Prisma Cloud: "Instancia AWS EC2 con ruta de red desde Internet (0.0.0.0/0)" no se activó ninguna alerta cuando debería haberlo hecho

El nombre de esta política de alerta es: "Instancia de AWS EC2 con ruta de red desde Internet (0.0.0.0/0)". Este activo no se actualizó, salvo que pasó de un estado "en ejecución" a "detenido", como se muestra a continuación. Sin embargo, no se activa ninguna alerta cuando debería hacerlo.

• Nube Prisma
• Red RQL

Es posible que el Load Balancer actualmente no tenga instancias expuestas a través de Load Balancer o de otro modo y que el sistema parezca funcionar como se espera.

Voy a explicarlo con más detalle: Esta parte de la consulta:

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

significa que estamos buscando políticas (NACL y grupos de seguridad) que tengan una regla que permita explícitamente todas las IP.

Es decir, el grupo de seguridad o NACL debe tener una regla de permiso para 0.0.0.0/0. Puede darse el caso de que ningún grupo de seguridad de Load Balancer tenga esa regla de entrante . Solo permitieron rangos específicos y, por lo tanto, no coinciden con los criterios anteriores. Si tiene una instancia que cree que debería informarse como expuesta, puede usar el siguiente RQL para verificar qué política está denegando el tráfico, úselo en la página de investigación y observe las rutas que se informan: (Cambie el ID de instancia según corresponda)

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

Vea nuestra documentación aquí sobre la red RQL.