請確認是否為黑客行為。
網絡活動	反彈shell操作	攻擊者常利用此命令來繞過防火墻規則，遠程控制服務器。
網絡活動	容器暴力破解	此類行為通常是攻擊者在嘗試獲取目標服務的權限。
文件內容	-	支持自定義文件內容檢測。
主機異常	通過docker exec進入pod	通過kubectl exec進入pod，某些情況不允許。
	通過docker_exec進入容器	通過docker exec進入pod，某些情況不允許。
	反彈shell操作	攻擊者常利用此命令來繞過防火墻規則，遠程控制服務器。
	runc被篡改	此類行為可能為逃逸行為。
	高危系統調用使用	此行為可能造成攻擊利用。
	宿主機上使用特定網絡工具	該類工具是攻擊者經常使用的工具，用于下載工具、探測信息、進一步滲透等，業務進程較少使用。