Prisma Cloud: "인터넷(0.0.0.0/0)에서 네트워크 경로를 사용하는 AWS EC2 인스턴스" 경고가 발생해야 할 때 알림 발생하지 않았습니다.

이 알림 정책 이름: "인터넷에서 네트워크 경로가 있는 AWS EC2 인스턴스(0.0.0.0/0)". 이 자산은 아래에 표시된 대로 "실행 중"에서 "중지됨" 상태 로 전환하는 것 외에는 업데이트되지 않았습니다. 하지만 알림 트리거되어야 할 때 트리거되지 않았습니다.

• 프리즈마 클라우드
• 네트워크 RQL

현재 로드 밸런서에 로드 밸런서를 통해 노출된 인스턴스가 없거나 다른 방식으로 시스템이 예상대로 작동하는 경우가 있습니다.

나는 자세히 설명하겠습니다: 이 쿼리의 일부:

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

즉, 모든 IP를 명시적으로 허용하는 규칙 이 있는 정책(NACL 및 보안 그룹)을 찾고 있다는 의미입니다.

즉, 보안 그룹 또는 NACL에는 0.0.0.0/0에 대한 허용 규칙 있어야 합니다. 부하 분산 보안 그룹에 그러한 인바운드 규칙 없는 경우가 있을 수 있습니다. 특정 범위만 허용했기 때문에 위의 기준과 일치하지 않습니다. 노출된 것으로 보고해야 한다고 생각되는 인스턴스가 있는 경우 다음 RQL을 사용하여 트래픽을 거부하는 정책 확인하고 조사 페이지에서 사용하여 보고된 경로를 확인할 수 있습니다. (인스턴스 ID를 적절히 변경)

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

네트워크 RQL에 대한 문서를 여기에서 확인하세요.