Tencent Cloud

Recent Pages

容器逃逸

最后更新时间：2024-01-23 15:44:44

事件列表
查看设置状态
1. 登录 容器安全服务控制台，在左侧导航中，单击运行时安全 > 容器逃逸，进入容器逃逸页面。
2. 在容器逃逸页面，安全状态模块展示是否存在容器逃逸事件。如检测发现容器逃逸事件，建议立即处理。
﻿
﻿
3. 在容器逃逸页面，监控状态模块展示系统支持检测的容器逃逸事件类型，单击可开启
﻿
图标，可自定义设置监控状态。
﻿
﻿
查看容器逃逸列表
登录 容器安全服务控制台，在左侧导航中，单击运行时安全 > 容器逃逸，进入容器逃逸页面。
筛选刷新容器逃逸
1. 在容器逃逸页面，单击搜索框，可通过“容器名称、镜像名称和节点名称”等关键词对容器逃逸事件进行查询。
﻿
﻿
2. 在容器逃逸页面，单击操作栏右侧
﻿
图标，即可刷新容器逃逸事件。
导出容器逃逸
在容器逃逸页面，单击
﻿
图标勾选所需的容器逃逸事件后，单击
﻿
图标即可导出容器逃逸事件。
说明：
 可单击
﻿
图标勾选多个镜像后，单击
﻿
图标可进行批量导出。
﻿
﻿
﻿
事件状态处理
在容器逃逸页面，可对容器逃逸事件进行标记已处理、忽略和删除处理。
标记已处理：单击
﻿
图标勾选所需的容器逃逸事件后，单击标记已处理 > 确定，即可将选中事件标记已处理。
说明：
 建议您参照事件详情中的“解决方案”，人工对该事件风险进行处理，可将事件标记为已处理。
忽略：单击
﻿
图标勾选所需的容器逃逸事件后，单击忽略 > 确定，即可将选中事件忽略。
说明：
 仅将已选事件进行忽略，若再有相同事件发生依然会进行告警。
删除：单击
﻿
图标勾选所需的容器逃逸事件后，单击删除 > 确定，即可将选中事件删除。
注意：
 删除已选事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
查看列表详情
1. 在容器逃逸页面，单击事件类型左侧
﻿
	图标，可查看事件描述。
﻿
﻿
2. 在容器逃逸页面， 单击“容器名称/ID ”或“镜像名称/ID”，可跳转至对应的资产管理列表。
﻿
﻿
3. 在容器逃逸页面，单击查看详情，右侧抽屉展示事件详情信息，包括告警事件详情、进程信息和事件描述。
﻿
﻿
4. 在容器逃逸页面，事件状态包含已处理、已忽略和待处理。可对不同状态的事件进行以下操作：
已处理：单击删除，并在弹窗中进行二次确认删除，可将事件删除。
说明：
 删除该事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
﻿
待处理：单击立即处理，可将事件标记为已处理、忽略或删除该事件，详情请参见 事件状态处理。
﻿
已忽略：单击取消忽略或删除，可将事件变为待处理或删除。
﻿
自定义列表管理
1. 在容器逃逸页面，单击
﻿
图标，弹出自定义列表管理弹窗，在弹窗中可以自定义设定列表管理。
2. 在自定义列表管理弹窗，选择所需的类型后，单击确定，即可完成设置自定义列表管理。
﻿
列表字段说明
1. 事件类型：容器逃逸告警事件类型，包括宿主机文件访问逃逸、MountNamespace 逃逸、程序提权逃逸、特权容器启动逃逸、敏感路径挂载和 Syscall 逃逸。
2. 首次生成时间：该逃逸事件首次触发告警的时间。
说明：
 系统默认对未处理的相同逃逸事件进行告警聚合。
3. 最近生成时间：聚合的告警事件最近触发告警的时间。可单击右侧“排序”按钮对列表事件按时间正序和时间反序进行排列。
4. 事件数量：聚合时间范围内该逃逸事件触发告警的总数量。
5. 状态：包括已处理、已忽略、未处理、已加白，支持按状态对列表事件进行快速筛选。
逃逸白名单
排查容器逃逸告警时，如部分业务容器需以特权模式启动、需挂载敏感路径或其他会导致逃逸告警的配置，可进行加白处理。加白操作分类两类：根据告警事件加白和在白名单管理页面新建白名单。
加白告警事件
1. 在 容器逃逸页面，如需对告警事件进行加白，单击处理，选择加入白名单，单击确定。
注意：
 若您确认该类容器逃逸属于正常行为，可将该容器的关联镜像添加白名单，后续镜像关联的容器再出现此类逃逸行为，将直接放行不再告警，请谨慎操作。
﻿

2. 在添加白名单镜像页面，默认勾选告警事件中关联的逃逸告警类型和来源镜像，您也可以在此基础上增加勾选加白事件类型和需要加白的镜像，单击确定即可完成白名单配置。
﻿

3. 如需对某种事件类型进行全部镜像加白，您可以单击监控状态右侧的监控设置，对开启监控的风险类型进行调整。
﻿
白名单管理
用户也可在白名单管理页面，批量新增白名单，避免后续产生告警。
添加白名单
1. 在  容器逃逸 > 白名单管理页面，单击添加白名单策略。
﻿
﻿
2. 在添加白名单镜像页面，选择加白事件类型和生效的镜像，也可批量选择需加白的事件类型和生效的镜像，单击确定。
﻿
﻿
3. 添加白名单完毕后，白名单管理列表以镜像 ID 对白名单进行统一管理，展示每一个镜像已加白的事件类型。例如添加白名单时勾选了3个镜像，那么列表中将更新3条白名单镜像记录。
编辑白名单
编辑单个白名单
1.1 在  容器逃逸 > 白名单管理页面，单击目标镜像操作列的编辑加白类型。
﻿
﻿
1.2 在编辑加白事件类型对话框中，修改加白事件类型，单击保存。
﻿
﻿
批量编辑白名单
如需批量对多个镜像进行加白事件类型变更、且这些镜像需加白的类型一致，按照如下操作修改：
1.1 在  容器逃逸 > 白名单管理页面，选择一个或多个镜像，单击左上角的编辑加白类型。
﻿
﻿
1.2 在编辑加白事件类型对话框中，修改加白事件类型，单击保存。
注意：
 对所选镜像进行事件类型编辑后，原先已设置的事件类型内容将被清空。
﻿
删除白名单
1. 在  容器逃逸 > 白名单管理页面，可删除单个白名单或批量删除白名单。
删除单个白名单： 选择所需镜像，单击操作列的删除。
﻿
﻿
批量删除白名单：选择一个或多个镜像，单击左上角的删除。
﻿
﻿
2. 在确认删除对话框中，单击确认，即可删除目标白名单。
注意：
 确认删除后将无法恢复，该白名单镜像在触发此类逃逸时将再次产生告警。