Prisma Cloud 计算:从 Webshell 上传新文件时未生成运行时审计事件
6252
Created On 11/01/22 03:59 AM - Last Modified 03/02/23 05:16 AM
Symptom
- 从 Webshell 上传新文件时未生成运行时审计事件。
默认运行时规则配置为检测 /var/www/html/hackable/uploads 中上传的任何新文件。
- 文件上传成功GUI.
- 当文件被修改或新增时CLI,检测到运行时事件。
- 但是,当从同一应用程序的 Webshell 上传新文件时,同样不起作用。
Environment
- Prisma Cloud 计算
Cause
- 此时,Prisma Cloud不会将 Move 事件检测为我们检测的一部分。
- 我们只检测文件的写入事件,因为移动文件并不是真正的“写入”事件,因为它不会修改文件内容。
- 这种行为是预期的,并且根据当前的产品设计,我们主要关注的是FS运行时检测是对容器中正在创建/更改的文件发出警报,这是攻击的根源。
Resolution
- 如果有检测文件移动的需求,将被视为增强功能请求。