でグローバル API を使用するポリシーの誤検知アラートを回避する方法Prisma Cloud?

• でグローバル API を使用するポリシーのアラートの誤検知を回避する方法Prisma Cloud?

• Prisma Cloud

• 集約ポリシーは、count() または group by() を持つポリシーです。RQLクエリ。
• グローバル API を使用したこのようなポリシーは、すべてのリージョンに適用されます。
• 現在、そのようなポリシーに地域固有のアラート ルールが適用されているため、ポリシー間で不一致が発生する可能性があります。RQLクエリと構成スキャナー。
• これは、アラート ルールがフィルタリングされたリージョンで作成され、集計ポリシーが引き続きすべてのリージョンに適用されるため、予期しないアラートまたは誤検知が発生する可能性があります。
• このような誤検出の発生を回避するには、すべての地域に適用されるアラート ルールをそのようなポリシーに添付することをお勧めします。

例：

• Aggregateを考えてみましょうPolicy"AWS CloudTrail がアカウントで有効になっていません」というメッセージが表示されるRQLクエリ (count() を含む)。

cloud.type = 'aws' および api.name='aws-cloudtrail-describe-trails' である cloud.resource からの構成X;カウント（X ) 1未満

• API 「aws-cloudtrail-describe-trails」は、アラート ルールのリージョン設定に関係なくグローバルです。  
• そのため、「AWSアカウントで CloudTrail が有効になっていません」は、すべてのリージョンに適用されます。
• 地域固有のアラート ルール (次のアラート ルールで選択された 2 つの地域) をこれに関連付けるPolicyアラートの誤検知が発生する可能性があります。

• したがって、これを回避するには、これに関連付けられているアラート ルールですべての地域を選択します。Policy (デフォルトでは、すべての地域が選択されています)。