執行：容器跳脫

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

容器內執行的程序執行了已知可疑的工具二進位檔，進行容器逸出活動。這表示可能有人嘗試逸出容器，也就是容器內的程序試圖脫離隔離狀態，並與主機系統或其他容器互動。這項發現屬於嚴重程度高的問題，因為這表示攻擊者可能嘗試取得超出容器界線的存取權，進而危害主機或其他基礎架構。容器逸出可能是因為設定錯誤、容器執行階段存在安全漏洞，或是特殊權限容器遭到濫用。

Agent Engine Threat Detection 是這項發現項目的來源。

回應方式

如要回應這項發現，請按照下列步驟操作：

查看發現項目詳細資料

1. 按照「查看發現項目」一文的指示，開啟 Execution: Container Escape 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，尤其是下列欄位：
     • 程式二進位檔：執行的二進位檔絕對路徑
     • 引數：在二進位檔執行期間傳遞的引數
   • 受影響的資源，尤其是下列欄位：
     • 資源完整名稱：受影響 AI 代理程式的完整資源名稱 (ReasoningEngine 資源)

3. 在「JSON」分頁中，請注意下列欄位：

   • resource：
     • project_display_name：包含 AI 代理程式的專案名稱。
   • finding：
     • processes：
     • binary：
       • path：執行的二進位檔完整路徑。
     • args：執行二進位檔時提供的引數。

4. 找出受影響 AI 代理程式在類似時間發生的其他發現項目。相關發現可能指出這項活動是惡意活動，而非未遵循最佳做法。

5. 檢查受影響 AI 代理程式的設定。

6. 查看受影響 AI 代理程式的記錄。

研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： Escape to Host。
2. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

實作回覆內容

如需回應建議，請參閱「回應 AI 威脅發現結果」。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅調查結果的服務。