Eksekusi: Container Escape

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Biner alat mencurigakan yang diketahui untuk aktivitas container escape telah dieksekusi. Hal ini menunjukkan kemungkinan upaya keluar dari container, di mana proses di dalam container mencoba keluar dari isolasinya dan berinteraksi dengan sistem host atau container lain. Ini adalah temuan dengan tingkat keparahan tinggi, karena menunjukkan bahwa penyerang mungkin berupaya mendapatkan akses di luar batas container, yang berpotensi membahayakan host atau infrastruktur lainnya. Penyusupan container dapat terjadi akibat kesalahan konfigurasi, kerentanan dalam runtime container, atau eksploitasi container dengan hak istimewa.

Layanan deteksi

Deteksi Ancaman Cloud Run

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Execution: Container Escape seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi
     • Argumen: argumen yang diteruskan selama eksekusi biner
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari resource Cloud Run yang terpengaruh

3. Di tab JSON, perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner.

4. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

5. Tinjau setelan penampung yang terpengaruh.

6. Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Escape to Host.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.