产品动态

产品简介

产品概述

产品优势

应用场景

功能介绍与版本对比

购买指南

试用申请

购买专业版

购买镜像扫描

购买日志分析

快速入门

操作指南

安全概览

资产管理

漏洞管理

镜像风险管理

集群风险管理

基线管理

运行时安全

高级防御

策略管理

防护开关

告警设置

日志分析

混合云安装指引

失陷容器隔离说明

日志字段数据解析

实践教程

镜像漏洞扫描和漏洞管理

故障处理

Linux 客户端离线排查

集群接入排查

API 文档

History

Introduction

API Category

Making API Requests

Network Security APIs

Cluster Security APIs

Security Compliance APIs

Runtime security - High-risk syscalls

Runtime Security - Reverse Shell APIs

Runtime Security APIs

Alert Settings APIs

Advanced prevention - K8s API abnormal requests

Asset Management APIs

Security Operations - Log Analysis APIs

Runtime Security - Trojan Call APIs

Runtime Security - Container Escape APIs

Image Security APIs

Billing APIs

Data Types

Error Codes

常见问题

TCSS 政策

隐私政策

数据处理和安全协议

联系我们

词汇表

容器逃逸

PDF

聚焦模式

字号

最后更新时间： 2024-01-23 15:44:44

事件列表
查看设置状态
1. 登录 容器安全服务控制台，在左侧导航中，单击运行时安全 > 容器逃逸，进入容器逃逸页面。
2. 在容器逃逸页面，安全状态模块展示是否存在容器逃逸事件。如检测发现容器逃逸事件，建议立即处理。
﻿
﻿
3. 在容器逃逸页面，监控状态模块展示系统支持检测的容器逃逸事件类型，单击可开启
﻿
图标，可自定义设置监控状态。
﻿
﻿
查看容器逃逸列表
登录 容器安全服务控制台，在左侧导航中，单击运行时安全 > 容器逃逸，进入容器逃逸页面。
筛选刷新容器逃逸
1. 在容器逃逸页面，单击搜索框，可通过“容器名称、镜像名称和节点名称”等关键词对容器逃逸事件进行查询。
﻿
﻿
2. 在容器逃逸页面，单击操作栏右侧
﻿
图标，即可刷新容器逃逸事件。
导出容器逃逸
在容器逃逸页面，单击
﻿
图标勾选所需的容器逃逸事件后，单击
﻿
图标即可导出容器逃逸事件。
说明：
 可单击
﻿
图标勾选多个镜像后，单击
﻿
图标可进行批量导出。
﻿
﻿
﻿
事件状态处理
在容器逃逸页面，可对容器逃逸事件进行标记已处理、忽略和删除处理。
标记已处理：单击
﻿
图标勾选所需的容器逃逸事件后，单击标记已处理 > 确定，即可将选中事件标记已处理。
说明：
 建议您参照事件详情中的“解决方案”，人工对该事件风险进行处理，可将事件标记为已处理。
忽略：单击
﻿
图标勾选所需的容器逃逸事件后，单击忽略 > 确定，即可将选中事件忽略。
说明：
 仅将已选事件进行忽略，若再有相同事件发生依然会进行告警。
删除：单击
﻿
图标勾选所需的容器逃逸事件后，单击删除 > 确定，即可将选中事件删除。
注意：
 删除已选事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
查看列表详情
1. 在容器逃逸页面，单击事件类型左侧
﻿
	图标，可查看事件描述。
﻿
﻿
2. 在容器逃逸页面， 单击“容器名称/ID ”或“镜像名称/ID”，可跳转至对应的资产管理列表。
﻿
﻿
3. 在容器逃逸页面，单击查看详情，右侧抽屉展示事件详情信息，包括告警事件详情、进程信息和事件描述。
﻿
﻿
4. 在容器逃逸页面，事件状态包含已处理、已忽略和待处理。可对不同状态的事件进行以下操作：
已处理：单击删除，并在弹窗中进行二次确认删除，可将事件删除。
说明：
 删除该事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
﻿
待处理：单击立即处理，可将事件标记为已处理、忽略或删除该事件，详情请参见 事件状态处理。
﻿
已忽略：单击取消忽略或删除，可将事件变为待处理或删除。
﻿
自定义列表管理
1. 在容器逃逸页面，单击
﻿
图标，弹出自定义列表管理弹窗，在弹窗中可以自定义设定列表管理。
2. 在自定义列表管理弹窗，选择所需的类型后，单击确定，即可完成设置自定义列表管理。
﻿
列表字段说明
1. 事件类型：容器逃逸告警事件类型，包括宿主机文件访问逃逸、MountNamespace 逃逸、程序提权逃逸、特权容器启动逃逸、敏感路径挂载和 Syscall 逃逸。
2. 首次生成时间：该逃逸事件首次触发告警的时间。
说明：
 系统默认对未处理的相同逃逸事件进行告警聚合。
3. 最近生成时间：聚合的告警事件最近触发告警的时间。可单击右侧“排序”按钮对列表事件按时间正序和时间反序进行排列。
4. 事件数量：聚合时间范围内该逃逸事件触发告警的总数量。
5. 状态：包括已处理、已忽略、未处理、已加白，支持按状态对列表事件进行快速筛选。
逃逸白名单
排查容器逃逸告警时，如部分业务容器需以特权模式启动、需挂载敏感路径或其他会导致逃逸告警的配置，可进行加白处理。加白操作分类两类：根据告警事件加白和在白名单管理页面新建白名单。
加白告警事件
1. 在 容器逃逸页面，如需对告警事件进行加白，单击处理，选择加入白名单，单击确定。
注意：
 若您确认该类容器逃逸属于正常行为，可将该容器的关联镜像添加白名单，后续镜像关联的容器再出现此类逃逸行为，将直接放行不再告警，请谨慎操作。
﻿

