Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Um processo em execução dentro do contêiner executou um binário de ferramenta suspeita conhecido para atividades de escape de contêiner. Isso indica uma possível tentativa de fuga do contêiner, em que um processo dentro do contêiner tenta sair do isolamento e interagir com o sistema host ou outros contêineres. Essa é uma descoberta de alta gravidade, porque sugere que um invasor pode estar tentando acessar além dos limites do contêiner, comprometendo potencialmente o host ou outra infraestrutura. Os escapes de contêineres podem resultar de configurações incorretas, vulnerabilidades em runtimes de contêineres ou exploração de contêineres privilegiados.
O Agent Engine Threat Detection é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Analisar os detalhes da descoberta
Abra a descoberta
Execution: Container Escape, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.Na guia Resumo, confira as informações nas seções abaixo.
- O que foi detectado, especialmente os seguintes campos:
- Binário do programa: o caminho absoluto do binário executado
- Argumentos: os argumentos transmitidos durante a execução do binário.
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
ReasoningEngine)
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
- O que foi detectado, especialmente os seguintes campos:
Na guia JSON, observe os campos a seguir:
resource:project_display_name: o nome do projeto que contém o agente de IA.
finding:processes:binary:path: o caminho completo do binário executado.
args: os argumentos fornecidos ao executar o binário.
Identifique outras descobertas que ocorreram em um momento semelhante para o agente de IA afetado. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.
Revise as configurações do agente de IA afetado.
Verifique os registros do agente de IA afetado.
Pesquisar métodos de ataque e resposta
- Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Escape to Host.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.
Implementar a resposta
Para recomendações de resposta, consulte Responder a descobertas de ameaças de IA.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.