Prisma Cloud: 「インターネットからのネットワークパスを持つAWS EC2インスタンス (0.0.0.0/0)」アラートがトリガーされるはずなのにトリガーされない

このアラートのポリシー名: 「インターネットからのネットワーク パスを持つ AWS EC2 インスタンス (0.0.0.0/0)」。このアセットは、以下に示すように、「実行中」状態から「停止」状態に切り替わった以外は更新されていません。ただし、トリガーされるはずのアラートはトリガーされていません。

• プリズマクラウド
• ネットワーク RQL

ロード バランサーには現在、ロード バランサーまたはその他の方法で公開されているインスタンスがなく、システムが期待どおりに動作しているように見える場合があります。

詳しく説明します: クエリのこの部分:

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

つまり、すべての IP を明示的に許可するルールを持つポリシー (NACL およびセキュリティ グループ) を探していることになります。

つまり、セキュリティ グループまたは NACL には、0.0.0.0/0 の許可ルールが必要です。ロード バランサ セキュリティ グループにそのようなインバウンドルールがない場合もあります。特定の範囲のみを許可しているため、上記の基準に一致しません。公開されていると報告されると思われるインスタンスがある場合は、次の RQL を使用して、どのポリシーがトラフィックを拒否しているかを確認し、調査ページでそれを使用して、報告されたパスを確認します。(インスタンス ID を適宜変更してください)

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

ネットワーク RQL に関するドキュメントはこちらをご覧ください。