Nesta página
- O conjunto v1 de sinais
- Padrão de abuso de recursos
- Carga vulnerável-e-exposta recebendo tráfego
- Mudança arriscada de exposição pública
- Contexto de deploy arriscado
- Que evidência cada achado carrega
- Ciclo de vida
- O controle em runtime permanece com você
- Como sinais interagem com outras superfícies do Shield
- Para onde ir agora
Última atualização: 23 de maio de 2026
Sinais de Risco em Runtime
Os Sinais de Risco em Runtime são sinais de risco curados que o Shield deriva do estado observado em runtime da sua conta. Eles respondem perguntas como:
- “Uma das minhas cargas está se comportando como se estivesse comprometida ou descontrolada, queimando CPU ou memória de forma anormal?”
- “Eu acabei de expor à internet uma carga que também tem CVEs críticas conhecidas?”
- “A superfície de exposição pública de um dos meus projetos acabou de mudar de forma arriscada?”
- “Um deploy recente rolou sob contexto arriscado (checks pulados, retries rápidos)?”
Cada sinal abre, atualiza ou resolve um Achado de Segurança com fonte runtime_detection e categoria runtime.
O conjunto v1 de sinais
O conjunto v1 de regras é deliberadamente pequeno. Cada regra é explícita, explicável e opera em dados que a Guara Cloud já coleta para sua conta.
Padrão de abuso de recursos
Sinaliza uma carga cujo uso de recursos em runtime parece abuso, consumo anômalo sustentado de CPU ou memória contra a baseline histórica da própria carga. Gatilhos comuns incluem:
- Um cryptominer ou loop descontrolado em um container de serviço.
- Uma regressão na sua aplicação que de repente fixa a CPU após um deploy.
- Um processo com vazamento que sobe memória sem parar até dar OOM.
O sinal é um sinal de risco, não detecção de exploit. Ele te diz “esta carga está usando recursos de uma forma que muitas vezes se correlaciona com abuso ou regressão”, e você decide se é malicioso, bug, ou só uma sexta-feira quente.
Carga vulnerável-e-exposta recebendo tráfego
Sinaliza a interseção perigosa de dois fatos que o Shield já conhece independentemente:
- A carga tem CVEs críticas ou altas conhecidas na imagem do container.
- A carga está publicamente exposta e está ativamente recebendo tráfego.
Essa combinação é o formato mais acionável no Shield: algo conhecidamente vulnerável com mãos nele. Uma CVE crítica em um serviço interno privado é um problema; uma CVE crítica em um serviço público que usuários reais estão acessando agora é uma prioridade.
Mudança arriscada de exposição pública
Sinaliza uma mudança súbita na superfície de exposição pública que parece arriscada em contexto:
- Um serviço antes privado se torna público.
- Um serviço que acabou de descobrir uma CVE crítica nova também acabou de abrir um endpoint público.
- A exposição pública expandiu num projeto logo após uma mudança de credencial ou configuração.
O ponto desta regra é capturar o momento em que sua superfície de ataque cresceu, enquanto a mudança ainda está fresca na memória do time.
Contexto de deploy arriscado
Sinaliza deploys que aconteceram sob contexto que historicamente se correlaciona com incidente:
- Uma rajada de redeploys rápidos com checks de readiness falhando (o padrão “debugging com espingarda”).
- Um deploy de um serviço com achados críticos ativos.
- Um padrão de deploy incomum comparado ao histórico do projeto.
Deploys nunca são bloqueados por risco em runtime; os sinais aparecem após o deploy para que você decida se quer redeployar ou fazer rollback. O sinal é um marcador passivo para você correlacionar achados a deploys específicos durante investigação.
Que evidência cada achado carrega
Todo achado de Sinal de Risco em Runtime inclui:
- O nome da regra (uma das quatro acima).
- A carga, projeto e serviço aos quais se aplica.
- Um snapshot estruturado e limitado do sinal observado, por exemplo “taxa de redeploys nos últimos 30 minutos” ou “contagem de CVEs críticas mais estado de exposição pública”.
- Orientação concreta de remediação para aquela regra específica.
A evidência é mínima por design. Internos da plataforma permanecem do lado da plataforma, e a evidência do Shield se limita aos dados do sinal curado acima. Listagens de processos, traces de syscall, traces de acesso a arquivos, telemetria DNS, conteúdo de logs, payloads de aplicação e segredos nunca aparecem em um achado.
Ciclo de vida
Como toda superfície do Shield, achados de runtime deduplicam na condição subjacente. Se a mesma regra continua disparando na mesma carga, o Shield atualiza o last_seen_at do achado existente em vez de abrir duplicatas. Achados só resolvem após a condição estar ausente por múltiplas janelas consecutivas de observação, para evitar flapping.
O controle em runtime permanece com você
O Shield reporta sinais de risco para que você decida a ação. O controle em runtime permanece com você, o Shield nunca pausa, reinicia, isola ou modifica suas cargas. Ele escreve achados; você age.
Como sinais interagem com outras superfícies do Shield
Os Sinais de Risco em Runtime são mais úteis em combinação com outros dados do Shield:
- Um sinal de runtime que linka para um achado de Vulnerabilidade dá urgência à CVE.
- Um sinal de runtime durante um deploy recente explica por que um deploy pode merecer rollback.
- Um sinal de runtime em uma carga que acabou de aparecer em Logs de Fluxo com taxa incomum dá contexto à forma do tráfego.
A página de Relatórios e Postura agrega sinais de runtime na sua pontuação geral de postura.
Para onde ir agora
- Trie os achados que estes sinais produzem: Achados de Segurança.
- Veja os eventos cronológicos que disparam junto aos sinais: Eventos de Segurança (procure
runtime_signal_observed). - Tenha uma leitura em linguagem clara de um sinal específico: Explicar esta Ameaça.