如何使用 Global APIs 避免针对策略的误报Prisma Cloud？

• 如何避免针对具有全局 API 的策略的警报误报Prisma Cloud？

• Prisma Cloud

• 聚合策略是在其中包含 count() 或 group by() 的策略RQL询问。
• 具有全局 API 的此类策略适用于所有区域。
• 现在，将特定于区域的警报规则应用于此类策略，差异可能会出现在RQL查询和配置扫描仪。
• 这可能会导致意外警报或误报，因为警报规则是使用过滤区域创建的，而聚合策略仍然适用于所有区域。
• 为避免此类误报的发生，建议将适用于所有区域的警报规则与此类策略一起附加。

例子：

• 让我们考虑聚合Policy“AWS CloudTrail 未在帐户上启用”具有以下内容RQL查询（包含 count()）。

来自 cloud.resource 的配置，其中 cloud.type = 'aws' 和 api.name='aws-cloudtrail-describe-trails' 作为X;数数（X ) 小于 1

• API 无论警报规则中的区域配置如何，“aws-cloudtrail-describe-trails”都是全局的。  
• 因此，汇总政策如“AWS CloudTrail 未在账户上启用'适用于所有区域。
• 将特定区域的警报规则（以下警报规则中选择的 2 个区域）与此相关联Policy可能会导致警报误报。

• 因此，为避免这种情况，请选择附加到此的警报规则中的所有区域Policy（默认情况下选择所有区域）。