Prisma Cloud : alertes pour la stratégie Instance Azure Cosmos DB (PaaS) accessible à partir d’une source Internet non fiable
Symptom
Nous avons X alertes pour violation de la stratégie « Azure Cosmos DB (PaaS) instance accessible à partir d’une source Internet non fiable ». Et nous avons besoin d’aide pour comprendre comment cette politique identifie la source Internet de méfiance et d’où elle obtient les adresses IP.
Environment
- Prisma Cloud
- Nuage azuréen
Cause
Lorsque l'on reçoit une alerte pour une instance Azure Cosmos DB (PaaS) de stratégie accessible à partir d'une source Internet non fiable et que l'on essaie d'enquêter davantage en entrant le RQL de la stratégie dans investigation, on obtient peu d'informations sur les adresses IP non fiables et connectées :
config from network where source.network = UNTRUST_INTERNET and dest.resource.type = 'PaaS'and dest.cloud.type = 'AZURE' and dest.paas.service.type in ('MicrosoftDocumentDBDatabaseAccount')
Comme vous pouvez le voir, nous n’avons que deux ressources dans l’analyse du chemin réseau, ce qui n’est pas très utile pour enquêter sur les adresses IP qui établissent réellement la connexion. Il sera donc difficile de déterminer quelles adresses IP nous devons ajouter aux adresses IP d’alerte de confiance sous Prisma Cloud ->Settings -> Trusted IP Addresses.
Resolution
Il y a deux solutions possibles pour obtenir les adresses IP qui établissent la connexion.
1) Vous pouvez vous référer à ce document qui vous guidera dans la console Azure pour obtenir les adresses IP en question.
2) Vous pouvez également étudier en utilisant Prisma Cloud RQL. Accédez à Prisma Cloud -> Investigate et entrez le RQL suivant :
config from cloud.resource where cloud.type = 'azure' AND api.name = 'azure-cosmos-db' AND json.rule = properties.ipRangeFilter n'est pas vide addcolumn properties.ipRangeFilter
Et trouvez la ressource correspondante du RQL utilisée dans la cause ci-dessus. Dans ce cas, nous utiliserons az-static-cosmos-db.
Il y a deux choses à noter dans la capture d’écran ci-dessus.
1) Si vous avez jeté un coup d’œil au document fourni à l’étape 1 de la résolution, vous verrez que beaucoup d’adresses IP sont les mêmes:
104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26
En effet, on autorise les demandes du portail Azure et ce sont les adresses IP qu’Azure utilise pour accéder à la ressource PaaS.
Une fois que nous obtenons la liste des adresses IP et que nous ajoutons la liste des adresses IP aux adresses IP d’alerte de confiance, toutes les alertes ouvertes devraient être résolues et cette politique ne devrait plus déclencher d’alertes si l’adresse IP source correspond à l’une des adresses collectées .
Additional Information
Toutes les adresses IP ou CIDR que vous n’avez pas définies comme Adresses IP de confiance sur Prisma Cloud et qui ne font pas partie de votre environnement cloud sont considérées comme UNTRUST_INTERNET.
Veuillez vous référer à ce document pour plus de détails.