Prisma Cloud Proceso: El tiempo de ejecución de File System Prevent no funciona
10791
Created On 11/18/19 18:37 PM - Last Modified 03/02/23 02:43 AM
Symptom
Con el efecto establecido en Prevent en la regla de tiempo de ejecución, Twistlock defiende activamente el sistema de archivos de un contenedor. Hay un escenario en el que la protección del sistema de archivos en tiempo de ejecución no se impedirá, y a continuación le dará algo de ifnormation en esto.
Mensajes de error
- Podría escribir un nuevo archivo en un directorio fuera del modelo activo.
- Usted no recibiría una auditoría / incidente para este
Environment
- Saas
- Autohospedado 19.11 o posterior
Cause
Pasos para confirmar el problema
- En un host donde se implementa un Defensor, obtenga un shell en un contenedor en ejecución. En este ejemplo, supongamos que un contenedor denominado alpine ya se está ejecutando:
$ docker exec -it alpine sh
- Vaya a una carpeta que no está en el modelo en tiempo de ejecución y ejecute un ataque de sistema de archivos simulado.
# eco "un ataque" >> attack.sh
sh: no se puede crear attack.sh: Operación no permitida
sh: no se puede crear attack.sh: Operación no permitida
- Revise la auditoría en Supervisar eventos > > auditorías de contenedor
Resolution
- El modelo en tiempo de ejecución debe estar activo para el contenedor en ejecución.
- Debe usar un controlador de almacenamiento compatible. Prevent es compatible con los controladores de almacenamiento overlay2 y devicemapper. No es compatible con aufs. Si no usa superposición2 o devicemapper, establezca el efecto en Alerta o Bloquear.