Prisma Cloud Proceso: el evento de auditoría en tiempo de ejecución no se genera cuando se carga un nuevo archivo desde Webshell

Prisma Cloud Proceso: el evento de auditoría en tiempo de ejecución no se genera cuando se carga un nuevo archivo desde Webshell

6266
Created On 11/01/22 03:59 AM - Last Modified 03/02/23 05:16 AM


Symptom


  • Evento de auditoría en tiempo de ejecución no generado cuando se carga un nuevo archivo desde Webshell.
Ejemplo

  • Regla de tiempo de ejecución predeterminada configurada para detectar cualquier archivo nuevo cargado en /var/www/html/hackable/uploads.

 

1.png

  • El archivo se ha cargado correctamente desde GUI.
3. png
  • Cuando se modifica el archivo o se agrega un nuevo en CLI, se detecta un evento en tiempo de ejecución.
2.png
  • Sin embargo, lo mismo no funciona cuando se carga un nuevo archivo desde Webshell de la misma aplicación.

Environment


  • Prisma Cloud Calcular

Cause


  • En este momento, Prisma Cloud no detecta eventos Move como parte de nuestra detección.
  • Solo detectamos eventos de escritura en archivos, ya que mover un archivo no es realmente un evento de "escritura", ya que no modifica el contenido del archivo.
  • Este comportamiento es esperado y según el diseño actual del producto, donde nuestro enfoque principal con FS la detección de tiempo de ejecución es alertar sobre un archivo que se crea / cambia en un contenedor, que es la raíz de un ataque.

Resolution


  • Si existe un requisito de detección de movimiento de archivos, se considerará como solicitud de característica de mejora.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF0OCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language