Deteksi Ancaman Cloud Run adalah layanan bawaan Security Command Center yang terus-menerus memantau status resource Cloud Run yang didukung untuk mendeteksi serangan runtime yang paling umum. Jika mendeteksi serangan, Cloud Run Threat Detection akan membuat temuan di Security Command Center hampir secara real-time.
Detektor runtime Deteksi Ancaman Cloud Run memantau resource Cloud Run untuk mendeteksi biner dan library yang mencurigakan serta menggunakan pemrosesan bahasa alami (NLP) untuk mendeteksi kode Bash dan Python berbahaya.
Selain itu, detektor bidang kontrol tersedia melalui Event Threat Detection. Detektor ini memantau aliran Cloud Logging organisasi atau project Anda untuk mendeteksi potensi serangan terhadap control plane resource Cloud Run Anda.
Resource yang didukung
Deteksi Ancaman Cloud Run memantau resource berikut:
Lingkungan eksekusi yang didukung
Lingkungan eksekusi yang didukung berbeda untuk detektor runtime dan detektor bidang kontrol.
Lingkungan eksekusi yang didukung untuk pendeteksi runtime
Detektor runtime Deteksi Ancaman Cloud Run hanya mendukung resource Cloud Run yang berjalan di lingkungan eksekusi generasi kedua. Pertimbangkan hal berikut sebelum mengaktifkan Deteksi Ancaman Cloud Run:
Jika mengaktifkan Deteksi Ancaman Cloud Run, Anda tidak dapat membuat layanan Cloud Run atau revisi layanan yang berjalan di lingkungan eksekusi generasi pertama. Layanan Cloud Run harus menggunakan lingkungan eksekusi generasi kedua. Sebaiknya uji beban kerja Anda di lingkungan eksekusi generasi kedua sebelum mengaktifkan Deteksi Ancaman Cloud Run.
Untuk mengaktifkan deteksi ancaman runtime untuk layanan, deploy revisi yang menetapkan lingkungan eksekusi layanan ke lingkungan eksekusi generasi kedua atau default.
Lingkungan eksekusi yang didukung untuk pendeteksi bidang kontrol
Detektor bidang kontrol mendukung lingkungan eksekusi generasi pertama dan kedua.
Cara kerja deteksi ancaman runtime Deteksi Ancaman Cloud Run
Saat Anda mengaktifkan Deteksi Ancaman Cloud Run, layanan ini mengumpulkan telemetri dari resource Cloud Run yang didukung untuk menganalisis proses, skrip, dan library yang mungkin mengindikasikan serangan runtime. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:
- Deteksi Ancaman Cloud Run menggunakan proses pengamat untuk mengumpulkan informasi container dan peristiwa selama durasi lengkap beban kerja Cloud Run.
Deteksi Ancaman Cloud Run menganalisis informasi peristiwa yang dikumpulkan untuk menentukan apakah suatu peristiwa menunjukkan adanya insiden. Alat ini menggunakan NLP untuk menganalisis skrip Bash dan Python untuk mencari kode berbahaya.
Jika Cloud Run Threat Detection mengidentifikasi insiden, Cloud Run Threat Detection akan melaporkan insiden tersebut sebagai temuan di Security Command Center.
Jika Cloud Run Threat Detection tidak mengidentifikasi insiden, tidak ada informasi yang disimpan.
Semua data yang dikumpulkan bersifat sementara dan tidak disimpan secara persisten.
Untuk mengetahui informasi tentang cara meninjau temuan Deteksi Ancaman Cloud Run di konsolGoogle Cloud , lihat Meninjau temuan.
Masalah umum
- Jika proses watcher berhenti sebelum waktunya di instance layanan atau tugas Cloud Run yang sedang berjalan, proses watcher tidak akan dimulai ulang. Instance berhenti mengirim informasi telemetri ke Deteksi Ancaman Cloud Run. Log Deteksi Ancaman Cloud Run tidak ada di log instance. Tidak ada indikator bahwa proses watcher telah berhenti.
