Prisma Cloud: Alertas para la instancia de Azure Cosmos DB (PaaS) de directiva accesible desde un origen de Internet que no es de confianza

Prisma Cloud: Alertas para la instancia de Azure Cosmos DB (PaaS) de directiva accesible desde un origen de Internet que no es de confianza

9870
Created On 05/25/23 17:47 PM - Last Modified 04/29/25 23:21 PM


Symptom


Tenemos X número de alertas por infringir la directiva "Instancia de Azure Cosmos DB (PaaS) accesible desde un origen de Internet que no es de confianza". Y necesitamos ayuda para entender cómo esta política está identificando la fuente de Internet no confiable y de dónde obtiene las direcciones IP.

Environment


  • Prisma Cloud
  • Nube de Azure

Cause


Cuando uno recibe una alerta para la instancia de Azure Cosmos DB (PaaS) de directiva accesible desde un origen de Internet que no es de confianza e intenta investigar más a fondo introduciendo el RQL de la directiva en investigar, se encuentra con poca información sobre qué IP no son de confianza y se conectan:

config from network where source.network = UNTRUST_INTERNET and dest.resource.type = 'PaaS' and dest.cloud.type = 'AZURE' and dest.paas.service.type in ('MicrosoftDocumentDBDatabaseAccount')

RQL.png
Como puede ver, solo tenemos dos recursos en el Análisis de ruta de red, lo que no es muy útil para investigar qué IP realmente están haciendo la conexión. Por lo tanto, será difícil determinar qué IP necesitamos agregar a las direcciones IP de alerta confiable en Prisma Cloud ->Settings -> Trusted IP Addresses.

  

Resolution


Hay dos soluciones posibles para obtener las IP que realizan la conexión. 

1) Puede consultar este documento que le guiará dentro de la consola de Azure para obtener las direcciones IP en cuestión.

2) También puede investigar usando Prisma Cloud RQL. Vaya a Prisma Cloud -> Investigate e ingrese el siguiente RQL:

config from cloud.resource where cloud.type = 'azure' AND api.name = 'azure-cosmos-db' AND json.rule = properties.ipRangeFilter is not empty addcolumn properties.ipRangeFilter

Y encuentre el recurso coincidente del RQL utilizado en la causa anterior. En este caso usaremos az-static-cosmos-db.

Image.png

Hay dos cosas a tener en cuenta en la captura de pantalla anterior.
1) Si echó un vistazo al documento proporcionado en el paso 1 de la resolución, verá que muchas de las IP son las mismas:

104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26

Esto se debe a que se permiten solicitudes desde Azure Portal y estas son las direcciones IP que Azure usa para acceder al recurso PaaS.

Una vez que obtenemos la lista de IP y agregamos la lista de IP a las direcciones IP de alerta confiable, todas las alertas abiertas deberían resolverse y esta política no debería activar más alertas si la IP de origen coincide con cualquiera de las recopiladas.

Image.png

Additional Information


Cualquier dirección IP o CIDR que no haya definido como direcciones IP confiables en Prisma Cloud y que no forme parte de su entorno de nube se considera UNTRUST_INTERNET.

Consulte este documento para obtener más detalles.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bplcCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language