Cloud Run Threat Detection은 지원되는 Cloud Run 리소스의 상태를 지속적으로 모니터링하여 가장 일반적인 런타임 공격을 감지하는 Security Command Center의 기본 제공 서비스입니다. Cloud Run Threat Detection에서 공격을 감지하면 Security Command Center에 거의 실시간으로 발견 항목이 생성됩니다.
Cloud Run Threat Detection 런타임 감지기는 의심스러운 바이너리 및 라이브러리의 Cloud Run 리소스를 모니터링하고 자연어 처리(NLP)를 사용하여 악성 Bash 및 Python 코드를 감지합니다.
또한 Event Threat Detection을 통해 컨트롤 플레인 감지기를 사용할 수 있습니다. 이러한 감지기는 조직 또는 프로젝트의 Cloud Logging 스트림을 모니터링하여 Cloud Run 리소스의 컨트롤 플레인에 대한 잠재적 공격을 감지합니다.
지원되는 리소스
Cloud Run Threat Detection은 다음 리소스를 모니터링합니다.
지원되는 실행 환경
지원되는 실행 환경은 런타임 감지기와 컨트롤 플레인 감지기에 따라 다릅니다.
런타임 감지기의 지원되는 실행 환경
Cloud Run Threat Detection 런타임 감지기는 2세대 실행 환경에서 실행되는 Cloud Run 리소스만 지원합니다. Cloud Run Threat Detection을 사용 설정하기 전에 다음 사항을 고려하세요.
Cloud Run Threat Detection을 사용 설정하면 1세대 실행 환경에서 실행되는 Cloud Run 서비스 또는 서비스 버전을 만들 수 없습니다. Cloud Run 서비스는 2세대 실행 환경을 사용해야 합니다. Cloud Run Threat Detection을 사용 설정하기 전에 2세대 실행 환경에서 워크로드를 테스트하는 것이 좋습니다.
서비스에 런타임 위협 감지를 사용 설정하려면 서비스의 실행 환경을 2세대 또는 기본 실행 환경으로 설정하는 버전을 배포합니다.
컨트롤 플레인 감지기의 지원되는 실행 환경
컨트롤 플레인 감지기는 1세대 및 2세대 실행 환경을 모두 지원합니다.
Cloud Run Threat Detection 런타임 위협 감지 작동 방식
Cloud Run Threat Detection을 사용 설정하면 지원되는 Cloud Run 리소스에서 원격 분석을 수집하여 런타임 공격을 나타낼 수 있는 프로세스, 스크립트, 라이브러리를 분석합니다. 다음은 이벤트가 감지될 때의 실행 경로입니다.
- Cloud Run Threat Detection은 워처 프로세스를 사용하여 Cloud Run 워크로드의 전체 기간 동안 컨테이너 및 이벤트 정보를 수집합니다.
Cloud Run Threat Detection은 수집된 이벤트 정보를 분석하여 이벤트가 이슈를 나타내는지 확인합니다. NLP를 사용하여 Bash 및 Python 스크립트에서 악성 코드를 분석합니다.
Cloud Run Threat Detection에서 이슈를 식별하면 이슈를 Security Command Center의 발견 항목으로 보고합니다.
Cloud Run Threat Detection이 이슈를 식별하지 못하면 정보가 저장되지 않습니다.
수집된 모든 데이터는 일시적이며 영구적으로 저장되지 않습니다.
Google Cloud 콘솔에서 Cloud Run Threat Detection 발견 항목을 검토하는 방법에 관한 자세한 내용은 발견 항목 검토를 참조하세요.
알려진 문제
- Cloud Run 서비스 또는 작업의 실행 중인 인스턴스에서 워처 프로세스가 조기 종료되면 워처 프로세스가 다시 시작되지 않습니다. 해당 인스턴스가 Cloud Run Threat Detection으로 원격 분석 정보를 전송하지 않습니다. Cloud Run Threat Detection 로그가 인스턴스 로그에 없습니다. 워처 프로세스가 중지되었다는 지표가 없습니다.
