App-Embedded Defender 无法检测到任何不通过入口点的行为

App-Embedded Defender 无法检测到任何不通过入口点的行为

4549
Created On 11/07/23 08:46 AM - Last Modified 01/29/25 06:28 AM


Symptom


  • 当我们登录容器并下载示例恶意软件文件时,App-Embedded Defender 无法检测到它。 (示例)
    1. 部署 App-Embedded Defender 和测试容器
    2. 登录测试容器
    3. 运行“curl -o ./elf https://wildfire.paloaltonetworks.com/publicapi/test/elf”“命令
  • 检查未检测到 elf 文件
image.png
  • 没有关于上述 curl 命令的信息。
image.png

 

Environment


  • 普里斯玛云计算
  • App-Embedded(和 fargate)防御者

Cause


此行为是当前设计。 
App-Embedded(和 fargate)防御者仅跟踪容器的入口点(及其所有后代进程),因此,如果您执行到容器中,则防御者预计不会捕获此类事件。

Resolution


没有办法/设置来更改当前行为。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Xh8qCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language