Prisma Cloud Calcul : le runtime pour File System Prevent ne fonctionne pas
10787
Created On 11/18/19 18:37 PM - Last Modified 03/02/23 02:31 AM
Symptom
Avec l’effet défini pour empêcher dans votre règle de temps d’exécution, Twistlock défend activement le système de fichiers d’un conteneur. Il ya un scénario où la protection du système de fichiers runtime ne s’empêchera pas, et ci-dessous vous donnera une certaine ifnormation à ce sujet.
Messages d’erreur
- Vous seriez en mesure d’écrire un nouveau fichier à un répertoire en dehors du modèle actif.
- Vous ne recevrez pas de vérification ou d’incident pour cette
Environment
- Saas
- Auto-hébergé 19.11 ou version ultérieure
Cause
Mesures pour confirmer le problème
- Sur un hôte où un Defender est déployé, obtenez un obus dans un conteneur en cours d’exécution. Par exemple, supposons qu’un conteneur nommé alpine est déjà en cours d’exécution :
$ docker exec -it alpine sh
- Accédez à un dossier qui n’est pas dans le modèle d’exécution et exécutez une attaque simulée du système de fichiers.
# écho « une attaque » >> attack.sh
sh: ne peut pas créer de attack.sh: Opération non autorisée
sh: ne peut pas créer de attack.sh: Opération non autorisée
- Examiner la vérification dans Monitor > Events > Container Audits
Resolution
- Le modèle de temps d’exécution doit être actif pour le conteneur en cours d’exécution.
- Vous devez utiliser un pilote de stockage pris en charge. Prevent est pris en charge pour les pilotes de stockage de recouvrement2 et devicemapper. Il n’est pas pris en charge pour les aufs. Si vous n’utilisez pas superposition2 ou devicemapper, réglez l’effet sur Alert ou Block.