Questa pagina descrive come configurare Cloud Run Threat Detection per le tue risorse Cloud Run.
Le procedure descritte in questa pagina si applicano solo ai detector di runtime di Cloud Run Threat Detection. Per informazioni su come utilizzare i detector del control plane per Cloud Run, consulta Utilizzare Event Threat Detection.
Prima di iniziare
-
Per ottenere le autorizzazioni necessarie per gestire il servizio Cloud Run Threat Detection e i relativi moduli, chiedi all'amministratore di concederti il ruolo IAM Amministratore della gestione del Centro sicurezza (
roles/securitycentermanagement.admin
) nell'organizzazione, nella cartella o nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Testa i container Cloud Run utilizzando l'ambiente di esecuzione di seconda generazione per assicurarti che non ci siano problemi di compatibilità. Per ulteriori informazioni, consulta Ambienti di esecuzione supportati.
Attivare o disattivare Cloud Run Threat Detection
Quando abiliti Cloud Run Threat Detection in un'organizzazione, una cartella o un progetto, monitora automaticamente tutte le risorse Cloud Run supportate in questo ambito.
Dopo aver attivato Cloud Run Threat Detection, devi eseguire nuovamente il deployment dei servizi Cloud Run che vuoi monitorare.
Per attivare o disattivare Cloud Run Threat Detection:
Console
Nella console Google Cloud , vai alla pagina Abilitazione servizi per Cloud Run Threat Detection.
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Abilitazione del servizio, nella colonna Cloud Run Threat Detection, seleziona lo stato di abilitazione dell'organizzazione, della cartella o del progetto che vuoi modificare, quindi seleziona una delle seguenti opzioni:
- Abilita: abilita Cloud Run Threat Detection
- Disabilita: disabilita Cloud Run Threat Detection
- Eredita: eredita lo stato di attivazione dalla cartella o dall'organizzazione padre; disponibile solo per progetti e cartelle
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organization
,folder
oproject
) -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
NEW_STATE
:ENABLED
per attivare Cloud Run Threat Detection;DISABLED
per disattivare Cloud Run Threat Detection; oINHERITED
per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle)
Esegui il comando
gcloud scc manage services update
:
Linux, macOS o Cloud Shell
gcloud scc manage services update cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: CLOUD_RUN_ADDED_BINARY_EXECUTED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_LIBRARY_LOADED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_CONTAINER_ESCAPE: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_URL_OBSERVED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_CLI_ARGUMENTS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REVERSE_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_UNEXPECTED_CHILD_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
NEW_STATE
:ENABLED
per attivare Cloud Run Threat Detection;DISABLED
per disattivare Cloud Run Threat Detection; oINHERITED
per ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState
Corpo JSON della richiesta:
{ "intendedEnablementState": "NEW_STATE" }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "CLOUD_RUN_REPORT_CLI_ARGUMENTS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_CONTAINER_ESCAPE": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_LIBRARY_LOADED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_REVERSE_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_BINARY_EXECUTED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_URL_OBSERVED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-14T00:27:36.589993683Z" }
Attivare o disattivare un modulo Cloud Run Threat Detection
Per attivare o disattivare un singolo modulo Cloud Run Threat Detection, segui questi passaggi. Per informazioni su tutti i risultati delle minacce di Cloud Run Threat Detection e sui relativi moduli, consulta Rilevatori di Cloud Run Threat Detection.
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organization
,folder
oproject
) -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
MODULE_NAME
: il nome del modulo da attivare o disattivare; per i valori validi, vedi Rilevatori di Cloud Run Threat Detection -
NEW_STATE
:ENABLED
per attivare il modulo;DISABLED
per disattivare il modulo; oINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Salva i seguenti contenuti in un file denominato request.json
:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Esegui il comando
gcloud scc manage services update
:
Linux, macOS o Cloud Shell
gcloud scc manage services update cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: CLOUD_RUN_ADDED_BINARY_EXECUTED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_LIBRARY_LOADED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_CONTAINER_ESCAPE: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_URL_OBSERVED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_CLI_ARGUMENTS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REVERSE_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_UNEXPECTED_CHILD_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
MODULE_NAME
: il nome del modulo da attivare o disattivare; per i valori validi, vedi Rilevatori di Cloud Run Threat Detection -
NEW_STATE
:ENABLED
per attivare il modulo;DISABLED
per disattivare il modulo; oINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules
Corpo JSON della richiesta:
{ "modules": { "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "CLOUD_RUN_REPORT_CLI_ARGUMENTS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_CONTAINER_ESCAPE": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_LIBRARY_LOADED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_REVERSE_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_BINARY_EXECUTED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_URL_OBSERVED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-14T00:27:36.589993683Z" }
Escludere le variabili di ambiente dai risultati
Per impostazione predefinita, quando Cloud Run Threat Detection genera un risultato, segnala le variabili di ambiente utilizzate per tutti i processi a cui viene fatto riferimento nel risultato. I valori delle variabili di ambiente possono essere importanti nelle indagini sulle minacce.
