Prisma Cloud : « Instance AWS EC2 avec chemin réseau depuis Internet (0.0.0.0/0) » aucune alerte déclenchée alors qu'elle aurait dû l'être

Nom de la politique alerte : « Instance AWS EC2 avec chemin réseau depuis Internet (0.0.0.0/0) ». Cette ressource n'a pas été mise à jour, à part le passage de l'état « En cours d'exécution » à état « Arrêté », comme indiqué ci-dessous. Mais aucune alerte n'est déclenchée alors qu'elle devrait l'être.

• Nuage de prisme
• Réseau RQL

Il se peut que l'équilibreur de charge n'ait actuellement aucune instance exposée via l'équilibreur de charge ou autrement et que le système semble fonctionner comme prévu.

Je vais élaborer : Cette partie de la requête :

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

cela signifie que nous recherchons des politiques (NACL et groupes de sécurité) qui ont une règle qui autorise explicitement toutes les adresses IP.

Autrement dit, le groupe de sécurité ou le NACL doit avoir une règle d'autorisation pour 0.0.0.0/0. Il se peut qu'aucun groupe de sécurité d'équilibrage de charge n'ait une telle règle entrant . Ils n'autorisent que des plages spécifiques et ne correspondent donc pas aux critères ci-dessus. Si vous avez une instance qui, selon vous, doit être signalée comme exposée, vous pouvez utiliser le RQL suivant pour vérifier quelle politique, règle, mesures refuse le trafic, l'utiliser dans la page d'investigation et examiner les chemins signalés : (modifiez l'ID d'instance en conséquence)

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

Consultez notre documentation ici sur le réseau RQL.