Prisma Cloud 计算:File System Prevent 的运行时不工作

Prisma Cloud 计算:File System Prevent 的运行时不工作

10841
Created On 11/18/19 18:37 PM - Last Modified 03/02/23 02:40 AM


Symptom


在您的运行时规则中将效果设置为阻止,Twistlock 会主动保护容器的文件系统。 存在运行时文件系统保护无法阻止的情况,下面将为您提供一些关于此的信息。

错误信息
  • 您将能够将新文件写入活动模型之外的目录。
  • 您不会为此收到审计/事件

Environment


  • 软件即服务
  • 自托管 19.11 或更高版本

Cause


确认问题的步骤
  1. 在部署了 Defender 的主机上,在正在运行的容器中获取一个 shell。 对于这个例子,假设一个名为 alpine 的容器已经在运行:
$ docker exec -it alpine sh
  1. 导航到不在运行时模型中的文件夹并运行模拟文件系统攻击。
# echo "一次攻击" >> attack.sh
sh: 无法创建攻击.sh: 不允许操作
  1. 审查审核监视器>事件>集装箱审核
运行时防御阻止警报

Resolution


  • 运行时模型必须是积极的对于正在运行的容器。
  • 您必须使用受支持的存储驱动程序。 预防支持叠加2和 devicemapper 存储驱动程序。 aufs 不支持它。 如果您不使用 overlay2 或 devicemapper,请将 effect 设置为警报或者堵塞.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNXBCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language