감지기
이 섹션에는 사용 가능한 런타임 및 컨트롤 플레인 감지기가 나와 있습니다. 새로운 클라우드 위협이 등장함에 따라 새로운 감지기가 정기적으로 추가됩니다.
런타임 감지기
Cloud Run Threat Detection에는 다음과 같은 런타임 감지기가 포함됩니다.
| 표시 이름 | API 이름 | 설명 |
|---|---|---|
| 명령 및 제어: 스테가노그래피 도구 감지됨 | CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED |
Unix 계열 환경에서 흔히 사용되는 스테가노그래피 도구로 식별되는 프로그램이 실행되었습니다. 이는 통신 또는 데이터 전송을 은폐하려는 시도일 수 있습니다. 공격자는 스테가노그래피 기법을 활용하여 겉보기에 무해한 디지털 파일 내에 악성 명령 및 제어(C2) 지침이나 유출된 데이터를 삽입하여 표준 보안 모니터링 및 감지를 회피하려고 할 수 있습니다. 이러한 도구의 사용을 식별하는 것은 숨겨진 악성 활동을 발견하는 데 매우 중요합니다. |
| 사용자 인증 정보 액세스: Google Cloud 사용자 인증 정보 찾기 | CLOUD_RUN_FIND_GCP_CREDENTIALS |
컨테이너 환경 내에서 Google Cloud 비공개 키, 비밀번호 또는 기타 민감한 사용자 인증 정보를 검색하는 명령어가 실행되었습니다. 공격자는 도용된 Google Cloud 사용자 인증 정보를 사용하여 대상 Google Cloud 환경 내의 민감한 정보 또는 리소스에 불법적으로 액세스할 수 있습니다. |
| 사용자 인증 정보 액세스: GPG 키 정탐 | CLOUD_RUN_GPG_KEY_RECONNAISSANCE |
GPG 보안 키를 검색하는 명령어가 실행되었습니다. 공격자는 도난당한 GPG 보안 키를 사용하여 암호화된 통신 또는 파일에 무단으로 액세스할 수 있습니다. |
| 사용자 인증 정보 액세스: 비공개 키 또는 비밀번호 검색 | CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
컨테이너 환경 내에서 비공개 키, 비밀번호 또는 기타 민감한 사용자 인증 정보를 검색하는 명령어가 실행되어 인증 데이터를 수집하려는 시도가 있을 수 있음을 나타냅니다. 공격자는 시스템에 무단으로 액세스하거나, 권한을 에스컬레이션하거나, 환경 내에서 수평으로 이동하기 위해 사용자 인증 정보 파일을 검색하는 경우가 많습니다. 이러한 활동을 감지하는 것은 보안 침해를 방지하는 데 매우 중요합니다. |
| 방어 회피: Base64 ELF 파일 명령줄 | CLOUD_RUN_BASE64_ELF_FILE_CMDLINE |
ELF(실행 파일 및 연결 가능한 형식) 파일을 인수로 포함한 프로세스가 실행되었습니다. 인코딩된 ELF 파일 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 탐지를 회피하고, ELF 파일에 숨겨진 악성 코드를 실행할 수 있습니다. |
| 방어 회피: base64로 인코딩된 Python 스크립트 실행됨 | CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
base64로 인코딩된 Python 스크립트를 인수로 포함한 프로세스가 실행되었습니다. 인코딩된 Python 스크립트 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 탐지를 회피하고, Python 스크립트에 숨겨진 악성 코드를 실행할 수 있습니다. |
| 방어 회피: Base64로 인코딩된 셸 스크립트 실행됨 | CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
base64로 인코딩된 셸 스크립트를 인수로 포함한 프로세스가 실행되었습니다. 인코딩된 셸 스크립트 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 탐지를 회피하고, 셸 스크립트에 숨겨진 악성 코드를 실행할 수 있습니다. |
| 방어 회피: 컨테이너에서 코드 컴파일러 도구 실행 | CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
컨테이너 환경 내에서 코드 컴파일러 도구를 실행하는 프로세스가 시작되었습니다. 이는 격리된 컨텍스트에서 실행 가능한 코드를 빌드하거나 수정하려는 시도일 수 있습니다. 공격자는 컨테이너 내에서 코드 컴파일러를 사용하여 악성 페이로드를 개발하거나, 기존 바이너리에 코드를 삽입하거나, 보안 제어를 우회하는 도구를 만들 수 있습니다. 이 모든 작업은 호스트 시스템에서 감지를 피하기 위해 감시가 덜한 환경에서 이루어집니다. |
| 실행: 추가된 악성 바이너리 실행됨 | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
추가된 악성 바이너리가 실행되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. |
| 실행: 추가된 악성 라이브러리가 로드됨 | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
다음 조건을 충족하는 라이브러리가 로드되었습니다.
