Prisma Cloud: Anomaliewarnung für "Datenverkehr auf ungewöhnlichem Port zu einem Server innerhalb überwachter Konten"
5932
Created On 07/31/23 15:50 PM - Last Modified 09/08/23 05:19 AM
Question
- Eine Anomaliewarnung wird für die Richtlinie "Datenverkehr über ungewöhnlichen Port zu einem Server innerhalb überwachter Konten" generiert.
- Der Datenverkehr in der Warnung scheint Syslog-Datenverkehr zu sein und hat noch nie zuvor eine Warnung ausgelöst. Warum wird dieser Datenverkehr gewarnt?
Environment
- Prisma Cloud
- Richtlinie für Anomalien
Answer
Der Datenverkehr über einen ungewöhnlichen Port zu einem Server innerhalb der Richtlinie "Überwachte Konten" erstellt Modelle für jedes virtuelle Netzwerk in einer Cloudumgebung. Jedes Modell enthält die TCP- oder UDP-Ports, die zum Ausführen von Diensten im entsprechenden virtuellen Netzwerk verwendet werden, wie in den letzten 28 Tagen beobachtet. Wenn ein neuer Port gefunden wird, der nicht im Modell enthalten ist, wird dies dem Kunden als Warnung gemeldet. Sobald dies geschieht, wird der neue Port Teil des Modells, und es werden keine weiteren Warnungen generiert (es sei denn, die Richtlinie sieht länger als 28 Tage keine Aktivität auf dem Port).