Prisma Cloud Compute: Laufzeit für File System Prevent funktioniert nicht
10775
Created On 11/18/19 18:37 PM - Last Modified 03/02/23 02:42 AM
Symptom
Mit dem Effekt auf Verhindern in Ihrer Laufzeitregel setzt Twistlock aktiv das Dateisystem eines Containers. Es gibt ein Szenario, in dem der Laufzeitdateisystemschutz nicht verhindert wird, und unten erhalten Sie einige ifNormation auf diesem.
Fehlermeldungen
- Sie könnten eine neue Datei in ein Verzeichnis außerhalb des aktiven Modells schreiben.
- Sie würden keine Prüfung/Einen Vorfall für diese
Environment
- Saas
- Selbst gehostet 19.11 oder höher
Cause
Schritte zum Bestätigen des Problems
- Auf einem Host, auf dem ein Defender bereitgestellt wird, erhalten Sie eine Shell in einem laufenden Container. Angenommen, in diesem Beispiel wird bereits ein Container mit dem Namen alpine ausgeführt:
$ docker exec -it alpine sh
- Navigieren Sie zu einem Ordner, der sich nicht im Laufzeitmodell befindet, und führen Sie einen simulierten Dateisystemangriff aus.
Echo "ein Angriff" >> attack.sh
sh: kann keine attack.sh erstellen: Operation nicht erlaubt
sh: kann keine attack.sh erstellen: Operation nicht erlaubt
- Überprüfen der Überwachung in Monitor >-Ereignissen > Container-Audits
Resolution
- Das Laufzeitmodell muss für den ausgeführten Container aktiv sein.
- Sie müssen einen unterstützten Speichertreiber verwenden. Prevent wird für die Speichertreiber overlay2 und devicemapper unterstützt. Es wird für Aufs nicht unterstützt. Wenn Sie overlay2 oder devicemapper nicht verwenden, setzen Sie den Effekt auf Warnung oder Blockieren.