추가된 악성 라이브러리가 로드되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. |
| 실행: 기본 제공되는 악성 바이너리가 실행됨 | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
기본 제공 악성 바이너리가 실행되는 경우 이는 공격자가 악성 컨테이너를 배포하고 있다는 신호입니다. 공격자가 합법적인 이미지 저장소나 컨테이너 빌드 파이프라인을 제어하여 악성 바이너리를 컨테이너 이미지에 삽입했을 수 있습니다. |
| 실행: 컨테이너 이스케이프 | CLOUD_RUN_CONTAINER_ESCAPE |
알려진 이스케이프 기법 또는 바이너리를 사용하여 컨테이너의 격리를 해제하려고 시도하는 프로세스가 컨테이너 내에서 실행되었습니다. 이 유형의 공격은 공격자가 호스트 시스템에 액세스할 수 있도록 허용할 수 있습니다. 이러한 프로세스는 정보 데이터를 기반으로 잠재적인 위협으로 식별됩니다. 컨테이너 이스케이프 시도가 감지되면 공격자가 취약점을 공격하여 컨테이너를 벗어나고 있음을 나타낼 수 있습니다. 그 결과 공격자가 호스트 시스템 또는 더 광범위한 인프라에 무단으로 액세스하여 전체 환경을 손상시킬 수 있습니다. |
| 실행: /memfd에서 파일 없는 실행 | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD |
메모리 내 파일 설명자를 사용하여 프로세스가 실행되었습니다. 프로세스가 메모리 내 파일에서 실행된 경우, 이는 공격자가 악성 코드를 실행하면서 다른 탐지 방법을 우회하려는 시도일 수 있습니다. |
| 실행: Kubernetes 공격 도구 실행 | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Kubernetes 관련 공격 도구가 환경 내에서 실행되었습니다. 이는 공격자가 Kubernetes 클러스터 구성요소를 타겟팅하고 있음을 나타낼 수 있습니다. 이러한 공격 도구는 정보 데이터를 기반으로 잠재적 위협으로 식별됩니다. 공격 도구가 Kubernetes 환경 내에서 실행되면 공격자가 클러스터에 액세스하여 Kubernetes 관련 취약점 또는 구성을 익스플로잇하는 도구를 사용하고 있을 수 있습니다. |
| 실행: 로컬 정탐 도구 실행 | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
일반적으로 컨테이너 또는 환경과 관련되지 않은 로컬 정탐 도구가 실행되어 내부 시스템 정보를 수집하려는 시도가 있었음을 나타냅니다. 이러한 정탐 도구는 정보 데이터를 기반으로 잠재적 위협으로 식별됩니다. 정탐 도구가 실행되면 공격자가 다음 단계를 계획하기 위해 인프라를 매핑하거나 취약점을 식별하거나 시스템 구성에 관한 데이터를 수집하려고 할 수 있습니다. |
| 실행: 악성 Python 실행됨 | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
머신러닝 모델이 지정된 Python 코드를 악성으로 식별했습니다. 공격자는 Python을 사용하여 도구나 기타 파일을 외부 시스템에서 손상된 환경으로 전송하고 바이너리 없이 명령어를 실행할 수 있습니다. 감지기가 NLP 기법을 사용하여 실행된 Python 코드의 콘텐츠를 평가합니다. 이 방법은 서명을 기반으로 하지 않기 때문에 감지기가 알려진 Python 코드와 새로운 Python 코드를 식별할 수 있습니다. |
| 실행: 수정된 악성 바이너리 실행됨 | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
수정된 악성 바이너리가 실행되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. |
| 실행: 수정된 악성 라이브러리가 로드됨 | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
다음 조건을 충족하는 라이브러리가 로드되었습니다.
