Un defensor incrustado en la aplicación no puede detectar ningún comportamiento que no sea a través de un punto de entrada

Un defensor incrustado en la aplicación no puede detectar ningún comportamiento que no sea a través de un punto de entrada

4571
Created On 11/07/23 08:46 AM - Last Modified 01/29/25 06:28 AM


Symptom


  • Cuando iniciamos sesión en un contenedor y descargamos un archivo de malware de ejemplo, un defensor de App-Embedded no puede detectarlo. (Ejemplo)
    1. Implementación de un defensor integrado en la aplicación y un contenedor de prueba
    2. Inicie sesión en el contenedor de prueba
    3. Ejecute el "curl -o ./elf https://wildfire.paloaltonetworks.com/publicapi/test/elf"" comando
  • Compruebe que no se ha detectado el archivo elf
Image.png
  • No hay información sobre el comando curl anterior.
Image.png

 

Environment


  • Prisma Cloud Compute
  • Defensor de App-Embedded (y fargate)

Cause


Este comportamiento se debe al diseño actual. 
Un defensor de App-Embedded (y fargate) solo realiza un seguimiento del punto de entrada del contenedor (y todos sus procesos descendientes), por lo que si ejecuta en el contenedor, no se espera que el defensor capture estos eventos.

Resolution


No hay ninguna manera/configuración para cambiar el comportamiento actual.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh8qCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language