Esta página foi traduzida pela API Cloud Translation.

Usar a Detecção de ameaças do Cloud Run
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Esta página descreve como configurar o Cloud Run Threat Detection para seus recursos do Cloud Run.

Os procedimentos nesta página se aplicam apenas aos detectores de tempo de execução da Detecção de ameaças do Cloud Run. Para informações sobre como trabalhar com os detectores de plano de controle do Cloud Run, consulte Usar o Event Threat Detection.

Antes de começar

Para receber as permissões necessárias para gerenciar o serviço de Detecção de ameaças do Cloud Run e os módulos dele, peça ao administrador para conceder a você o papel do IAM Administrador de gerenciamento do Security Center (roles/securitycentermanagement.admin) na organização, pasta ou projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Teste seus contêineres do Cloud Run usando o ambiente de execução de segunda geração para garantir que não haja problemas de compatibilidade. Para mais informações, consulte Ambientes de execução compatíveis.

Conceda as permissões necessárias do IAM à conta de serviço do Cloud Run

Se os recursos do Cloud Run estiverem usando a conta de serviço padrão do Compute Engine e você não tiver revogado as permissões dela, já terá as permissões necessárias para executar a Detecção de ameaças do Cloud Run. Você pode pular esta seção.

Realize esta tarefa se uma das seguintes situações se aplicar a você:

Você fez alterações na conta de serviço padrão do Compute Engine.
Você criou sua própria conta de serviço para o serviço do Cloud Run.
Você está usando uma conta de serviço criada para um projeto diferente do que contém seu serviço do Cloud Run.

Conceda o papel Criador de token da conta de serviço à conta de serviço que o recurso do Cloud Run usa como identidade de serviço:

gcloud iam service-accounts add-iam-policy-binding \
    PROJECT_NUMBER \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME \
    --role=roles/iam.serviceAccountTokenCreator

Substitua:

PROJECT_NUMBER: o identificador numérico do projeto em que o serviço do Cloud Run é implantado. Esse projeto pode ser diferente do projeto que contém a conta de serviço. Encontre o número do projeto na página Painel do console do Google Cloud.
SERVICE_ACCOUNT_NAME: o endereço de e-mail da sua conta de serviço do Cloud Run no ambiente de execução.

Ativar ou desativar a Detecção de ameaças do Cloud Run

Quando você ativa a Detecção de ameaças do Cloud Run em uma organização, pasta ou projeto, ela monitora automaticamente todos os recursos do Cloud Run compatíveis nesse escopo.

Depois de ativar a Detecção de ameaças do Cloud Run, é necessário reimplantar os serviços do Cloud Run que você quer monitorar.

Para ativar ou desativar a Detecção de ameaças do Cloud Run, siga estas etapas:

Console

No console do Google Cloud, acesse a página Ativação de serviço para a detecção de ameaças do Cloud Run.

Acessar "Ativação de serviço"
Selecione a organização ou o projeto.
Na guia Ativação do serviço, na coluna Detecção de ameaças do Cloud Run, selecione o status de ativação da organização, pasta ou projeto que você quer modificar e selecione uma das seguintes opções:
- Ativar: ativar a Detecção de ameaças do Cloud Run.
- Desativar: desativa a Detecção de ameaças do Cloud Run.
- Herdar: herda o status de ativação da pasta pai ou da organização. Disponível apenas para projetos e pastas.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization, folder ou project)
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
NEW_STATE: ENABLED para ativar a Detecção de ameaças do Cloud Run, DISABLED para desativar a Detecção de ameaças do Cloud Run ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas)

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations, folders ou projects)
QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
NEW_STATE: ENABLED para ativar a Detecção de ameaças do Cloud Run, DISABLED para desativar a Detecção de ameaças do Cloud Run ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas)

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState

Corpo JSON da solicitação:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Ativar ou desativar um módulo de Detecção de ameaças do Cloud Run

Para ativar ou desativar um módulo de detecção de ameaças do Cloud Run, siga estas etapas. Para informações sobre todas as descobertas de ameaças da detecção de ameaças do Cloud Run e os respectivos módulos, consulte Detectores da detecção de ameaças do Cloud Run.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization, folder ou project)
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores do Cloud Run Threat Detection.
NEW_STATE: ENABLED para ativar o módulo, DISABLED para desativar o módulo ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas)

Salve o conteúdo a seguir em um arquivo chamado request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations, folders ou projects)
QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores do Cloud Run Threat Detection.
NEW_STATE: ENABLED para ativar o módulo, DISABLED para desativar o módulo ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas)

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules

Corpo JSON da solicitação:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection?updateMask=modules" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Excluir variáveis de ambiente das descobertas

Por padrão, quando o Cloud Run Threat Detection gera uma descoberta, ele informa as variáveis de ambiente usadas para todos os processos mencionados na descoberta. Os valores das variáveis de ambiente podem ser importantes nas investigações de ameaças.