수정된 악성 라이브러리가 로드되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. |
| 실행: 컨테이너에서 Netcat 원격 코드 실행 | CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
다용도 네트워킹 유틸리티인 Netcat이 컨테이너 환경 내에서 실행되었습니다. 이는 승인되지 않은 원격 액세스를 설정하거나 데이터를 무단 반출하려는 시도일 수 있습니다. 컨테이너화된 환경에서 Netcat을 사용하면 공격자가 리버스 셸을 생성하거나, 측면 이동을 사용 설정하거나, 임의의 명령어를 실행하려는 시도일 수 있으며, 이는 시스템 무결성을 손상시킬 수 있습니다. |
| 실행: CUPS를 통한 임의의 명령어 실행 가능성(CVE-2024-47177) | CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
이 규칙은 일반적인 셸 프로그램을 실행하는 |
| 실행: 원격 명령어 실행이 감지되었을 가능성 있음 | CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
네트워크 소켓 연결을 통해 일반적인 UNIX 명령어를 생성하는 프로세스가 감지되었으며, 이는 승인되지 않은 원격 명령어 실행 기능을 설정하려는 시도일 수 있습니다. 공격자는 리버스 셸을 모방하는 기법을 자주 활용하여 손상된 시스템을 대화형으로 제어할 수 있으므로 원격으로 임의의 명령어를 실행하고 방화벽 제한과 같은 표준 네트워크 보안 조치를 우회할 수 있습니다. 소켓을 통한 명령어 실행 감지는 악의적인 원격 액세스를 나타내는 강력한 지표입니다. |
| 실행: 허용되지 않는 HTTP 프록시 환경을 사용한 프로그램 실행 | CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
허용되지 않은 HTTP 프록시 환경 변수를 사용하여 프로그램이 실행되었습니다. 이 활동은 보안 통제를 우회하거나, 트래픽을 악의적인 목적으로 리디렉션하거나, 무단 채널을 통해 데이터를 유출하려는 시도를 나타낼 수 있습니다. 공격자는 민감한 정보를 가로채거나, 악의적인 서버로 트래픽을 라우팅하거나, 은밀한 통신 채널을 설정하기 위해 허용되지 않은 HTTP 프록시를 구성할 수 있습니다. 이러한 환경 변수로 실행되는 프로그램을 감지하는 작업은 네트워크 보안을 유지하고 데이터 유출을 방지하기 위해 매우 중요합니다. |
| 실행: Socat 리버스 셸 감지됨 | CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED |
리버스 셸을 만들기 위해
이 규칙은 stdin, stdout, stderr 파일 설명자를 리디렉션하여 리버스 셸을 만드는 |
| 실행: 의심스러운 OpenSSL 공유 객체 로드됨 | CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL이 커스텀 공유 객체를 로드하기 위해 실행되었습니다. 공격자는 악성 코드를 실행하기 위해 커스텀 라이브러리를 로드하거나, OpenSSL에 사용되는 기존 라이브러리를 교체할 수 있습니다. 프로덕션에서는 이러한 사용이 드물게 나타나며, 즉각적인 조사가 필요합니다. |
| 컨테이너에서 원격 파일 복사 도구 실행 | CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
컨테이너 내에서 원격 파일 복사 도구 실행이 감지되었습니다. 이는 데이터 무단 반출, 측면 이동 또는 악성 페이로드 배포를 나타낼 수 있습니다. 공격자는 이러한 도구를 사용하여 컨테이너 외부로 민감한 데이터를 전송하거나, 네트워크 내에서 측면으로 이동하여 다른 시스템을 손상시키거나, 추가로 악의적인 활동을 위해 멀웨어를 도입하는 경우가 많습니다. 원격 파일 복사 도구의 사용을 감지하는 것은 데이터 유출, 무단 액세스, 컨테이너 및 잠재적으로 호스트 시스템의 추가 손상을 방지하는 데 매우 중요합니다. |
