什么是“MDC_REOPEN_FOR_ACCIDENTAL_DELETE”Prisma Cloud以及如何避免?
9601
Created On 12/09/21 03:50 AM - Last Modified 05/17/23 03:22 AM
Question
- 什么是“MDC_REOPEN_FOR_ACCIDENTAL_DELETE”Prisma Cloud以及如何避免?
Environment
- Prisma Cloud
Answer
- 解决打开的警报后,将包含解决该警报的原因以帮助进行审核。
- 原因显示在响应对象中API,并且在Prisma Cloud当您选择已解决的警报并查看违规资源的警报详细信息时,警报概述上的管理控制台。
- 其中一个原因是“MDC_REOPEN_FOR_ACCIDENTAL_DELETE”。
- 这表明警报在摄取期间重新打开,因为资源被重新发现(下面共享了一个此类实例的快照)。
原因
- 通常这种情况发生在Prisma Cloud在摄取资源时遇到间歇性问题。
- 顾名思义,通过 Ingestion 将资源标记为意外删除,相应的 Alerts 也得到解决。
- 然而,在下一次摄取扫描中,相同的资源被重新发现,导致所有以前的警报重新打开。
- 同样,如果您手动关闭网络警报policy违反规则,Prisma Cloud当它再次检测到相同的违规行为时自动重新打开警报。
- 这种情况很少见,收到的警报是设计使然。
- 如果正在解决和重新打开大量此类警报,请确定受影响最大的资源类型(例如AWSS3) 看到多个警报的原因是 "MDC_REOPEN_FOR_ACCIDENTAL_DELETE" 并使用 Palo Alto Networks 打开一个新的支持案例TAC支持进一步调查。
Additional Information
有关更多信息,请参阅:Prisma Cloud警报解决原因