添加自定义规则

说明
不支持添加“主机异常”类的自定义规则。

登录容器安全卫士控制台。
在左侧导航栏，选择“容器安全 > 容器策略”，进入容器策略页面。
选择“入侵检测规则”页签。
单击“添加规则”，进入添加规则页面。
在入侵检查规则页面输入规则名称（必填）和规则描述（非必填），选择是否启用，输入告警信息、选择规则类型（命令执行、网络活动、文件读写、文件内容）、Att&ck战术、Att&ck技术、风险等级、规则内容（DSL）、修复建议、开启建议。
单击“保存”，生成一条新规则。

系统内置规则

类型 检测项 说明
命令执行 启动特权容器 以特权模式启动容器相当于拥有服务器的管理员权限，可以操作服务器上的任何资源、执行任意命令。
容器内使用ncat工具 该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。
容器内使用特定网络工具 该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。
执行敏感命令 此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。
搜索私钥行为 攻击者搜索可利用的私钥从而登录并攻陷对应的服务器。
疑似contanerd逃逸 发现可以进程，疑似为利用cve-2020-15257进行逃逸，请确认是否为黑客行为。
疑似修改命名空间逃逸 发现可疑进程，疑似容器内获取宿主机权限后修改容器命名空间为宿主机命名空间以达成容器逃逸，请确认是否为黑客行为。
执行远程文件传输命令 攻击者常利用此命令来下载后门、上传敏感信息等。
创建指向敏感文件的软连接 攻击者常利用此命令来提升权限，业务进程较少使用。
脏牛漏洞提权 利用Linux系统的Copy On Write写时复制的竞争条件漏洞，达到权限提升的目的，攻击者可利用此漏洞提升为管理员权限从而控制服务器。
容器内sudo漏洞利用 利用CVE-2019-14287，可以进行提权行为。
kubectl cp漏洞利用 利用CVE-2019-1002101，关于kubectl cp漏洞利用行为。
java内存马 攻击者利用java的类缺陷，动态的修改java程序在内存中的代码段，注入远控后门程序，实现远程控制，具有隐蔽、不落盘等特点。
启动挖矿程序 攻击者在服务器上植入挖矿程序，占用服务器大量计算资源挖矿，会导致业务进程缓慢、卡死等风险。
启动远程木马程序 攻击者入侵成功后留下的远控后门，方便持续渗透。
执行具有setuid位的命令 此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。
伪装k8s容器 此类通常为攻击者进行伪装的恶意容器。
启动容器挂载目录 当容器挂载了一些风险目录时，容器内可以修改宿主机中的某些关键文件，将会有逃逸或者提权的风险。
启动具有敏感权限容器 此类行为容易增加逃逸风险。
隧道利用 该方式是攻击者经常使用，用于下载数据、探测信息等。
疑似CVE-2021-3156漏洞利用 利用CVE-2021-3156，可以进行提权行为。
疑似CVE-2021-25741漏洞利用 利用CVE-2021-25741，可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。
