¿Cómo evitar alertas de falsos positivos para políticas con API globales en Prisma Cloud?

• ¿Cómo evitar la alerta de falsos positivos para políticas con API globales en Prisma Cloud?

• Prisma Cloud

• Las políticas agregadas son políticas que tienen count() o group by() en su RQL consulta.
• Estas directivas con API globales se aplican a todas las regiones.
• Ahora, con las reglas de alerta específicas de la región aplicadas a dichas políticas, pueden surgir discrepancias entre RQL la consulta y el analizador de configuración.
• Esto podría provocar alertas inesperadas o falsos positivos porque las reglas de alerta se crearon con regiones filtradas, mientras que las directivas agregadas siguen siendo aplicables a todas las regiones.
• Para evitar la ocurrencia de tales falsos positivos, se recomienda adjuntar Reglas de alerta, que se aplican a todas las regiones, con dichas Políticas.

Ejemplo:

• Consideremos el agregado Policy "CloudTrail no está habilitado en la cuenta"AWS que tiene la siguiente RQL consulta (contiene count()).

config desde cloud.resource donde cloud.type = 'aws' y api.name='aws-cloudtrail-describe-trails' como X; count(X) menor que 1

• API 'aws-cloudtrail-describe-trails' es global independientemente de la configuración de región en la regla de alerta.  
• Como tal, las políticas agregadas como "CloudTrail no está habilitado en la cuenta"AWS se aplican a todas las regiones.
• La asociación de una regla de alerta específica de la región (2 regiones seleccionadas en la siguiente regla de alerta) con esto Policy podría dar como resultado falsos positivos de alerta.

• Por lo tanto, para evitar esto, seleccione todas las regiones en la Regla de alerta adjunta a esto Policy (de forma predeterminada se seleccionan todas las regiones).