恶意外连

当容器向恶意域名或 IP 发起外连请求时，容器安全服务将检测此类行为，为您提供实时告警。当发现容器存在访问恶意域名/IP 的行为时，您的容器可能已经失陷，因为恶意域名/IP 可能是黑客的远控服务器、恶意软件下载源、矿池地址等。您需要及时进行如下排查：
1.检查容器内的恶意进程及非法端口，删除可疑的启动项和定时任务。
2.对容器存在的风险进行排查，如进行漏洞扫描、木马扫描等
3.对容器所使用的镜像进行加固，并替换运行中的容器。

事件列表
事件概览
在事件列表页面的事件概览中，将根据系统上报的安全事件，实时统计待处理的恶意外连事件及其影响的容器数量。

事件列表


查看详情
在事件列表中，单击详情，进入事件详情，展示事件详情，关联容器、镜像、主机等资产信息，风险描述，解决方案，请求域名详情和三层进程信息。

处理事件
在事件列表中，单击处理，可以选择对事件进行添加白名单、标记已处理、隔离容器、忽略和删除记录，单击确定。

2.在二次确认窗口中，进行如下操作：
添加白名单：输入白名单域名和备注，单击确认。添加白名单时，系统会根据加白的来源事件自动填入请求的域名，如有需要可手动调整为母域名。同时可勾选“批量处理相同事件（将相同域名触发的待处理事件批量加白）”，勾选并确认后，系统将批量对相同域名产生的安全事件批量加白处理。

标记已处理：建议您参照事件详情中的“解决方案”，人工对该事件风险进行处理，单击确定，处理后可将事件标记为已处理。
隔离容器：若您确认隔离该容器，系统将禁止该容器的网络通信并将事件标记为已处理，请谨慎操作。单击确定隔离后，可在更多操作或容器资产列表中解除隔离。
忽略：单击确定，仅将本次告警事件进行忽略，若再有相同事件发生依然会进行告警。 删除：单击删除，删除已选事件记录，控制台将不再显示，无法恢复记录，请慎重操作。 黑白名单管理
除容器安全服务产品提供的系统黑名单，客户也可自定义域名黑名单和域名白名单。黑白名单生效优先级为：白名单 > 黑名单。
黑名单：当容器向名单中的域名发起外连请求时，系统将判定为恶意外联行为，为您产生实时告警，可前往 事件列表 查看。
白名单：当容器向白名单中的域名发起外连请求时，系统将直接放行，不再进行告警。 黑名单管理
1.在黑名单列表页签，单击添加黑名单。

2.在添加黑名单窗口中，可支持批量新增多个自定义黑域名；输入域名时，支持前缀置空的泛域名，例如.ccb.com；泛域名下的子域名均会告警。

3.单击确认，列表将根据实际输入的域名生成记录；当输入多个域名时，将生成多条记录。
白名单管理
在白名单列表页签，单击添加白名单。

在添加白名单窗口中，可支持批量新增多个自定义白域名；输入域名时，支持前缀置空的泛域名，例如.ccb.com；泛域名下的子域名均会被放行，不产生告警。

3.单击确认，列表将根据实际输入的域名生成记录；当输入多个域名时，将生成多条记录。