Warnungen haben keine Daten zur Zuordnung der Benutzer
Symptom
Symptome
Die Benutzer Zuordnung ist konfiguriert, aber keine der Warnungen hat irgendwelche Benutzer Zuweisungs Daten.
Zum Beispiel:
Diagnose
Benutzer Zuweisungs Konfiguration
Prüfen Sie, ob der Konfigurations Status der Benutzer "nicht konfiguriert" oder "Fehler" ist. Beispiel:
Signatur unterstützt keine Benutzer Zuordnung
Prüfen Sie, ob die betreffende Benachrichtigung die Zuordnung der Nutzer unterstützt. Beachten Sie die Alert-Kennung (z. AWS: EC2-001) dann gehen Sie zu der offensichtlichen Überwachung Web UI-> Control Panel-> Signaturen, öffnen Sie Suchfilter, und finden Sie diese Signatur. Sie können auch durch die Option "Zuweisung unterstützen" filtern, um alle Signaturen zu finden, die die Zuordnung der Benutzer unterstützen Zum Beispiel:
Kann cloudtrail-Protokolle nicht abrufen
Prüfen Sie, ob die offensichtliche Service-Funktion die erforderliche Genehmigung erhält.
Prüfen Sie, ob die S3-Bucket-Richtlinie von cloudtrail den Lesezugriff explizit verweigert.
Cloudtrail Log bezogene Probleme
- Erstellen Sie in der AWS-Konsole eine neue Sicherheitsgruppe und befestigen Sie diese nicht an Ressourcen.
- Warten eine Stunde
- In der offensichtlichen Überwachung Web-UI, generieren Sie einen neuen Bericht für dieses externe Konto
- Suchen Sie nach einem neuen Fail AWS: EC2-031 (ungenutzte Sicherheitsgruppe) Alert für die Sicherheitsgruppe, die wir in Step #1 erstellt haben.
- Wenn der Alarm keine Benutzer Zuweisungs Daten hat, überprüfen Sie cloudtrails und suchen Sie nach dem createsecuritygroup-Event.
- a) Wenn dieses Ereignis nicht existiert, dann wurde cloudtrails nicht richtig konfiguriert.
b) Wenn dieses Ereignis existiert, dann überprüfen Sie den Zeitstempel des Ereignisses und vergleichen Sie es mit der Startzeit des Alarms. - a) Wenn die Startzeit des Alarms und der Zeitstempel des cloudtrail-Ereignisses mehr als 2 Stunden auseinander liegen, dann wurde dies erwartet. Die Veranstaltungszeit des cloudtrail-Eintrags muss innerhalb von 2 Stunden nach Beginn der Alarmierung bei Zeitstempel liegen, damit Sie zu den Daten der Benutzer Zuschreibung wird.
b) Wenn die Startzeit des Alarms und der Zeitstempel des cloudtrail-Ereignisses innerhalb von 2 Stunden liegt, dann funktioniert die Zuordnung der Benutzer nicht richtig.
Offensichtliche Überwachung der Benutzer Zuweisung Engine Status
Prüfen Sie http://Status.evident.IO/ , ob es Ausfälle gibt.
Resolution
Benutzer Zuweisungs Konfiguration
Konfiguration/Neukonfiguration der Benutzer Zuordnung, bis der Status "aktiv" wird.
Signatur unterstützt keine Benutzer Zuordnung
Senden Sie Verbesserungs Anfrage an Palo Alto Networks Unterstützung. Beachten Sie, dass nicht alle Signaturen in der Lage sind, die Zuordnung der Benutzer
Kann cloudtrail-Protokolle nicht abrufen
Modifizieren Sie die evident-Service-Rolle und die S3-Eimer-Richtlinie, um sicherzustellen, dass die Rolle des Dienstes sichtbar ist. Die Konfigurationsanleitungen für die Benutzer Zuordnung, Step #2 gibt Auskunft darüber, wie man offensichtliche-Service-Rollen-Berechtigungen einrichten kann.
Cloudtrail Log bezogene Probleme
Bitte wenden Sie sich an die Unterstützung von Palo Alto Networks und stellen Sie Diagnose Schritte zur Verfügung. Bieten auch
- URL zur Benachrichtigung, die die Daten der Benutzer Zuordnung haben soll
- Cloudtrail-Log-Dateien, die cloudtrail-Ereignisse innerhalb von zwei Stunden nach der Startzeit der Alarmierung enthalten
Offensichtliche Überwachung der Benutzer Zuweisung Engine Status
Warten Sie auf Weitere Informationen, um verfügbar zu werden, oder kontaktieren Sie Palo Alto Networks Unterstützung für Updates.