Prisma Cloud: 감사 이벤트 RQL은 감사 이벤트만 읽었음에도 불구하고 "결과 없음"을 표시합니다.

Prisma Cloud: 감사 이벤트 RQL은 감사 이벤트만 읽었음에도 불구하고 "결과 없음"을 표시합니다.

2867
Created On 01/22/24 21:55 PM - Last Modified 01/07/25 04:30 AM


Symptom


AssumeRole log occurs AWS Cloudtrail, for read only events.

Cloudtrail_readonly_option.png


Despite having read only CloudTrail events, there is no result for the Audit Even RQL query in PrismaCloud.
Cloud account status is green under (Settings > Cloud Account). 
event from cloud.audit_logs where operation = 'AssumeRole'

GUI Path: Investigate Page > RQL
Prisma_Operation_AssumeRole_log.png

Environment


  • 프리즈마 클라우드
  • 감사 이벤트 RQL

Cause


Prisma Cloud는 읽기전용 로그를 수집하지 않습니다. 개발팀은 특정 예외를 만들고 특정 읽기 이벤트가 수집되도록 허용할 수 있지만 모든 읽기전용 이벤트를 일괄적으로 수집하는 것은 아닙니다. Prisma Cloud는 수집할 수 있는 읽기전용 이벤트가 10개라는 내부 제한이 있습니다. 그렇지 않은 경우 API 속도 제한 타임아웃 발생합니다.

Resolution


따라서 Prisma Cloud는 AWS CloudTrail에서 쓰기 이벤트만 지원합니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008WiKCAU&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language