Pendeteksi
Bagian ini mencantumkan detektor bidang kontrol dan runtime yang tersedia. Kami secara rutin menambahkan detektor baru seiring munculnya ancaman cloud baru.
Detektor runtime
Deteksi Ancaman Cloud Run mencakup detektor runtime berikut:
| Nama tampilan | Nama API | Deskripsi |
|---|---|---|
| Command and Control: Alat Steganografi Terdeteksi | CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED |
Program yang dijalankan diidentifikasi sebagai alat steganografi yang umumnya ditemukan di lingkungan mirip Unix, yang menunjukkan potensi upaya untuk menyembunyikan komunikasi atau transfer data. Penyerang dapat menggunakan teknik steganografi untuk menyematkan instruksi perintah dan kontrol (C2) berbahaya atau data yang dieksfiltrasi dalam file digital yang tampaknya tidak berbahaya, dengan tujuan menghindari pemantauan dan deteksi keamanan standar. Mengidentifikasi penggunaan alat semacam itu sangat penting untuk mengungkap aktivitas berbahaya yang tersembunyi. |
| Akses Kredensial: Menemukan Google Cloud Kredensial | CLOUD_RUN_FIND_GCP_CREDENTIALS |
Perintah dijalankan untuk menelusuri Google Cloud kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung. Penyerang dapat menggunakan kredensial Google Cloud yang dicuri untuk mendapatkan akses tidak sah ke data atau resource sensitif dalam lingkungan Google Cloud yang ditargetkan. |
| Akses Kredensial: Pengintaian Kunci GPG | CLOUD_RUN_GPG_KEY_RECONNAISSANCE |
Perintah dijalankan untuk menelusuri kunci keamanan GPG. Penyerang dapat menggunakan kunci keamanan GPG yang dicuri untuk mendapatkan akses tidak sah ke komunikasi atau file terenkripsi. |
| Akses Kredensial: Menelusuri Kunci Pribadi atau Sandi | CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Perintah dijalankan untuk menelusuri kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung, yang menunjukkan potensi upaya untuk mengumpulkan data autentikasi. Penyerang sering menelusuri file kredensial untuk mendapatkan akses tidak sah ke sistem, mengeskalasikan hak istimewa, atau bergerak secara lateral dalam lingkungan. Mendeteksi aktivitas semacam itu sangat penting untuk mencegah pelanggaran keamanan. |
| Penghindaran Pertahanan: Command Line File ELF Base64 | CLOUD_RUN_BASE64_ELF_FILE_CMDLINE |
Proses yang dijalankan berisi argumen yang merupakan file ELF (Executable and Linkable Format). Jika eksekusi file ELF yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam file ELF. |
| Penghindaran Pertahanan: Skrip Python Berenkode Base64 Dieksekusi | CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Proses yang berisi argumen yang merupakan skrip python berenkode base64- dieksekusi. Jika eksekusi skrip python yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip Python. |
| Penghindaran Pertahanan: Skrip Shell Berenkode Base64 Dieksekusi | CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Proses yang dijalankan berisi argumen yang merupakan skrip shell berenkode base64. Jika eksekusi skrip shell yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip shell. |
| Penghindaran Pertahanan: Meluncurkan Alat Compiler Kode Dalam Container | CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Proses telah dimulai untuk meluncurkan alat compiler kode dalam lingkungan container, yang menunjukkan potensi upaya untuk membuat atau memodifikasi kode yang dapat dieksekusi dalam konteks terisolasi. Penyerang dapat menggunakan compiler kode dalam penampung untuk mengembangkan payload berbahaya, menyuntikkan kode ke dalam biner yang ada, atau membuat alat untuk melewati kontrol keamanan, semuanya saat beroperasi di lingkungan yang kurang diperiksa untuk menghindari deteksi pada sistem host. |
| Eksekusi: Eksekusi Biner Berbahaya Ditambahkan | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut dieksekusi:
Jika program biner berbahaya yang ditambahkan dieksekusi, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka mengeksekusi software berbahaya. |
| Eksekusi: Pustaka Berbahaya Ditambahkan dan Dimuat | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Library yang memenuhi kondisi berikut dimuat:
