Prisma Cloud: „AWS EC2-Instanz mit Netzwerkpfad aus dem Internet (0.0.0.0/0)“ – es wurde kein Benachrichtigung ausgelöst, obwohl dies hätte passieren sollen

Name der Benachrichtigung : „AWS EC2-Instanz mit Netzwerkpfad aus dem Internet (0.0.0.0/0)“. Dieses Asset wurde nicht aktualisiert, außer dass es wie unten gezeigt vom Status „Wird ausgeführt“ in den Status „Gestoppt“ gewechselt ist. Es wird jedoch keine Benachrichtigung ausgelöst, obwohl dies der Fall sein sollte.

• Prisma Cloud
• Netzwerk-RQL

Es kann sein, dass der Load Balancer derzeit über keine per Load Balancer oder auf andere Weise bereitgestellten Instanzen verfügt und das System scheinbar wie erwartet funktioniert.

Ich werde es näher ausführen: Dieser Teil der Abfrage:

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

bedeutet, dass wir nach Richtlinien (NACLs und Sicherheitsgruppen) suchen, die eine Regel haben, die alle IPs ausdrücklich zulässt.

Das heißt, die Sicherheitsgruppe oder NACL muss eine Regel für 0.0.0.0/0 haben. Es kann sein, dass keine Load Balancer-Sicherheitsgruppe eine solche Regel für eingehend Datenverkehr hatte. Sie ließen nur bestimmte Bereiche zu und erfüllten daher nicht die oben genannten Kriterien. Wenn Sie eine Instanz haben, die Ihrer Meinung nach als offen gemeldet werden sollte, können Sie mit dem folgenden RQL prüfen, welche Richtlinie den Datenverkehr verweigert. Verwenden Sie es auf der Untersuchungsseite und sehen Sie sich die gemeldeten Pfade an: (Ändern Sie die Instanz-ID entsprechend.)

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

Sehen Sie sich hier unsere Dokumentation zum Netzwerk-RQL an.