Prisma Cloud: el evento de auditoría RQL muestra "Sin resultados" a pesar de haber leído solo eventos de auditoría

Prisma Cloud: el evento de auditoría RQL muestra "Sin resultados" a pesar de haber leído solo eventos de auditoría

2857
Created On 01/22/24 21:55 PM - Last Modified 01/07/25 04:25 AM


Symptom


AssumeRole log occurs AWS Cloudtrail, for read only events.

Cloudtrail_readonly_option.png


Despite having read only CloudTrail events, there is no result for the Audit Even RQL query in PrismaCloud.
Cloud account status is green under (Settings > Cloud Account). 
event from cloud.audit_logs where operation = 'AssumeRole'

GUI Path: Investigate Page > RQL
Prisma_Operation_AssumeRole_log.png

Environment


  • Nube Prisma
  • Evento de auditoría RQL

Cause


Prisma Cloud no ingiere registros de solo lectura . El equipo de desarrollo tiene la capacidad de hacer excepciones específicas y permitir la ingesta de ciertos eventos de lectura, pero no se trata de una ingesta general de todos los eventos de solo lectura . Prisma Cloud tiene una limitación interna de 10 eventos de solo lectura para ingerir. De lo contrario, se produciría un tiempo de espera de espera de la tasa de API.

Resolution


Por lo tanto, Prisma Cloud solo admite eventos de escritura en AWS CloudTrail.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WiKCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language