Prisma Cloud : Alerte anomalie pour « Trafic sur port inhabituel vers un serveur à l’intérieur des comptes surveillés »
5936
Created On 07/31/23 15:50 PM - Last Modified 09/08/23 05:20 AM
Question
- Une alerte d’anomalie est générée pour la stratégie « Trafic sur un port inhabituel vers un serveur à l’intérieur des comptes surveillés »
- Le trafic dans Alert semble être du trafic Syslog et n’a jamais été alerté précédemment. Pourquoi ce trafic est-il alerté le ?
Environment
- Prisma Cloud
- Politique sur les anomalies
Answer
Le trafic sur un port inhabituel vers un serveur à l’intérieur de la stratégie de comptes surveillés crée des modèles pour chaque réseau virtuel dans un environnement cloud. Chaque modèle contiendra les ports TCP ou UDP utilisés pour exécuter des services dans le réseau virtuel correspondant, comme observé au cours des 28 derniers jours. Lorsqu’un nouveau port est trouvé, qui n’est pas dans le modèle, il sera signalé au client en tant qu’alerte. Une fois que cela se produit, le nouveau port fait partie du modèle et aucune autre alerte ne sera générée (sauf si la stratégie ne voit pas d’activité sur le port pendant plus de 28 jours).