アプリ埋め込みディフェンダーは、エントリポイントを経由しない動作を検出できません

アプリ埋め込みディフェンダーは、エントリポイントを経由しない動作を検出できません

5127
Created On 11/07/23 08:46 AM - Last Modified 01/29/25 06:28 AM


Symptom


  • コンテナにログインしてサンプルのマルウェアファイルをダウンロードすると、App-Embeddedのディフェンダーはそれを検出できません。 (例)
    1. アプリ埋め込みディフェンダーとテスト コンテナーをデプロイする
    2. テストコンテナにログインする
    3. 「curl -o ./elf https://wildfire.paloaltonetworks.com/publicapi/test/elf」を実行します。" コマンド
  • elfファイルが検出されなかったことを確認します
画像.png
  • 上記のcurlコマンドに関する情報はありません。
画像.png

 

Environment


  • プリズマクラウドコンピューティング
  • アプリ埋め込み (およびファーゲート) ディフェンダー

Cause


この動作は、現在の設計によるものです。 
アプリ埋め込み (およびファーゲート) ディフェンダーは、コンテナーのエントリポイント (およびそのすべての子孫プロセス) のみを追跡しているため、コンテナーに実行した場合、そのようなイベントがディフェンダーによってキャプチャされることは想定されていません。

Resolution


現在の動作を変更する方法/設定はありません。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh8qCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language