Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.
Panoramica
Un processo in esecuzione all'interno del container ha eseguito un file binario di uno strumento sospetto noto per le attività di container escape. Ciò indica un possibile tentativo di container escape, in cui un processo all'interno del container tenta di uscire dall'isolamento e interagire con il sistema host o altri container. Si tratta di un risultato di gravità elevata, perché suggerisce che un utente malintenzionato potrebbe tentare di ottenere l'accesso oltre i limiti del container, compromettendo potenzialmente l'host o altre infrastrutture. Gli escape dei container possono essere il risultato di configurazioni errate, vulnerabilità nei runtime dei container o sfruttamento di container con privilegi.
Agent Platform Threat Detection è l' origine di questo risultato.
Come rispondere
Per rispondere a questo risultato:
Esaminare i dettagli del risultato
Apri il risultato
Execution: Container Escapecome indicato in Esaminare i risultati. Esamina i dettagli nelle schede Riepilogo e JSON.Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:
- Che cosa è stato rilevato, in particolare i seguenti campi:
- Programma binario: il percorso assoluto del file binario eseguito
- Argomenti: gli argomenti passati durante l'esecuzione del file binario
- Risorsa interessata, in particolare i seguenti campi:
- Nome completo risorsa: il nome completo della risorsa
dell'agente AI interessato
(una risorsa
ReasoningEngine)
- Nome completo risorsa: il nome completo della risorsa
dell'agente AI interessato
(una risorsa
- Che cosa è stato rilevato, in particolare i seguenti campi:
Nella scheda JSON, prendi nota dei seguenti campi:
resource:project_display_name: il nome del progetto che contiene l'agente AI.
finding:processes:binary:path: il percorso completo del file binario eseguito.
args: gli argomenti forniti durante l'esecuzione del file binario.
Identifica altri risultati che si sono verificati in un momento simile per l'agente AI interessato. I risultati correlati potrebbero indicare che questa attività era dannosa, anziché un mancato rispetto delle best practice.
Esamina le impostazioni dell'agente AI interessato.
Controlla i log dell'agente AI interessato.
Ricercare metodi di attacco e risposta
- Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Escape to Host.
- Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.
Implementare la risposta
Per i consigli sulla risposta, consulta Rispondere ai risultati di minaccia dell'AI.
Passaggi successivi
- Scopri come utilizzare i risultati di minaccia in Security Command Center.
- Consulta l'indice dei risultati di minaccia.
- Scopri come esaminare un risultato tramite la Google Cloud console.
- Scopri i servizi che generano risultati di minaccia.