Prisma Cloud Compute : Runtime Audit Event wird nicht generiert, wenn neue Datei aus Webshell hochgeladen wird

Prisma Cloud Compute : Runtime Audit Event wird nicht generiert, wenn neue Datei aus Webshell hochgeladen wird

6264
Created On 11/01/22 03:59 AM - Last Modified 03/02/23 05:18 AM


Symptom


  • Laufzeitüberwachungsereignis wird nicht generiert, wenn neue Datei von Webshell hochgeladen wird.
Beispiel

  • Standardlaufzeitregel, die so konfiguriert ist, dass jede neue Datei erkannt wird, die in /var/www/html/hackable/uploads hochgeladen wird.

 

1.png

  • Die Datei wurde erfolgreich von GUIhochgeladen.
3.png
  • Wenn die Datei geändert oder neu hinzugefügt CLIwird, wird Laufzeitereignis erkannt.
2.png
  • Dasselbe funktioniert jedoch nicht, wenn eine neue Datei aus der Webshell derselben Anwendung hochgeladen wird.

Environment


  • Prisma Cloud Berechnen

Cause


  • Zu diesem Zeitpunkt Prisma Cloud werden keine Move-Ereignisse als Teil unserer Erkennung erkannt.
  • Wir erkennen nur Schreibereignisse in Dateien, da das Verschieben einer Datei nicht wirklich ein "Schreibereignis" ist, da es den Dateiinhalt nicht ändert.
  • Dieses Verhalten wird erwartet und entspricht dem aktuellen Produktdesign, bei dem unser Hauptaugenmerk bei FS der Laufzeiterkennung darauf liegt, eine Datei zu warnen, die in einem Container erstellt / geändert wird, was die Wurzel eines Angriffs ist.

Resolution


  • Wenn eine Dateiverschiebung erkannt werden muss, wird dies als Anforderung für Erweiterungsfunktionen betrachtet.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF0OCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language