Prisma Cloud Compute: File System Prevent のランタイムが機能しない

Prisma Cloud Compute: File System Prevent のランタイムが機能しない

10797
Created On 11/18/19 18:37 PM - Last Modified 03/02/23 02:48 AM


Symptom


ランタイム ルールで効果を防止に設定すると、Twistlock はコンテナのファイル システムを積極的に防御します。 ランタイム ファイル システムの保護が防止されないシナリオがあり、以下にこれに関する情報を示します。

エラー メッセージ
  • アクティブなモデルの外部のディレクトリに新しいファイルを書き込むことができます。
  • このため、監査/インシデントを受け取ることはありません

Environment


  • SaaS
  • セルフホスト 19.11 以降

Cause


問題を確認する手順
  1. Defender がデプロイされているホストで、実行中のコンテナーでシェルを取得します。 この例では、alpine という名前のコンテナーが既に実行されていると想定しています。
$ docker exec -it alpine sh
  1. ランタイム モデルに含まれていないフォルダーに移動し、シミュレートされたファイル システム攻撃を実行します。
# echo "an attack" >> attack.sh
sh: 攻撃を作成できません.sh: 操作は許可されていません
  1. で監査をレビューするモニター>イベント>コンテナ監査
ランタイム防御は警告を防ぎます

Resolution


  • ランタイム モデルでなければなりませんアクティブ実行中のコンテナ用。
  • サポートされているストレージ ドライバを使用している必要があります。 防止は、オーバーレイ2および devicemapper ストレージ ドライバー。 aufs ではサポートされていません。 overlay2 または devicemapper を使用していない場合は、effect をアラートまたブロック.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNXBCA4&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language