이 페이지에서는 Cloud Run 리소스에 Cloud Run 위협 감지를 구성하는 방법을 설명합니다.
이 페이지의 절차는 Cloud Run Threat Detection 런타임 감지기에만 적용됩니다. Cloud Run의 컨트롤 플레인 감지기를 사용하는 방법에 관한 자세한 내용은 Event Threat Detection 사용을 참고하세요.
시작하기 전에
-
Cloud Run 위협 감지 서비스 및 모듈을 관리하는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대한 Security Center 관리자 (
roles/securitycentermanagement.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요. 2세대 실행 환경을 사용하여 Cloud Run 컨테이너를 테스트하여 호환성 문제가 없는지 확인합니다. 자세한 내용은 지원되는 실행 환경을 참고하세요.
Cloud Run 서비스 계정에 필요한 IAM 권한 부여
Cloud Run 리소스가 Compute Engine 기본 서비스 계정을 사용하고 있고 이 서비스 계정의 권한을 취소하지 않은 경우 Cloud Run 위협 감지를 실행하는 데 필요한 권한이 이미 있습니다. 이 섹션은 건너뛰어도 됩니다.
다음 중 하나에 해당하는 경우 이 작업을 수행합니다.
- Compute Engine 기본 서비스 계정을 변경했습니다.
- Cloud Run 서비스용 자체 서비스 계정을 만들었습니다.
- Cloud Run 서비스가 포함된 프로젝트와 다른 프로젝트용으로 생성된 서비스 계정을 사용하고 있습니다.
Cloud Run 리소스에서 서비스 ID로 사용하는 서비스 계정에 서비스 계정 토큰 생성자 역할을 부여합니다.
gcloud iam service-accounts add-iam-policy-binding \
PROJECT_NUMBER \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/iam.serviceAccountTokenCreator
다음을 바꿉니다.
PROJECT_NUMBER: Cloud Run 서비스가 배포된 프로젝트의 숫자 식별자입니다. 이 프로젝트는 서비스 계정이 포함된 프로젝트와 다를 수 있습니다. Google Cloud 콘솔의 대시보드 페이지에서 프로젝트 번호를 찾을 수 있습니다.SERVICE_ACCOUNT_NAME: 런타임 Cloud Run 서비스 계정의 이메일 주소입니다.
Cloud Run Threat Detection 사용 설정 또는 중지
조직, 폴더 또는 프로젝트에서 Cloud Run Threat Detection을 사용 설정하면 해당 범위의 모든 지원되는 Cloud Run 리소스가 자동으로 모니터링됩니다.
Cloud Run 위협 감지를 사용 설정한 후에는 모니터링하려는 Cloud Run 서비스를 다시 배포해야 합니다.
Cloud Run Threat Detection을 사용 설정 또는 중지하려면 다음 단계를 따르세요.
콘솔
Google Cloud 콘솔에서 Cloud Run Threat Detection의 서비스 사용 설정 페이지로 이동합니다.
조직 또는 프로젝트를 선택합니다.
서비스 사용 설정 탭의 Cloud Run 위협 감지 열에서 수정하려는 조직, 폴더 또는 프로젝트의 사용 설정 상태를 선택한 다음 다음 중 하나를 선택합니다.
- 사용 설정: Cloud Run Threat Detection을 사용 설정합니다.
- 사용 중지: Cloud Run Threat Detection을 사용 중지합니다.
- 상속: 상위 폴더 또는 조직에서 사용 설정 상태를 상속합니다. 프로젝트 및 폴더에만 사용할 수 있습니다.
gcloud
gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 업데이트할 리소스의 유형(organization,folder,project) -
RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다. -
NEW_STATE: Cloud Run Threat Detection을 사용 설정하려면ENABLED, Cloud Run Threat Detection을 사용 중지하려면DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면INHERITED(프로젝트 및 폴더에만 유효)
gcloud scc manage services update 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud scc manage services update cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows(PowerShell)
gcloud scc manage services update cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows(cmd.exe)
gcloud scc manage services update cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
다음과 비슷한 응답이 표시됩니다.
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
CLOUD_RUN_ADDED_BINARY_EXECUTED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_LIBRARY_LOADED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REVERSE_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 업데이트할 리소스의 유형(organizations,folders,projects) -
QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다. -
RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다. -
NEW_STATE: Cloud Run Threat Detection을 사용 설정하려면ENABLED, Cloud Run Threat Detection을 사용 중지하려면DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면INHERITED(프로젝트 및 폴더에만 유효)
HTTP 메서드 및 URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState
JSON 요청 본문:
{
"intendedEnablementState": "NEW_STATE"
}
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{
"name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED",
"modules": {
"CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_CONTAINER_ESCAPE": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_LIBRARY_LOADED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_REVERSE_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_BINARY_EXECUTED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-03-14T00:27:36.589993683Z"
}
Cloud Run Threat Detection 모듈 사용 설정 또는 중지
개별 Cloud Run Threat Detection 모듈을 사용 설정하거나 중지하려면 다음 단계를 따르세요. 모든 Cloud Run Threat Detection 위협 발견 항목 및 모듈에 대한 자세한 내용은 Cloud Run Threat Detection 감지기를 참고하세요.
gcloud
gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 업데이트할 리소스의 유형(organization,folder,project) -
RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다. -
MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름. 유효한 값은 Cloud Run 위협 감지 감지기를 참고하세요. -
NEW_STATE: 모듈을 사용 설정하려면ENABLED, 모듈을 사용 중지하려면DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면INHERITED(프로젝트 및 폴더에만 유효)
다음 콘텐츠를 request.json 파일에 저장합니다.
