Prisma Cloud Compute: App-eingebetteter Defender lässt bestimmte privilegierte Aktionen in AWS Fargate nicht zu

Prisma Cloud Compute: App-eingebetteter Defender lässt bestimmte privilegierte Aktionen in AWS Fargate nicht zu

2724
Created On 09/10/24 19:14 PM - Last Modified 02/19/25 17:57 PM


Symptom


Die Meldung „Vorgang nicht zulässig“ wird angezeigt, wenn ein Benutzer versucht, privilegierte Aktionen auszuführen, z. B. die UID zu ändern oder Chown in Fargate auszuführen, wenn in die App eingebettete Defender bereitgestellt sind.

Environment


Prisma Cloud Compute Edition v33 und darunter
Prisma Cloud Enterprise Edition v33 und niedriger
In die App eingebettete Verteidiger auf AWS Fargate

Cause


1. Die Durchsetzungsfunktion des Verteidigers in Fargate, bei der ein Prozess nur einen vorgegeben Satz von Systemaufrufen ausführen kann und nicht autorisierte oder riskante Aufrufe blockiert werden. Dies minimiert die Angriffsfläche und hilft beim Schutz vor potenziellen Bedrohungen oder Exploits.

2. Darüber hinaus wird „no_new_privs“ verwendet, um zu verhindern, dass Prozesse ihre Berechtigungen erhöhen und so unsere Mechanismen umgangen werden.

3. Für bestimmte Systemaufrufe implementiert Defender Funktionen, um bestimmte Aufrufe selektiv zu überwachen und unsere Laufzeitrichtlinien durchzusetzen.


Fargate blockiert absichtlich die Ausführung mehrerer privilegierter Prozesse. Dies ist ein erwartetes Verhalten, um unsere Sicherheitsbeschränkungen einzuhalten.

Resolution


Ob dieses Verhalten geändert werden kann, wird derzeit über eine Merkmal anfordern/Anforderung analysiert.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Tp9ZCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language