Prisma Cloud Compute : Webshell から新しいファイルがアップロードされたときにランタイム監査イベントが生成されない
6244
Created On 11/01/22 03:59 AM - Last Modified 03/02/23 05:18 AM
Symptom
- 新しいファイルが Webshell からアップロードされたときにランタイム監査イベントが生成されない。
/var/www/html/hackable/uploads にアップロードされた新しいファイルを検出するように構成されたデフォルトのランタイム ルール。
- からファイルが正常にアップロードされましたGUI.
- ファイルが変更または新規追加されたときCLI、実行時イベントが検出されました。
- ただし、同じアプリケーションの Webshell から新しいファイルがアップロードされた場合も同様に機能しません。
Environment
- Prisma Cloud コンピューティング
Cause
- 現時点では、Prisma Cloud検出の一部として Move イベントを検出しません。
- ファイルの内容を変更しないため、ファイルの移動は実際には「書き込み」イベントではないため、ファイルへの書き込みイベントのみを検出します。
- この動作は予期されたものであり、現在の製品設計に従っており、主な焦点はFSランタイム検出は、攻撃のルートであるコンテナ内でファイルが作成/変更されていることを警告することです。
Resolution
- ファイルの移動を検出する要件がある場合は、拡張機能の要求と見なされます。