疑似CVE-2022-0492漏洞利用 利用CVE-2022-0492，可以绕过命名空间隔离，从而造成容器逃逸。
执行恶意脚本 发现容器内部执行恶意脚本，请检查是否是黑客行为。
内存恶意代码执行 发现容器内部内存恶意代码执行，请检查是否是黑客行为。
疑似webshell执行命令 发现容器内疑似webshell执行命令。
crond执行恶意脚本 发现容器内crond执行恶意脚本，请检查是否为黑客行为。
疑似dind逃逸漏洞利用 当容器挂载了docker.sock或者其根目录，容器内如果安装docker,就可利用docker联系docker.sock创建新的容器并挂载宿主机敏感目录，以达到容器逃逸的目的。
疑似cve-2018-15664逃逸 发现可疑进程，疑似为利用docker cp进行逃逸，请确认是否为黑客行为。
疑似特权容器挂载设备逃逸 发现可疑进程，疑似为利用特权容器挂载设备逃逸，请确认是否为黑客行为。
疑似容器逃逸 发现容器内文件以宿主机进程执行，具有容器逃逸的风险，请确认是否为黑客行为。
从磁盘中删除大容量数据 此类行为通常为攻击者破坏数据、清除痕迹的操作，也有可能是业务进程清理日志，请根据详情进一步确认。
执行恶意脚本 发现容器内部执行恶意脚本，请检查是否是黑客行为。
crond执行恶意脚本 发现容器内crond执行恶意脚本，请检查是否为黑客行为。
容器内proc目录被挂载 发现容器内的/proc目录被挂载，请检查容器是否为黑客启动。
添加setuid权限 为文件添加setuid权限。
读写文件 runc逃逸漏洞利用 疑似利用runc逃逸漏洞CVE-2019-5736。
容器内发现恶意文件 此类文件通常为病毒、木马等具有破坏行为的文件。
篡改计划任务 此类通常为攻击者的恶意操作。
docker-cp漏洞利用 利用CVE-2019-14271，关于docker cp的提权漏洞。
疑似CVE-2021-4034漏洞利用行为 利用CVE-2021-4034，可以进行提取行为。
操作敏感文件 此类行为可将正常的可执行文件修改为具有破坏行为的文件。
篡改容器内可执行文件 此类行为可将正常的可执行文件修改为具有破坏行为的文件。
疑似mount-procfs容器逃逸 /proc/sys/kernel/core_pattern文件是负责进程奔溃时内存数据转储的，当第一个字符是管道符|时， 后面的部分会以命令行的方式进行解析并运行。
疑似重写devices.allow逃逸 发现可疑进程，疑似为利用重写devices.allow进行逃逸，请确认是否为黑客行为。
网络活动 反弹shell操作 攻击者常利用此命令来绕过防火墙规则，远程控制服务器。
容器暴力破解 此类行为通常是攻击者在尝试获取目标服务的权限。
文件内容 -
支持自定义文件内容检测。
主机异常 通过docker exec进入pod 通过kubectl exec进入pod，某些情况不允许。
通过docker_exec进入容器 通过docker exec进入pod，某些情况不允许。
反弹shell操作 攻击者常利用此命令来绕过防火墙规则，远程控制服务器。
runc被篡改 此类行为可能为逃逸行为。
高危系统调用使用 此行为可能造成攻击利用。
宿主机上使用特定网络工具 该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。