No entanto, você pode decidir excluir variáveis de ambiente das descobertas, porque alguns pacotes de software armazenam segredos e outras informações sensíveis em variáveis de ambiente.

Para excluir variáveis de ambiente de processo das descobertas da Detecção de ameaças do Cloud Run, defina o módulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES como DISABLED.
Para incluir variáveis de ambiente de processo nas descobertas da Detecção de ameaças do Cloud Run, defina o módulo CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES como ENABLED.

Para instruções, consulte Ativar ou desativar um módulo de Detecção de ameaças do Cloud Run nesta página.

Excluir argumentos da CLI das descobertas

Todos os processos têm um ou mais argumentos de interface de linha de comando (CLI). Por padrão, quando a Cloud Run Threat Detection inclui detalhes do processo em uma descoberta, ela registra os argumentos da CLI relacionados. Os valores dos argumentos da CLI podem ser importantes nas investigações de ameaças.

No entanto, você pode decidir excluir argumentos da CLI das descobertas, porque alguns usuários podem transmitir segredos e outras informações sensíveis nos argumentos da CLI.

Para excluir argumentos da CLI das descobertas do Cloud Run Threat Detection, defina o módulo CLOUD_RUN_REPORT_CLI_ARGUMENTS como DISABLED.
Para incluir argumentos da CLI nas descobertas do Cloud Run Threat Detection, defina o módulo CLOUD_RUN_REPORT_CLI_ARGUMENTS como ENABLED.

Para instruções, consulte Ativar ou desativar um módulo de Detecção de ameaças do Cloud Run nesta página.

Conferir as configurações dos módulos do Cloud Run Threat Detection

Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças do Cloud Run, consulte a tabela Detectores da detecção de ameaças do Cloud Run.

gcloud

O comando gcloud scc manage services describe recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso a ser recebido (organization, folder ou project).
QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID alfanumérico do projeto.

Execute o comando gcloud scc manage services describe:

Linux, macOS ou Cloud Shell

gcloud scc manage services describe cloud-run-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe cloud-run-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe cloud-run-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  CLOUD_RUN_ADDED_BINARY_EXECUTED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_LIBRARY_LOADED:
    effectiveEnablementState: DISABLED
    intendedEnablementState: DISABLED
  CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CLOUD_RUN_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection
updateTime: '2025-03-14T00:27:36.589993683Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.get da API Security Command Center Management recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso a ser recebido (organizations, folders ou projects).
QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cotas
RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID alfanumérico do projeto.

Método HTTP e URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/cloud-run-threat-detection" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/cloud-run-threat-detection",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CLOUD_RUN_REPORT_CLI_ARGUMENTS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_CONTAINER_ESCAPE": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_LIBRARY_LOADED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_REVERSE_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_REPORT_ENVIRONMENT_VARIABLES": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_UNEXPECTED_CHILD_SHELL": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_BINARY_EXECUTED": {
      "intendedEnablementState": "DISABLED",
      "effectiveEnablementState": "DISABLED"
    },
    "CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "CLOUD_RUN_MALICIOUS_URL_OBSERVED": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-14T00:27:36.589993683Z"
}

Analisar resultados

Quando o Cloud Run Threat Detection gera descobertas, é possível acessá-las no Security Command Center.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Para analisar as descobertas da Detecção de ameaças do Cloud Run no Security Command Center, siga estas etapas:

No console do Google Cloud, acesse a página Descobertas do Security Command Center.
Acesse Descobertas
Selecione o projeto ou a organização Google Cloud .
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Detecção de ameaças do Cloud Run. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Para ajudar na investigação, as descobertas de ameaças também contêm links para os seguintes recursos externos:

Entradas do framework do MITRE ATT&CK. O framework explica técnicas de ataques contra recursos da nuvem e fornece orientações para correção.
VirusTotal, um serviço pertencente à Alphabet que fornece contexto sobre arquivos, scripts, URLs e domínios potencialmente maliciosos.

Para uma lista de tipos de descobertas do Cloud Run Threat Detection, consulte Detectores do Cloud Run Threat Detection.

A seguir

Saiba mais sobre a detecção de ameaças do Cloud Run.
Saiba como reimplantar serviços do Cloud Run.
Saiba como o Cloud Run implementa as práticas recomendadas de segurança.

Usar a Detecção de ameaças do Cloud Run Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Conceda as permissões necessárias do IAM à conta de serviço do Cloud Run

Ativar ou desativar a Detecção de ameaças do Cloud Run

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Ativar ou desativar um módulo de Detecção de ameaças do Cloud Run

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Excluir variáveis de ambiente das descobertas

Excluir argumentos da CLI das descobertas

Conferir as configurações dos módulos do Cloud Run Threat Detection

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Analisar resultados

A seguir

Usar a Detecção de ameaças do Cloud Run
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.