Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare Cloud Run Threat Detection
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come configurare Cloud Run Threat Detection per le risorse Cloud Run.

Le procedure riportate in questa pagina si applicano solo ai rivelatori di runtime di Cloud Run Threat Detection. Per informazioni su come utilizzare i rivelatori del piano di controllo per Cloud Run, consulta Utilizzare Event Threat Detection.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per gestire il servizio di rilevamento delle minacce Cloud Run e i relativi moduli, chiedi all'amministratore di concederti il ruolo IAM Amministratore di gestione del Centro sicurezza (roles/securitycentermanagement.admin) nell'organizzazione, nella cartella o nel progetto. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Testa i container Cloud Run utilizzando l'ambiente di esecuzione di seconda generazione per assicurarti che non ci siano problemi di compatibilità. Per ulteriori informazioni, consulta Ambienti di esecuzione supportati.

Concedi le autorizzazioni IAM richieste all'account di servizio Cloud Run

Se le tue risorse Cloud Run utilizzano l'account di servizio predefinito di Compute Engine e non hai revocato le autorizzazioni per questo account di servizio, disponi già delle autorizzazioni necessarie per eseguire il rilevamento delle minacce di Cloud Run. Puoi saltare questa sezione.

Esegui questa operazione se una delle seguenti condizioni si applica a te:

Hai apportato modifiche all'account di servizio predefinito di Compute Engine.
Hai creato il tuo account di servizio per il servizio Cloud Run.
Stai utilizzando un account di servizio creato per un progetto diverso da quello che contiene il servizio Cloud Run.

Concedi il ruolo Creatore token account di servizio all'account di servizio utilizzato dalla risorsa Cloud Run come identità di servizio:

gcloud iam service-accounts add-iam-policy-binding \
    PROJECT_NUMBER \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME \
    --role=roles/iam.serviceAccountTokenCreator

Sostituisci quanto segue:

PROJECT_NUMBER: l'identificatore numerico del progetto in cui è dipiegato il servizio Cloud Run. Questo progetto può essere diverso da quello che contiene l'account di servizio. Puoi trovare il numero del progetto nella pagina Dashboard della console Google Cloud.
SERVICE_ACCOUNT_NAME: l'indirizzo email del tuo account di servizio di runtime Cloud Run.

Attivare o disattivare Cloud Run Threat Detection

Quando attivi il rilevamento delle minacce Cloud Run in un'organizzazione, in una cartella o in un progetto, vengono monitorate automaticamente tutte le risorse Cloud Run supportate nell'ambito in questione.

Dopo aver attivato Cloud Run Threat Detection, devi eseguire nuovamente il deployment dei servizi Cloud Run che vuoi monitorare.

Per attivare o disattivare Cloud Run Threat Detection:

Console

Nella console Google Cloud, vai alla pagina Abilitazione del servizio per la rilevamento delle minacce Cloud Run.

Vai ad Attivazione servizio
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Abilitazione servizio, nella colonna Cloud Run Threat Detection (Rilevamento minacce Cloud Run), seleziona lo stato di abilitazione dell'organizzazione, della cartella o del progetto che vuoi modificare, quindi seleziona una delle seguenti opzioni:
- Attiva: attiva Cloud Run Threat Detection
- Disattiva: disattiva Cloud Run Threat Detection
- Eredita: eredita lo stato di attivazione dalla cartella o dall'organizzazione principale; disponibile solo per progetti e cartelle

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project)
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
NEW_STATE: ENABLED per attivare Cloud Run Threat Detection; DISABLED per disattivare Cloud Run Threat Detection; oppure INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Esegui il comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
NEW_STATE: ENABLED per attivare Cloud Run Threat Detection; DISABLED per disattivare Cloud Run Threat Detection; oppure INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Metodo HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState

Corpo JSON della richiesta:

{
  "intendedEnablementState": "NEW_STATE"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Attivare o disattivare un modulo Cloud Run Threat Detection

Per attivare o disattivare un singolo modulo Cloud Run Threat Detection, segui questi passaggi. Per informazioni su tutti i risultati relativi alle minacce di Cloud Run Threat Detection e sui relativi moduli, consulta Rilevatori di Cloud Run Threat Detection.