Tuttavia, potresti decidere di escludere le variabili di ambiente dai risultati, perché alcuni pacchetti software archiviano i secret e altre informazioni sensibili nelle variabili di ambiente.
Per escludere le variabili di ambiente del processo dai risultati di Cloud Run Threat Detection, imposta il modulo
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES
suDISABLED
.Per includere le variabili di ambiente del processo nei risultati di Cloud Run Threat Detection, imposta il modulo
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES
suENABLED
.
Per istruzioni, vedi Attivare o disattivare un modulo Cloud Run Threat Detection in questa pagina.
Escludi argomenti dell'interfaccia a riga di comando dai risultati
Tutti i processi hanno uno o più argomenti dell'interfaccia a riga di comando (CLI). Per impostazione predefinita, quando Cloud Run Threat Detection include i dettagli del processo in un risultato, registra gli argomenti della CLI del processo. I valori degli argomenti della CLI possono essere importanti nelle indagini sulle minacce.
Tuttavia, potresti decidere di escludere gli argomenti della CLI dai risultati perché alcuni utenti potrebbero trasmettere segreti e altre informazioni sensibili negli argomenti della CLI.
Per escludere gli argomenti della CLI dai risultati di Cloud Run Threat Detection, imposta il modulo
CLOUD_RUN_REPORT_CLI_ARGUMENTS
suDISABLED
.Per includere gli argomenti della CLI nei risultati di Cloud Run Threat Detection, imposta il modulo
CLOUD_RUN_REPORT_CLI_ARGUMENTS
suENABLED
.
Per istruzioni, vedi Attivare o disattivare un modulo Cloud Run Threat Detection in questa pagina.
Visualizza le impostazioni dei moduli Cloud Run Threat Detection
Per informazioni su tutti i risultati delle minacce di Cloud Run Threat Detection, consulta la tabella Rilevatori di Cloud Run Threat Detection.
gcloud
Il comando
gcloud scc manage services describe
recupera lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da recuperare (organization
,folder
oproject
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
Esegui il comando
gcloud scc manage services describe
:
Linux, macOS o Cloud Shell
gcloud scc manage services describe cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services describe cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services describe cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED intendedEnablementState: ENABLED modules: CLOUD_RUN_ADDED_BINARY_EXECUTED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_LIBRARY_LOADED: effectiveEnablementState: DISABLED intendedEnablementState: DISABLED CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_CONTAINER_ESCAPE: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MALICIOUS_URL_OBSERVED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_CLI_ARGUMENTS: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_REVERSE_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CLOUD_RUN_UNEXPECTED_CHILD_SHELL: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.get
dell'API Security Command Center Management recupera lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da recuperare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
Metodo HTTP e URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection", "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED", "modules": { "CLOUD_RUN_REPORT_CLI_ARGUMENTS": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_CONTAINER_ESCAPE": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_LIBRARY_LOADED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_REVERSE_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_BINARY_EXECUTED": { "intendedEnablementState": "DISABLED", "effectiveEnablementState": "DISABLED" }, "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "CLOUD_RUN_MALICIOUS_URL_OBSERVED": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" } }, "updateTime": "2025-03-14T00:27:36.589993683Z" }
Esaminare i risultati
Quando Cloud Run Threat Detection genera risultati, puoi visualizzarli in Security Command Center.
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti è stato concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Per esaminare i risultati del rilevamento delle minacce di Cloud Run in Security Command Center:
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Cloud Run Threat Detection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.
Per facilitare l'analisi, i risultati delle minacce contengono anche link alle seguenti risorse esterne:
- Voci del framework MITRE ATT&CK. Il framework spiega le tecniche di attacco alle risorse cloud e fornisce indicazioni per la correzione.
- VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, script, URL e domini potenzialmente dannosi.
Per un elenco dei tipi di risultati di Cloud Run Threat Detection, consulta Rilevatori di Cloud Run Threat Detection.
Passaggi successivi
- Scopri di più su Cloud Run Threat Detection.
- Scopri come eseguire nuovamente il deployment dei servizi Cloud Run.
- Scopri come Cloud Run implementa le best practice per la sicurezza.