Prisma Cloud: 監査イベント RQL に、読み取り専用の監査イベントがあるにもかかわらず「結果なし」と表示される

Prisma Cloud: 監査イベント RQL に、読み取り専用の監査イベントがあるにもかかわらず「結果なし」と表示される

2879
Created On 01/22/24 21:55 PM - Last Modified 01/07/25 04:27 AM


Symptom


AssumeRole log occurs AWS Cloudtrail, for read only events.

Cloudtrail_readonly_option.png


Despite having read only CloudTrail events, there is no result for the Audit Even RQL query in PrismaCloud.
Cloud account status is green under (Settings > Cloud Account). 
event from cloud.audit_logs where operation = 'AssumeRole'

GUI Path: Investigate Page > RQL
Prisma_Operation_AssumeRole_log.png

Environment


  • プリズマクラウド
  • 監査イベント RQL

Cause


Prisma Cloud は読み取り専用ログを取り込みません。開発チームには特定の例外を設けて特定の読み取りイベントの取り込みを許可する機能がありますが、すべての読み取り専用イベントを一括して取り込むわけではありません。Prisma Cloud には、取り込む読み取り専用イベントが 10 個までという内部制限があります。制限を超えると、API レート制限のタイムアウトが発生します。

Resolution


したがって、Prisma Cloud は AWS CloudTrail の書き込みイベントのみをサポートします。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WiKCAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language