Jika library berbahaya yang ditambahkan dimuat, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. |
| Eksekusi: Biner Berbahaya Bawaan Dieksekusi | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut dieksekusi:
Jika program biner berbahaya bawaan dieksekusi, itu pertanda bahwa penyerang sedang men-deploy container berbahaya. Mereka mungkin telah mendapatkan kontrol atas repositori image atau pipeline build container yang sah dan menyuntikkan biner berbahaya ke dalam image container. |
| Eksekusi: Container Escape | CLOUD_RUN_CONTAINER_ESCAPE |
Proses dijalankan dalam container yang mencoba keluar dari isolasi container, menggunakan teknik atau biner yang diketahui. Jenis serangan ini dapat memberi penyerang akses ke sistem host. Proses ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika upaya container escape terdeteksi, hal ini mungkin menunjukkan bahwa penyerang mengeksploitasi kerentanan untuk keluar dari container. Akibatnya, penyerang dapat memperoleh akses tidak sah ke sistem host atau infrastruktur yang lebih luas, sehingga membahayakan seluruh lingkungan. |
| Eksekusi: Eksekusi Tanpa File di /memfd: | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD |
Proses dijalankan menggunakan deskriptor file dalam memori. Jika proses diluncurkan dari file dalam memori, hal ini mungkin menunjukkan bahwa penyerang mencoba melewati metode deteksi lain untuk mengeksekusi kode berbahaya. |
| Eksekusi: Eksekusi Alat Serangan Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Alat serangan khusus Kubernetes dijalankan dalam lingkungan, yang dapat menunjukkan bahwa penyerang menargetkan komponen cluster Kubernetes. Alat serangan ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika alat serangan dijalankan dalam lingkungan Kubernetes, hal ini dapat menunjukkan bahwa penyerang telah mendapatkan akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes. |
| Eksekusi: Eksekusi Alat Pengintaian Lokal | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Alat pengintaian lokal yang biasanya tidak terkait dengan penampung atau lingkungan dieksekusi, yang menunjukkan upaya untuk mengumpulkan informasi sistem internal. Alat pengintaian ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Jika alat pengintaian dijalankan, hal ini menunjukkan bahwa penyerang mungkin mencoba memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem untuk merencanakan langkah selanjutnya. |
| Eksekusi: Python berbahaya dieksekusi | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Model machine learning mengidentifikasi kode Python yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner. Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Python yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Python yang sudah dikenal dan baru. |
| Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Biner yang memenuhi kondisi berikut dieksekusi:
Jika biner berbahaya yang dimodifikasi dieksekusi, hal ini merupakan indikasi kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka sedang mengeksekusi software berbahaya. |
| Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Library yang memenuhi kondisi berikut dimuat:
Jika library berbahaya yang telah dimodifikasi dimuat, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. |
| Eksekusi: Netcat Remote Code Execution di Container | CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, utilitas jaringan serbaguna, dieksekusi dalam lingkungan container, yang berpotensi mengindikasikan upaya untuk membuat akses jarak jauh yang tidak sah atau memindahkan data. Penggunaan Netcat di lingkungan yang dikontainerisasi dapat menandakan upaya penyerang untuk membuat shell terbalik, memungkinkan pergerakan lateral, atau menjalankan perintah arbitrer, yang dapat membahayakan integritas sistem. |
| Eksekusi: Kemungkinan Eksekusi Perintah Arbitrer melalui CUPS (CVE-2024-47177) | CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Aturan ini mendeteksi proses |