| 영향: 악의적인 명령줄 감지 | CLOUD_RUN_DETECT_MALICIOUS_CMDLINES |
중요한 시스템 파일을 삭제하거나 비밀번호 관련 구성을 수정하려는 시도와 같이 파괴적일 수 있는 인수를 사용하여 명령어가 실행되었습니다. 공격자는 악성 명령줄을 실행하여 시스템 불안정성을 유도하거나, 핵심 파일을 삭제하여 복구를 방지하거나, 사용자 인증 정보를 조작하여 무단 액세스를 시도할 수 있습니다. 이러한 특정 명령어 패턴을 감지하는 것은 심각한 시스템 영향을 방지하는 데 매우 중요합니다. |
| 영향: 디스크에서 대량 데이터 삭제 | CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK |
대량의 데이터 삭제 작업을 수행하는 프로세스가 감지되었습니다. 이는 컨테이너 환경 내에서 증거를 삭제하거나, 서비스를 방해하거나, 데이터 삭제 공격을 수행하려는 시도일 수 있습니다. 공격자는 흔적을 숨기거나, 작업을 방해하거나, 랜섬웨어 배포를 준비하기 위해 대량의 데이터를 삭제할 수 있습니다. 이러한 활동을 감지는 중요한 데이터 손실이 발생하기 전에 잠재적인 위협을 식별하는 데 도움이 됩니다. |
| 영향: Stratum 프로토콜을 사용하는 의심스러운 암호화폐 채굴 활동 | CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
암호화폐 채굴 소프트웨어에서 흔히 사용되는 Stratum 프로토콜을 통해 통신하는 프로세스가 감지되었습니다. 이 활동은 컨테이너 환경 내에서 승인되지 않은 채굴 작업이 이루어지고 있을 가능성을 암시합니다. 공격자는 금전적 이득을 위해 시스템 리소스를 익스플로잇하기 위해 암호화폐 채굴자를 배포하는 경우가 많으며, 이로 인해 성능이 저하되고 운영 비용이 증가하며 보안 위험이 발생할 수 있습니다. 이러한 활동을 감지하면 리소스 악용 및 무단 액세스를 완화하는 데 도움이 됩니다. |
| 악성 스크립트가 실행됨 | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
머신러닝 모델이 지정된 Bash 코드를 악성으로 식별했습니다. 공격자는 Bash를 사용하여 도구나 기타 파일을 외부 시스템에서 손상된 환경으로 전송하고 바이너리 없이 명령어를 실행할 수 있습니다. 감지기는 NLP 기법을 사용하여 실행된 Bash 코드의 콘텐츠를 평가합니다. 이 방법은 서명을 기반으로 하지 않기 때문에 감지기가 알려진 악성 Bash 코드와 새로운 악성 Bash 코드를 식별할 수 있습니다. |
| 악성 URL 관찰 | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
Cloud Run Threat Detection이 실행 중인 프로세스의 인수 목록에서 악성 URL을 관찰했습니다. 감지기는 Google 세이프 브라우징 서비스에서 유지보수되는 안전하지 않은 웹 리소스 목록을 기준으로 사용해서 실행 중인 프로세스의 인수 목록에서 관찰된 URL을 확인합니다. URL이 피싱 사이트 또는 멀웨어로 잘못 분류된 경우 잘못된 데이터 보고에서 이를 보고합니다. |
| 권한 에스컬레이션: 권한 에스컬레이션을 위한 Sudo 악용(CVE-2019-14287) | CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
이 감지는 |