智算服务

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

容器安全卫士

容器安全卫士

添加自定义规则

系统内置规则

类型	检测项	说明
命令执行	启动特权容器	以特权模式启动容器相当于拥有服务器的管理员权限，可以操作服务器上的任何资源、执行任意命令。
	容器内使用ncat工具	该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。
	容器内使用特定网络工具	该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。
	执行敏感命令	此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。
	搜索私钥行为	攻击者搜索可利用的私钥从而登录并攻陷对应的服务器。
	疑似contanerd逃逸	发现可以进程，疑似为利用cve-2020-15257进行逃逸，请确认是否为黑客行为。
	疑似修改命名空间逃逸	发现可疑进程，疑似容器内获取宿主机权限后修改容器命名空间为宿主机命名空间以达成容器逃逸，请确认是否为黑客行为。
	执行远程文件传输命令	攻击者常利用此命令来下载后门、上传敏感信息等。
	创建指向敏感文件的软连接	攻击者常利用此命令来提升权限，业务进程较少使用。
	脏牛漏洞提权	利用Linux系统的Copy On Write写时复制的竞争条件漏洞，达到权限提升的目的，攻击者可利用此漏洞提升为管理员权限从而控制服务器。
	容器内sudo漏洞利用	利用CVE-2019-14287，可以进行提权行为。
	kubectl cp漏洞利用	利用CVE-2019-1002101，关于kubectl cp漏洞利用行为。
	java内存马	攻击者利用java的类缺陷，动态的修改java程序在内存中的代码段，注入远控后门程序，实现远程控制，具有隐蔽、不落盘等特点。
	启动挖矿程序	攻击者在服务器上植入挖矿程序，占用服务器大量计算资源挖矿，会导致业务进程缓慢、卡死等风险。
	启动远程木马程序	攻击者入侵成功后留下的远控后门，方便持续渗透。
	执行具有setuid位的命令	此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。
	伪装k8s容器	此类通常为攻击者进行伪装的恶意容器。
	启动容器挂载目录	当容器挂载了一些风险目录时，容器内可以修改宿主机中的某些关键文件，将会有逃逸或者提权的风险。
	启动具有敏感权限容器	此类行为容易增加逃逸风险。
	隧道利用	该方式是攻击者经常使用，用于下载数据、探测信息等。
	疑似CVE-2021-3156漏洞利用	利用CVE-2021-3156，可以进行提权行为。
	疑似CVE-2021-25741漏洞利用	利用CVE-2021-25741，可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。
	疑似CVE-2022-0492漏洞利用	利用CVE-2022-0492，可以绕过命名空间隔离，从而造成容器逃逸。
	执行恶意脚本	发现容器内部执行恶意脚本，请检查是否是黑客行为。
	内存恶意代码执行	发现容器内部内存恶意代码执行，请检查是否是黑客行为。
	疑似webshell执行命令	发现容器内疑似webshell执行命令。
	crond执行恶意脚本	发现容器内crond执行恶意脚本，请检查是否为黑客行为。
	疑似dind逃逸漏洞利用	当容器挂载了docker.sock或者其根目录，容器内如果安装docker,就可利用docker联系docker.sock创建新的容器并挂载宿主机敏感目录，以达到容器逃逸的目的。
	疑似cve-2018-15664逃逸	发现可疑进程，疑似为利用docker cp进行逃逸，请确认是否为黑客行为。
	疑似特权容器挂载设备逃逸	发现可疑进程，疑似为利用特权容器挂载设备逃逸，请确认是否为黑客行为。
	疑似容器逃逸	发现容器内文件以宿主机进程执行，具有容器逃逸的风险，请确认是否为黑客行为。
	从磁盘中删除大容量数据	此类行为通常为攻击者破坏数据、清除痕迹的操作，也有可能是业务进程清理日志，请根据详情进一步确认。
	执行恶意脚本	发现容器内部执行恶意脚本，请检查是否是黑客行为。
	crond执行恶意脚本	发现容器内crond执行恶意脚本，请检查是否为黑客行为。
	容器内proc目录被挂载	发现容器内的/proc目录被挂载，请检查容器是否为黑客启动。
	添加setuid权限	为文件添加setuid权限。
读写文件	runc逃逸漏洞利用	疑似利用runc逃逸漏洞CVE-2019-5736。
	容器内发现恶意文件	此类文件通常为病毒、木马等具有破坏行为的文件。
	篡改计划任务	此类通常为攻击者的恶意操作。
	docker-cp漏洞利用	利用CVE-2019-14271，关于docker cp的提权漏洞。
	疑似CVE-2021-4034漏洞利用行为	利用CVE-2021-4034，可以进行提取行为。
	操作敏感文件	此类行为可将正常的可执行文件修改为具有破坏行为的文件。
	篡改容器内可执行文件	此类行为可将正常的可执行文件修改为具有破坏行为的文件。
	疑似mount-procfs容器逃逸	/proc/sys/kernel/core_pattern文件是负责进程奔溃时内存数据转储的，当第一个字符是管道符\|时，后面的部分会以命令行的方式进行解析并运行。
	疑似重写devices.allow逃逸	发现可疑进程，疑似为利用重写devices.allow进行逃逸，请确认是否为黑客行为。
网络活动	反弹shell操作	攻击者常利用此命令来绕过防火墙规则，远程控制服务器。
网络活动	容器暴力破解	此类行为通常是攻击者在尝试获取目标服务的权限。
文件内容	-	支持自定义文件内容检测。
主机异常	通过docker exec进入pod	通过kubectl exec进入pod，某些情况不允许。
	通过docker_exec进入容器	通过docker exec进入pod，某些情况不允许。
	反弹shell操作	攻击者常利用此命令来绕过防火墙规则，远程控制服务器。
	runc被篡改	此类行为可能为逃逸行为。
	高危系统调用使用	此行为可能造成攻击利用。
	宿主机上使用特定网络工具	该类工具是攻击者经常使用的工具，用于下载工具、探测信息、进一步渗透等，业务进程较少使用。