| Eksekusi: Kemungkinan Eksekusi Perintah Jarak Jauh Terdeteksi | CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Proses terdeteksi memunculkan perintah UNIX umum melalui koneksi soket jaringan, yang menunjukkan potensi upaya untuk membuat kemampuan eksekusi perintah jarak jauh yang tidak sah. Penyerang sering kali menggunakan teknik yang meniru reverse shell untuk mendapatkan kontrol interaktif atas sistem yang dibobol, sehingga mereka dapat mengeksekusi perintah arbitrer dari jarak jauh dan melewati langkah-langkah keamanan jaringan standar seperti batasan firewall. Mendeteksi eksekusi perintah melalui soket adalah indikator kuat akses jarak jauh berbahaya. |
| Eksekusi: Program Berjalan dengan Env. Proxy HTTP yang Tidak Diizinkan | CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Program dieksekusi dengan variabel lingkungan proxy HTTP yang tidak diizinkan. Hal ini dapat mengindikasikan upaya untuk melewati kontrol keamanan, mengarahkan ulang traffic untuk tujuan berbahaya, atau mengekstrak data melalui saluran yang tidak sah. Penyerang dapat mengonfigurasi proxy HTTP yang tidak diizinkan untuk mencegat informasi sensitif, merutekan traffic melalui server berbahaya, atau membuat saluran komunikasi rahasia. Mendeteksi eksekusi program dengan variabel lingkungan ini sangat penting untuk menjaga keamanan jaringan dan mencegah pelanggaran data. |
| Eksekusi: Socat Reverse Shell Terdeteksi | CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED |
Perintah
Aturan ini mendeteksi eksekusi |
| Eksekusi: Objek Bersama OpenSSL Mencurigakan Dimuat | CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL telah dieksekusi untuk memuat objek bersama kustom. Penyerang dapat memuat library kustom dan mengganti library yang ada yang digunakan oleh OpenSSL untuk menjalankan kode berbahaya. Penggunaannya dalam produksi tidak umum dan harus segera diselidiki. |
| Eksfiltrasi: Meluncurkan Alat Penyalinan File Jarak Jauh di Container | CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Eksekusi alat penyalinan file jarak jauh terdeteksi dalam container, yang menunjukkan potensi eksfiltrasi data, pergerakan lateral, atau deployment payload berbahaya. Penyerang sering menggunakan alat ini untuk mentransfer data sensitif ke luar penampung, bergerak secara lateral di dalam jaringan untuk menyusupi sistem lain, atau memasukkan malware untuk melakukan aktivitas berbahaya lebih lanjut. Mendeteksi penggunaan alat penyalinan file jarak jauh sangat penting untuk mencegah kebocoran data, akses tidak sah, dan kompromi lebih lanjut pada container dan berpotensi pada sistem host. |
| Dampak: Mendeteksi Cmdline Berbahaya | CLOUD_RUN_DETECT_MALICIOUS_CMDLINES |
Perintah dijalankan dengan argumen yang diketahui berpotensi merusak, seperti upaya untuk menghapus file sistem penting atau mengubah konfigurasi terkait sandi. Penyerang dapat mengeluarkan perintah baris yang berbahaya untuk menyebabkan ketidakstabilan sistem, mencegah pemulihan dengan menghapus file penting, atau mendapatkan akses tidak sah dengan memanipulasi kredensial pengguna. Mendeteksi pola perintah spesifik ini sangat penting untuk mencegah dampak signifikan pada sistem. |
| Dampak: Menghapus Data Massal dari Disk | CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK |
Proses terdeteksi melakukan operasi penghapusan data massal, yang mungkin mengindikasikan upaya untuk menghapus bukti, mengganggu layanan, atau menjalankan serangan penghapusan data dalam lingkungan penampung. Penyerang dapat menghapus data dalam volume besar untuk menutupi jejak mereka, mensabotase operasi, atau bersiap untuk men-deploy ransomware. Mendeteksi aktivitas tersebut membantu mengidentifikasi potensi ancaman sebelum terjadi kehilangan data penting. |
| Dampak: Aktivitas penambangan mata uang kripto yang mencurigakan menggunakan Stratum Protocol | CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Terdeteksi proses yang berkomunikasi melalui protokol Stratum, yang umumnya digunakan oleh software penambangan mata uang kripto. Aktivitas ini menunjukkan potensi operasi penambangan tidak sah dalam lingkungan container. Penyerang sering kali men-deploy penambang mata uang kripto untuk mengeksploitasi resource sistem demi keuntungan finansial, yang menyebabkan penurunan performa, peningkatan biaya operasional, dan potensi risiko keamanan. Mendeteksi aktivitas tersebut membantu memitigasi penyalahgunaan resource dan akses tidak sah. |
