Se usó la API de Cloud Translation para traducir esta página.

Usa la detección de amenazas de Cloud Run
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo configurar Cloud Run Threat Detection para tus recursos de Cloud Run.

Los procedimientos de esta página solo se aplican a los detectores del entorno de ejecución de la Detección de amenazas de Cloud Run. Para obtener información sobre cómo trabajar con los detectores del plano de control de Cloud Run, consulta Cómo usar la detección de amenazas a eventos.

Antes de comenzar

Para obtener los permisos que necesitas para administrar el servicio de detección de amenazas de Cloud Run y sus módulos, pídele a tu administrador que te otorgue el rol de IAM de administrador de Security Center Management (roles/securitycentermanagement.admin) en la organización, la carpeta o el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Prueba tus contenedores de Cloud Run con el entorno de ejecución de segunda generación para asegurarte de que no haya problemas de compatibilidad. Para obtener más información, consulta Entornos de ejecución compatibles.

Otorga los permisos de IAM necesarios a la cuenta de servicio de Cloud Run

Si tus recursos de Cloud Run usan la cuenta de servicio predeterminada de Compute Engine y no revocaste los permisos de esa cuenta de servicio, ya tienes los permisos necesarios para ejecutar la Detección de amenazas de Cloud Run. Puedes omitir esta sección.

Realiza esta tarea si se cumple alguna de las siguientes condiciones:

Hiciste cambios en la cuenta de servicio predeterminada de Compute Engine.
Creaste tu propia cuenta de servicio para tu servicio de Cloud Run.
Estás usando una cuenta de servicio que se creó para un proyecto diferente del que contiene tu servicio de Cloud Run.

Otorga el rol de creador de tokens de cuenta de servicio a la cuenta de servicio que tu recurso de Cloud Run usa como identidad del servicio:

gcloud iam service-accounts add-iam-policy-binding \
    PROJECT_NUMBER \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME \
    --role=roles/iam.serviceAccountTokenCreator

Reemplaza lo siguiente:

PROJECT_NUMBER: El identificador numérico del proyecto en el que se implementa tu servicio de Cloud Run. Este proyecto puede ser diferente del proyecto que contiene la cuenta de servicio. Puedes encontrar el número de proyecto en la página Panel de la consola de Google Cloud.
SERVICE_ACCOUNT_NAME: Es la dirección de correo electrónico de tu cuenta de servicio de Cloud Run del entorno de ejecución.

Habilita o inhabilita la Detección de amenazas de Cloud Run

Cuando habilitas Cloud Run Threat Detection en una organización, una carpeta o un proyecto, se supervisa automáticamente todos los recursos compatibles de Cloud Run en ese permiso.

Después de habilitar la Detección de amenazas de Cloud Run, debes volver a implementar los servicios de Cloud Run que deseas supervisar.

Para habilitar o inhabilitar la detección de amenazas de Cloud Run, sigue estos pasos:

Console

En la consola de Google Cloud, ve a la página Habilitación de servicios para VM Threat Detection.

Ir a Habilitación de servicios
Selecciona tu organización o proyecto.
En la pestaña Habilitación de servicios, en la columna Detección de amenazas de Cloud Run, selecciona el estado de habilitación de la organización, la carpeta o el proyecto que deseas modificar y, luego, elige una de las siguientes opciones:
- Habilitar: Habilita la detección de amenazas de Cloud Run.
- Disable: Inhabilita la Detección de amenazas de Cloud Run.
- Heredar: Hereda el estado de habilitación de la carpeta superior o la organización. Solo está disponible para proyectos y carpetas.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
NEW_STATE: ENABLED para habilitar la Detección de amenazas de Cloud Run, DISABLED para inhabilitarla o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Ejecuta el comando gcloud scc manage services update: :

Linux, macOS o Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
NEW_STATE: ENABLED para habilitar la Detección de amenazas de Cloud Run, DISABLED para inhabilitarla o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Método HTTP y URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState

Cuerpo JSON de la solicitud:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Habilita o inhabilita un módulo de Detección de amenazas de Cloud Run

Para habilitar o inhabilitar un módulo individual de Threat Detection de Cloud Run, sigue estos pasos. Para obtener información sobre todos los resultados de amenazas de la detección de amenazas de Cloud Run y sus módulos, consulta Detectores de la detección de amenazas de Cloud Run.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para ver los valores válidos, consulta Detectores de Threat Detection de Cloud Run.
NEW_STATE: ENABLED para habilitar el módulo, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Guarda el siguiente código en un archivo llamado request.json.

