文章目录

• 3、规则解析记录
• • • 3.21、检测是否有非特权用户成功执行userfaultfd系统调用
    • 3.22、监控容器内通过curl/wget的下载行为
    • 3.23、检测容器内修改release_agent文件的场景（无论修改成功与否）
    • 3.24、检测Java进程通过网络加载class类文件的行为，该规则用于检测log4j的应急
    • 3.25、检测在容器内尝试从 /proc 文件中读取环境变量，且不是执行程序为 scsi_id 或 argoexec 进程的情况
    • 3.26、检测非法进程是否尝试使用PTRACE附加到其他进程或者注入代码到其他进程中
    • 3.27、检测一个进程正在使用PTRACE并试图阻止其它进程使用PTRACE去调试自己
    • 3.28、检测一个检测尝试搜索或获取AWS的访问凭据
    • 3.29、检测从/dev/shm目录中执行文件的行为