Wie vermeidet man falsch positive Warnungen für Richtlinien mit globalen APIs in Prisma Cloud?

• Wie vermeidet man Alert False Positives für Richtlinien mit globalen APIs in Prisma Cloud?

• Prisma Cloud

• Aggregierte Richtlinien sind Richtlinien, deren Abfrage count() oder group by() enthält RQL .
• Solche Richtlinien mit globalen APIs werden auf alle Regionen angewendet.
• Wenn nun regionsspezifische Warnungsregeln auf solche Richtlinien angewendet werden, können Diskrepanzen zwischen RQL Abfrage und Konfigurationsscanner auftreten.
• Dies kann zu unerwarteten Warnungen oder Fehlalarmen führen, da Warnungsregeln mit gefilterten Regionen erstellt wurden, während aggregierte Richtlinien weiterhin für alle Regionen gelten.
• Um das Auftreten solcher Fehlalarme zu vermeiden, wird empfohlen, Warnungsregeln, die auf alle Regionen angewendet werden, an solche Richtlinien anzuhängen.

Beispiel:

• Betrachten wir das Aggregat Policy "CloudTrail ist für das Konto nicht aktiviert"AWS mit der folgenden RQL Abfrage (enthält count()).

config from cloud.resource wobei cloud.type = 'aws' und api.name='aws-cloudtrail-describe-trails' as X; count(X) kleiner als 1

• API 'aws-cloudtrail-describe-trails' ist unabhängig von der Regionskonfiguration in der Warnregel global.  
• Daher werden aggregierte Richtlinien wie "CloudTrail ist für das Konto nicht aktiviert"AWS auf alle Regionen angewendet.
• Das Zuordnen einer regionsspezifischen Warnregel (2 Regionen, die in der folgenden Warnregel ausgewählt wurden) Policy kann zu Fehlalarmen führen.

• Um dies zu vermeiden, wählen Sie daher alle Regionen in der zugehörigen Policy Warnungsregel aus (standardmäßig sind alle Regionen ausgewählt).