| Skrip Berbahaya Dieksekusi | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Model machine learning mengidentifikasi kode Bash yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner. Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Bash yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Bash berbahaya yang sudah dikenal dan baru. |
| URL Berbahaya Teramati | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
Deteksi Ancaman Cloud Run mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan. Detektor memeriksa URL yang diamati dalam daftar argumen proses yang sedang berjalan berdasarkan daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL salah diklasifikasikan sebagai situs phishing atau malware, laporkan di Melaporkan Data yang Salah. |
| Eskalasi Akses: Penyalahgunaan Sudo untuk Eskalasi Akses (CVE-2019-14287) | CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
Deteksi ini memberi tahu upaya eksploitasi
CVE-2019-14287, yang memungkinkan eskalasi hak istimewa melalui penyalahgunaan
perintah |
| Eskalasi Akses: Eksekusi Tanpa File di /dev/shm | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_SHM |
Proses telah dieksekusi dari jalur dalam
Dengan menjalankan file dari |
| Eskalasi Akses: Kerentanan Eskalasi Akses Lokal Polkit (CVE-2021-4034) | CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Pengguna non-root telah menjalankan
Aturan ini mendeteksi upaya untuk mengeksploitasi kerentanan eskalasi hak istimewa (CVE-2021-4034) di |
| Eskalasi Akses: Potensi Eskalasi Akses Sudo (CVE-2021-3156) | CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Pengguna non-root telah menjalankan
Mendeteksi upaya untuk mengeksploitasi kerentanan yang memengaruhi
|
| Reverse Shell | CLOUD_RUN_REVERSE_SHELL |
Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Detektor mencari Dengan reverse shell, penyerang dapat berkomunikasi dari workload yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintah dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet. |
| Shell Turunan yang Tidak Terduga | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Proses yang biasanya tidak memanggil shell memunculkan proses shell. Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor akan menghasilkan temuan jika proses induk diketahui biasanya tidak memanggil shell. |
Detektor bidang kontrol
Detektor bidang kontrol berikut tersedia melalui Event Threat Detection. Detektor ini diaktifkan secara default. Anda mengelola detektor ini dengan cara yang sama seperti Anda mengelola detektor Event Threat Detection lainnya. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Event Threat Detection.
| Nama tampilan | Nama API | Jenis sumber log | Deskripsi |
|---|---|---|---|
| Dampak: Perintah Penambangan Kripto | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: Log audit Peristiwa Sistem IAM |
Perintah penambangan kripto tertentu dilampirkan ke tugas Cloud Run selama eksekusi. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default. |
| Eksekusi: Image Docker Cryptomining | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: Log audit Peristiwa Sistem IAM |
Image Docker buruk tertentu yang diketahui terpasang ke layanan atau tugas Cloud Run baru atau yang sudah ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default. |
| Eskalasi Hak Istimewa: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: Log Aktivitas Admin |
Akun layanan Compute Engine default digunakan untuk menetapkan kebijakan IAM untuk layanan Cloud Run. Ini adalah potensi tindakan pasca-eksploitasi saat token Compute Engine disusupi dari layanan serverless. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default. |
Langkah berikutnya
- Pelajari cara menggunakan Deteksi Ancaman Cloud Run.
- Pelajari cara menggunakan Event Threat Detection.
- Pelajari cara menanggapi temuan ancaman Cloud Run.
- Lihat Indeks temuan ancaman.