| 권한 에스컬레이션: /dev/shm에서 파일 없는 실행 | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_SHM |
|
| 권한 에스컬레이션: Polkit 로컬 권한 에스컬레이션 취약점(CVE-2021-4034) | CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
루트가 아닌 사용자가 권한을 에스컬레이션하려고 시도하는 환경 변수를 사용하여
이 규칙은 Polkit의 |
| 권한 에스컬레이션: Sudo 잠재적 권한 에스컬레이션(CVE-2021-3156) | CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
루트가 아닌 사용자가 권한을 에스컬레이션하려고 시도하는 인수 패턴을 사용하여
|
| 역방향 셸 | CLOUD_RUN_REVERSE_SHELL |
원격으로 연결된 소켓에 대한 스트림 리디렉션으로 프로세스가 시작되었습니다. 감지기는 원격 소켓에 결합된 리버스 셸을 사용하면 공격자는 손상된 워크로드에서 공격자가 제어하는 머신으로 통신할 수 있습니다. 그런 다음 공격자가 봇넷의 일부로 워크로드를 명령하고 제어할 수 있습니다. |
| 예기치 않은 하위 셸 | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
일반적으로 셸을 호출하지 않는 프로세스로 인해 셸 프로세스가 생성되었습니다. 감지기는 모든 프로세스 실행을 모니터링합니다. 셸이 호출될 때 감지기는 상위 프로세스가 일반적으로 셸을 호출하지 않는 것으로 알려진 경우에 발견 항목을 생성합니다. |
컨트롤 플레인 감지기
Event Threat Detection을 통해 다음과 같은 컨트롤 플레인 감지기를 사용할 수 있습니다. 이러한 감지기는 기본적으로 사용 설정되어 있습니다. 이러한 감지기는 다른 Event Threat Detection 감지기를 관리하는 것과 동일한 방식으로 관리합니다. 자세한 내용은 Event Threat Detection 사용을 참조하세요.
| 표시 이름 | API 이름 | 로그 소스 유형 | 설명 |
|---|---|---|---|
| 영향: 암호화폐 채굴 명령어 | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud 감사 로그: IAM 시스템 이벤트 감사 로그 |
실행 중에 특정 암호화폐 채굴 명령어가 Cloud Run 작업에 연결되었습니다. 발견 항목은 기본적으로 심각도가 높음으로 분류됩니다. |
| 실행: 암호화폐 채굴 Docker 이미지 | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud 감사 로그: IAM 시스템 이벤트 감사 로그 |
알려진 특정 잘못된 Docker 이미지가 새 Cloud Run 서비스 또는 기존 Cloud Run 서비스 또는 작업에 연결되었습니다. 발견 항목은 기본적으로 심각도가 높음으로 분류됩니다. |
| 권한 에스컬레이션: 기본 Compute Engine 서비스 계정 SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud 감사 로그: 관리자 활동 로그 |
Cloud Run 서비스의 IAM 정책을 설정하는 데 기본 Compute Engine 서비스 계정이 사용되었습니다. 이는 서버리스 서비스에서 Compute Engine 토큰이 손상된 경우에 취할 수 있는 익스플로잇 후 조치입니다. 발견 항목은 기본적으로 심각도가 낮음으로 분류됩니다. |
다음 단계
- Cloud Run Threat Detection 사용 방법 알아보기
- Event Threat Detection 사용 방법 알아보기
- Cloud Run 위협 발견 사항에 대응 방법 알아보기
- 위협 발견 사항 색인 참고