Prisma Cloud: Audit-Ereignis-RQL zeigt „Keine Ergebnisse“ an, obwohl nur Audit-Ereignisse gelesen wurden

Prisma Cloud: Audit-Ereignis-RQL zeigt „Keine Ergebnisse“ an, obwohl nur Audit-Ereignisse gelesen wurden

2869
Created On 01/22/24 21:55 PM - Last Modified 01/07/25 04:24 AM


Symptom


AssumeRole log occurs AWS Cloudtrail, for read only events.

Cloudtrail_readonly_option.png


Despite having read only CloudTrail events, there is no result for the Audit Even RQL query in PrismaCloud.
Cloud account status is green under (Settings > Cloud Account). 
event from cloud.audit_logs where operation = 'AssumeRole'

GUI Path: Investigate Page > RQL
Prisma_Operation_AssumeRole_log.png

Environment


  • Prisma Cloud
  • RQL für Prüfereignisse

Cause


Prisma Cloud nimmt keine Leseberechtigung Protokolle auf. Das Entwicklerteam kann bestimmte Ausnahmen machen und die Aufnahme bestimmter Leseereignisse zulassen, es handelt sich jedoch nicht um eine pauschale Aufnahme aller Leseberechtigung Ereignisse. Prisma Cloud hat eine interne Beschränkung auf 10 aufzunehmende Leseberechtigung Ereignisse. Andernfalls würde es zu einem Timeout für die API-Ratenbeschränkung kommen.

Resolution


Daher unterstützt Prisma Cloud nur Schreibereignisse in AWS CloudTrail.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WiKCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language