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
gcloud scc manage services update 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud scc manage services update cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows(PowerShell)
gcloud scc manage services update cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows(cmd.exe)
gcloud scc manage services update cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
다음과 비슷한 응답이 표시됩니다.
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
CLOUD_RUN_ADDED_BINARY_EXECUTED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_LIBRARY_LOADED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REVERSE_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 업데이트할 리소스의 유형(organizations,folders,projects) -
QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다. -
RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다. -
MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름. 유효한 값은 Cloud Run 위협 감지 감지기를 참고하세요. -
NEW_STATE: 모듈을 사용 설정하려면ENABLED, 모듈을 사용 중지하려면DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면INHERITED(프로젝트 및 폴더에만 유효)
HTTP 메서드 및 URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules
JSON 요청 본문:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{
"name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED",
"modules": {
"CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_CONTAINER_ESCAPE": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_LIBRARY_LOADED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_REVERSE_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_BINARY_EXECUTED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-03-14T00:27:36.589993683Z"
}
발견 항목에서 환경 변수 제외
기본적으로 Cloud Run Threat Detection에서 발견 항목을 생성할 때 발견 항목에서 참조되는 모든 프로세스에 사용된 환경 변수를 보고합니다. 환경 변수의 값은 위협 조사에 중요할 수 있습니다.
그러나 일부 소프트웨어 패키지는 보안 비밀과 기타 민감한 정보를 환경 변수에 저장하므로 발견사항에서 환경 변수를 제외할 수 있습니다.
Cloud Run Threat Detection 발견 항목에서 프로세스 환경 변수를 제외하려면
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES모듈을DISABLED로 설정합니다.Cloud Run 위협 감지 결과에 프로세스 환경 변수를 포함하려면
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES모듈을ENABLED로 설정합니다.
자세한 내용은 이 페이지의 Cloud Run Threat Detection 모듈 사용 설정 또는 중지를 참고하세요.
발견 항목에서 CLI 인수 제외
모든 프로세스에는 하나 이상의 명령줄 인터페이스 (CLI) 인수가 포함됩니다. 기본적으로 Cloud Run Threat Detection에 발견 항목의 프로세스 세부정보가 포함된 경우 프로세스의 CLI 인수를 기록합니다. CLI 인수 값은 위협 조사에 중요할 수 있습니다.
그러나 일부 사용자가 보안 비밀 및 기타 민감한 정보를 CLI 인수로 전달할 수 있으므로 CLI 인수를 발견 항목에서 제외할 수 있습니다.
Cloud Run Threat Detection 발견 항목에서 CLI 인수를 제외하려면
CLOUD_RUN_REPORT_CLI_ARGUMENTS모듈을DISABLED로 설정합니다.Cloud Run Threat Detection 발견 항목에 CLI 인수를 포함하려면
CLOUD_RUN_REPORT_CLI_ARGUMENTS모듈을ENABLED로 설정합니다.
자세한 내용은 이 페이지의 Cloud Run Threat Detection 모듈 사용 설정 또는 중지를 참고하세요.
Cloud Run Threat Detection 모듈의 설정 보기
모든 Cloud Run Threat Detection 위협 발견 항목에 대한 자세한 내용은 Cloud Run Threat Detection 감지기 표를 참고하세요.
gcloud
gcloud scc manage services describe 명령어는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 가져올 리소스의 유형(organization,folder,project) -
QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다. -
RESOURCE_ID: 가져올 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
gcloud scc manage services describe 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud scc manage services describe cloud-run-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows(PowerShell)
gcloud scc manage services describe cloud-run-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows(cmd.exe)
gcloud scc manage services describe cloud-run-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
다음과 비슷한 응답이 표시됩니다.
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
CLOUD_RUN_ADDED_BINARY_EXECUTED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_LIBRARY_LOADED:
effectiveEnablementState: DISABLED
intendedEnablementState: DISABLED
CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_REVERSE_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'
REST
Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.get 메서드는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 가져올 리소스의 유형(organizations,folders,projects) -
QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다. -
RESOURCE_ID: 가져올 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
HTTP 메서드 및 URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{
"name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED",
"modules": {
"CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_CONTAINER_ESCAPE": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_LIBRARY_LOADED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_REVERSE_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_BINARY_EXECUTED": {
"intendedEnablementState": "DISABLED",
"effectiveEnablementState": "DISABLED"
},
"CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-03-14T00:27:36.589993683Z"
}
발견 항목 검토
Cloud Run Threat Detection이 발견 항목을 생성하면 Security Command Center에서 볼 수 있습니다.
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
Security Command Center에서 Cloud Run Threat Detection 발견 항목을 검토하려면 다음 단계를 따르세요.
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Cloud Run Threat Detection을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
조사에 도움이 되도록 위협 발견 항목에는 다음 외부 리소스에 대한 링크도 포함됩니다.
- MITRE ATT&CK 프레임워크 항목입니다. 이 프레임워크는 클라우드 리소스에 대한 공격의 기술을 설명하고 문제 해결 방법을 제공합니다.
- VirusTotal은 Alphabet 소유 서비스로 잠재적 악성 파일, 스크립트, URL, 도메인에 관한 컨텍스트를 제공합니다.
Cloud Run Threat Detection 발견 항목 유형 목록은 Cloud Run Threat Detection 감지기를 참고하세요.
다음 단계
- Cloud Run Threat Detection 자세히 알아보기
- Cloud Run 서비스를 다시 배포하는 방법을 알아봅니다.
- Cloud Run이 보안 권장사항을 구현하는 방법을 알아봅니다.