Prisma Cloud: 攻撃パス タイプのポリシーアラートに「管理者権限を持つ公開された Azure Function による特権昇格と横方向の移動のリスク」が表示される

• 顧客はここ数週間、「攻撃パス」タイプのポリシーアラートを表示していました。具体的には、ポリシーは「管理権限を持つ Azure Function が公開されているため、権限の昇格と横方向の移動のリスクがある」というものです。
• 調査の結果、AzureのFunction Appはどれも最近公開されたものではなく、最近管理者権限が割り当てられたものでもないことが判明しました。
• そこで、このアラートが関数アプリ全体にどのように表示されたのか興味があります。
• 当社側でポリシーが最近更新されたようには見えません。

• プリズマクラウド

「管理権限を持つ Azure Function が公開されているため、権限昇格と横移動のリスクがある」

• 上記のポリシーのアラートを生成する
• なぜ、どのように影響を受けるのか

• 現在の攻撃パスポリシーでは、以下にリストされている結果が検出されるとアラートがトリガーされます。
• これらの発見に対処/修正すれば、攻撃パスのアラートは解決されます。

1. パブリック ネットワーク アクセスが構成された Azure Functionアプリケーション:
   この検出結果はパブリック ネットワーク アクセスに関係しており、攻撃パスアラートを解決するにはこのアラートに対処する必要があります。
2. 管理権限を持つ Azure Function App:
   この検出結果は管理権限に関係しており、 attackpathアラートを解決するにはこのアラートに対処する必要があります。

• 両方の子ポリシーにリソースに対するオープンアラートがある場合、攻撃パスポリシーがトリガーされます。これが攻撃パスポリシーの動作です。
• 攻撃パスポリシーアラートを望まない場合は、
• 以下の手順に従って、Prisma コンソールで要件に応じて設定を変更できます。
  Prismaコンソールにログイン --> 設定を選択 --> エンタープライズ設定 --> すべての攻撃パスのデフォルトを自動有効化