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update: :

Linux, macOS o Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para ver los valores válidos, consulta Detectores de Threat Detection de Cloud Run.
NEW_STATE: ENABLED para habilitar el módulo, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Método HTTP y URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules

Cuerpo JSON de la solicitud:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Excluye las variables de entorno de los resultados

De forma predeterminada, cuando la Detección de amenazas de Cloud Run genera un hallazgo, informa las variables de entorno que se usan para todos los procesos a los que se hace referencia en el hallazgo. Los valores de las variables de entorno pueden ser importantes en las investigaciones de amenazas.

Sin embargo, puedes decidir excluir las variables de entorno de los resultados, ya que algunos paquetes de software almacenan secretos y otra información sensible en variables de entorno.

Para excluir las variables de entorno del proceso de los resultados de la detección de amenazas de Cloud Run, configura el módulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES en DISABLED.
Para incluir variables de entorno de proceso en los resultados de la detección de amenazas de Cloud Run, configura el módulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES en ENABLED.

Para obtener instrucciones, consulta Habilita o inhabilita un módulo de detección de amenazas de Cloud Run en esta página.

Excluye los argumentos de la CLI de los resultados

Todos los procesos tienen uno o más argumentos de la interfaz de línea de comandos (CLI). De forma predeterminada, cuando la Detección de amenazas de Cloud Run incluye detalles del proceso en un resultado, registra los argumentos de la CLI del proceso. Los valores de los argumentos de la CLI pueden ser importantes en las investigaciones de amenazas.

Sin embargo, puedes decidir excluir los argumentos de la CLI de los hallazgos, ya que algunos usuarios pueden pasar secretos y otra información sensible en los argumentos de la CLI.

Para excluir los argumentos de la CLI de los resultados de la Detección de amenazas de Cloud Run, configura el módulo CLOUD_RUN_REPORT_CLI_ARGUMENTS como DISABLED.
Para incluir argumentos de la CLI en los resultados de la Detección de amenazas de Cloud Run, configura el módulo CLOUD_RUN_REPORT_CLI_ARGUMENTS como ENABLED.

Para obtener instrucciones, consulta Habilita o inhabilita un módulo de detección de amenazas de Cloud Run en esta página.

Consulta la configuración de los módulos de Detección de amenazas de Cloud Run

Para obtener información sobre todos los resultados de amenazas de la detección de amenazas de Cloud Run, consulta la tabla de detectores de la detección de amenazas de Cloud Run.

gcloud

El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organization, folder o project).
QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc manage services describe: :

Linux, macOS o Cloud Shell

gcloud scc manage services describe cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.get de la API de Security Command Center Management obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Revisa los resultados

Cuando Cloud Run Threat Detection genera resultados, puedes verlos en Security Command Center.

Los roles de IAM de Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Para revisar los resultados de la detección de amenazas de Cloud Run en Security Command Center, sigue estos pasos:

En la consola de Google Cloud, ve a la página Resultados de Security Command Center.
Ir a hallazgos
Selecciona tu Google Cloud organización o proyecto.
En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Cloud Run Threat Detection. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Para ayudarte en la investigación, los hallazgos de las amenazas también contienen vínculos a los siguientes recursos externos:

Entradas del framework de MITRE ATT&CK. En el framework, se explican las técnicas de los ataques a los recursos en la nube y se proporciona orientación para solucionarlos.
VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, secuencias de comandos, URLs y dominios potencialmente maliciosos.

Para obtener una lista de los tipos de resultados de la detección de amenazas de Cloud Run, consulta Detectores de la detección de amenazas de Cloud Run.

¿Qué sigue?

Obtén más información sobre la detección de amenazas de Cloud Run.
Obtén información para volver a implementar servicios de Cloud Run.
Obtén información sobre cómo Cloud Run implementa las prácticas recomendadas de seguridad.

Usa la detección de amenazas de Cloud Run Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Otorga los permisos de IAM necesarios a la cuenta de servicio de Cloud Run

Habilita o inhabilita la Detección de amenazas de Cloud Run

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Habilita o inhabilita un módulo de Detección de amenazas de Cloud Run

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Excluye las variables de entorno de los resultados

Excluye los argumentos de la CLI de los resultados

Consulta la configuración de los módulos de Detección de amenazas de Cloud Run

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Revisa los resultados

¿Qué sigue?

Usa la detección de amenazas de Cloud Run
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.