2. 在添加白名单镜像页面，默认勾选告警事件中关联的逃逸告警类型和来源镜像，您也可以在此基础上增加勾选加白事件类型和需要加白的镜像，单击确定即可完成白名单配置。
﻿

3. 如需对某种事件类型进行全部镜像加白，您可以单击监控状态右侧的监控设置，对开启监控的风险类型进行调整。
﻿
白名单管理
用户也可在白名单管理页面，批量新增白名单，避免后续产生告警。
添加白名单
1. 在  容器逃逸 > 白名单管理页面，单击添加白名单策略。
﻿
﻿
2. 在添加白名单镜像页面，选择加白事件类型和生效的镜像，也可批量选择需加白的事件类型和生效的镜像，单击确定。
﻿
﻿
3. 添加白名单完毕后，白名单管理列表以镜像 ID 对白名单进行统一管理，展示每一个镜像已加白的事件类型。例如添加白名单时勾选了3个镜像，那么列表中将更新3条白名单镜像记录。
编辑白名单
编辑单个白名单
1.1 在  容器逃逸 > 白名单管理页面，单击目标镜像操作列的编辑加白类型。
﻿
﻿
1.2 在编辑加白事件类型对话框中，修改加白事件类型，单击保存。
﻿
﻿
批量编辑白名单
如需批量对多个镜像进行加白事件类型变更、且这些镜像需加白的类型一致，按照如下操作修改：
1.1 在  容器逃逸 > 白名单管理页面，选择一个或多个镜像，单击左上角的编辑加白类型。
﻿
﻿
1.2 在编辑加白事件类型对话框中，修改加白事件类型，单击保存。
注意：
 对所选镜像进行事件类型编辑后，原先已设置的事件类型内容将被清空。
﻿
删除白名单
1. 在  容器逃逸 > 白名单管理页面，可删除单个白名单或批量删除白名单。
删除单个白名单： 选择所需镜像，单击操作列的删除。
﻿
﻿
批量删除白名单：选择一个或多个镜像，单击左上角的删除。
﻿
﻿
2. 在确认删除对话框中，单击确认，即可删除目标白名单。
注意：
 确认删除后将无法恢复，该白名单镜像在触发此类逃逸时将再次产生告警。