Comment éviter les fausses alertes positives pour les stratégies avec des API globales ?Prisma Cloud

• Comment éviter les faux positifs d’alerte pour les stratégies avec des API globales dans Prisma Cloud?

• Prisma Cloud

• Les stratégies agrégées sont des stratégies qui ont count() ou group by() dans leur RQL requête.
• Ces stratégies avec des API globales sont appliquées à toutes les régions.
• Désormais, avec les règles d’alerte spécifiques à la région appliquées à ces stratégies, des divergences peuvent survenir entre RQL la requête et le config-scanner.
• Cela peut entraîner des alertes inattendues ou des faux positifs, car les règles d’alerte ont été créées avec des régions filtrées alors que les stratégies d’agrégation sont toujours applicables à toutes les régions.
• Pour éviter l’apparition de tels faux positifs, il est conseillé d’attacher des règles d’alerte, qui sont appliquées à toutes les régions, avec de telles politiques.

Exemple:

• Considérons l’agrégat Policy « AWS CloudTrail n’est pas activé sur le compte » ayant la requête suivante RQL (contient count()).

config from cloud.resource where cloud.type = 'aws' and api.name='aws-cloudtrail-describe-trails' as X; count(X) inférieur à 1

• API « aws-cloudtrail-describe-trails » est global, quelle que soit la configuration de la région dans la règle d'alerte.  
• En tant que tel, des stratégies agrégées telles que «AWS CloudTrail n’est pas activé sur le compte » sont appliquées à toutes les régions.
• L’association d’une règle d’alerte spécifique à une région (2 régions sélectionnées dans la règle d’alerte suivante) à cela Policy peut entraîner des faux positifs d’alerte.

• Par conséquent, pour éviter cela, sélectionnez toutes les régions dans la règle d’alerte qui y est attachée Policy (par défaut, toutes les régions sont sélectionnées).