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project)
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
MODULE_NAME: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Rilevamento minacce Cloud Run
NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo oppure INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Salva i seguenti contenuti in un file denominato request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Esegui il comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
MODULE_NAME: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Rilevamento minacce Cloud Run
NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo oppure INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Metodo HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules

Corpo JSON della richiesta:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Escludere le variabili di ambiente dai risultati

Per impostazione predefinita, quando Cloud Run Threat Detection genera un rilevamento, registra le variabili di ambiente utilizzate per tutti i processi a cui si fa riferimento nel rilevamento. I valori delle variabili di ambiente possono essere importanti nelle indagini sulle minacce.

Tuttavia, potresti decidere di escludere le variabili di ambiente dai risultati, poiché alcuni pacchetti software memorizzano secret e altre informazioni sensibili nelle variabili di ambiente.

Per escludere le variabili di ambiente del processo dai risultati di Cloud Run Threat Detection, imposta il modulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES su DISABLED.
Per includere le variabili di ambiente dei processi nei risultati di Cloud Run Threat Detection, imposta il modulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES su ENABLED.

Per istruzioni, vedi Attivare o disattivare un modulo di rilevamento delle minacce Cloud Run in questa pagina.

Escludere gli argomenti della CLI dai risultati

Tutti i processi hanno uno o più argomenti dell'interfaccia a riga di comando (CLI). Per impostazione predefinita, quando Cloud Run Threat Detection include i dettagli del processo in un rilevamento, registra gli argomenti della CLI del processo. I valori degli argomenti della CLI possono essere importanti nelle indagini sulle minacce.

Tuttavia, potresti decidere di escludere gli argomenti della CLI dai risultati perché alcuni utenti potrebbero trasmettere segreti e altre informazioni sensibili negli argomenti della CLI.

Per escludere gli argomenti dell'interfaccia a riga di comando dai risultati di Cloud Run Threat Detection, imposta il modulo CLOUD_RUN_REPORT_CLI_ARGUMENTS su DISABLED.
Per includere gli argomenti della CLI nei risultati di Cloud Run Threat Detection, imposta il modulo CLOUD_RUN_REPORT_CLI_ARGUMENTS su ENABLED.

Per istruzioni, vedi Attivare o disattivare un modulo di rilevamento delle minacce Cloud Run in questa pagina.

Visualizza le impostazioni dei moduli Cloud Run Threat Detection

Per informazioni su tutti i risultati relativi alle minacce di Cloud Run Threat Detection, consulta la tabella dei rivelatori di Cloud Run Threat Detection.

gcloud

Il comando gcloud scc manage services describe recupera lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da recuperare (organization, folder o project)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico

Esegui il comando gcloud scc manage services describe:

Linux, macOS o Cloud Shell

gcloud scc manage services describe cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.get dell'API di gestione di Security Command Center recupera lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico

Metodo HTTP e URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Esamina i risultati

Quando Cloud Run Threat Detection genera risultati, puoi visualizzarli in Security Command Center.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo degli accessi.

Per esaminare i risultati del rilevamento delle minacce di Cloud Run in Security Command Center:

Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Vai a Risultati
Seleziona il tuo Google Cloud progetto o la tua organizzazione.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Rilevamento minacce Cloud Run. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
(Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Per facilitare la tua indagine, i risultati relativi alle minacce contengono anche link alle seguenti risorse esterne:

Le voci del framework MITRE ATT&CK. Il framework spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione.
VirusTotal, un servizio di proprietà di Alphabet che fornisce contesto su file, script, URL e domini potenzialmente dannosi.

Per un elenco dei tipi di risultati di Cloud Run Threat Detection, consulta Rilelevatori di Cloud Run Threat Detection.

Passaggi successivi

Scopri di più su Cloud Run Threat Detection.
Scopri come eseguire nuovamente il deployment dei servizi Cloud Run.
Scopri come Cloud Run implementa le best practice per la sicurezza.

Utilizzare Cloud Run Threat Detection Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Concedi le autorizzazioni IAM richieste all'account di servizio Cloud Run

Attivare o disattivare Cloud Run Threat Detection

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Attivare o disattivare un modulo Cloud Run Threat Detection

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Escludere le variabili di ambiente dai risultati

Escludere gli argomenti della CLI dai risultati

Visualizza le impostazioni dei moduli Cloud Run Threat Detection

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Esamina i risultati

Passaggi successivi

Utilizzare Cloud Run Threat Detection
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.