Prisma Cloud：“AWS EC2 实例具有来自互联网的网络路径 (0.0.0.0/0)”未触发警报（但应该触发）

此警报策略名称：“具有来自互联网的网络路径的 AWS EC2 实例 (0.0.0.0/0)”。此资产未更新，只是从“正在运行”状态切换到“已停止”状态（如下所示）。但是，没有在应该触发警报。

• Prisma Cloud
• 网络RQL

可能的情况是，负载均衡器当前没有通过负载均衡器或其他方式公开的实例，并且系统似乎按预期工作。

我将详细说明：查询的这一部分：

where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match'

意味着我们正在寻找具有明确允许所有 IP 的规则的策略（NACL 和安全组）。

也就是说，安全组或 NACL 必须具有 0.0.0.0/0 的允许规则。可能没有负载均衡器安全组具有这样的入站规则。它们仅允许特定范围，因此不符合上述标准。如果您认为应该将某个实例报告为暴露，则可以使用以下 RQL 检查哪个策略拒绝了流量，在调查页面中使用它并查看报告的路径：（相应地更改实例 ID）

config from network where source.network = '0.0.0.0/0' and address.match.criteria = 'full_match' and dest.resource.type = 'Instance' and dest.cloud.type = 'AWS' and dest.resource.state = 'Active' and dest.instance.id = 'i-abcdfeg123456' and effective.action = 'Deny'

在此查看有关网络 RQL 的文档。