Un défenseur intégré à l'application ne peut détecter aucun comportement qui n'est pas via un point d'entrée

Un défenseur intégré à l'application ne peut détecter aucun comportement qui n'est pas via un point d'entrée

4591
Created On 11/07/23 08:46 AM - Last Modified 01/29/25 06:28 AM


Symptom


  • Lorsque nous nous connectons à un conteneur et téléchargeons un exemple de fichier malveillant, un défenseur intégré à l'application ne peut pas le détecter. (Exemple)
    1. Déployer un défenseur App-Embedded et un conteneur de test
    2. Connectez-vous au conteneur de test
    3. Lancez la commande « curl -o ./elf https://wildfire.paloaltonetworks.com/publicapi/test/elf »« commande
  • Vérifiez que le fichier elf n'a pas été détecté
image.png
  • Il n’y a pas d’informations sur la commande curl ci-dessus.
image.png

 

Environment


  • Calcul du cloud Prisma
  • Défenseur intégré à l’application (et fargate)

Cause


Ce comportement est de conception actuelle. 
Un défenseur intégré à l'application (et fargate) ne suit que le point d'entrée du conteneur (et tous ses processus descendants), donc si vous exécutez dans le conteneur, de tels événements ne sont pas censés être capturés par le défenseur.

Resolution


Il n’y a aucun moyen/paramètre pour modifier le comportement actuel.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh8qCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language