Politique d'alerte : les rôles avec des privilèges élevés peuvent être assumés par un service dans un compte externe.

La politique, règle, mesures « Les rôles avec des privilèges élevés peuvent être assumés par un service dans un compte externe » génère des alertes. Cependant, les alertes font référence à des comptes internes, alors que la politique, règle, mesures est destinée à interroger des comptes externes.

Un compte externe, selon notre définition, est un compte qui n'est pas du tout connu de Prisma Cloud.
la seule façon d'obtenir cette information est de rechercher dans le « groupe de comptes par défaut » et de vérifier si le compte source se trouve dans ce groupe.

Modifications apportées :
1. Nous avons ajouté au RQL une vérification si le compte source est un fournisseur tiers connu.
2. Nous avons ajouté une section « Comment enquêter » dans la description. Le client peut désormais identifier de tels cas et, si l' alerte a été ouverte pour un compte source uniquement parce qu'il ne fait pas partie du « Groupe de comptes par défaut », il est recommandé de l'ajouter à ce groupe.

Comment enquêter ?
1. Dans la console Prisma Cloud, sélectionnez « Enquêter »
2. Collez la requête suivante dans l'invite d'enquête, en remplaçant l'espace réservé par l'ID de compte que vous souhaitez vérifier : config from iam where dest.cloud.type = 'AWS' AND source.cloud.account=' ' et dest.cloud.account=' '
3a. Si des résultats sont renvoyés, cela indique que Prisma analyse le compte et qu'il en est donc conscient.
Si tel est le cas, sélectionnez « Paramètres » puis « Groupes de comptes »
Recherchez le groupe de comptes par défaut , sous « Actions », sélectionnez « Modifier ». Recherchez le compte en question et ajoutez-le
3b. Si aucun résultat n'est renvoyé, cela signifie que Prisma n'a aucune connaissance du compte en question (c'est-à-dire qu'il n'est pas intégré et, aux yeux de Prisma, externe)
Afin de continuer l'enquête, à l'aide de l'AWS CLI, exécutez « aws organisations list-accounts » et vous recevrez une liste de tous les comptes au sein de l'organisation AWS
Répétez ce processus pour chaque organisation AWS que vous possédez. Si le compte en question n'apparaît pas, il peut être considéré comme externe

Afin de supprimer son accès, utilisez les étapes de correction suivantes :
1. Connectez-vous à votre compte AWS
2. Accédez au rôle concerné et sélectionnez l'onglet « Entités de confiance ».
3. Sélectionnez « Modifier la politique, règle, mesures de confiance » et supprimez les entrées permettant l'hypothèse à partir de sources externes.
4. Assurez-vous que les entrées restantes sont obligatoires et enregistrez vos modifications.