Prisma Cloud: 信頼できないインターネット ソースからアクセス可能なポリシー Azure Cosmos DB (PaaS) インスタンスのアラート

• プリズマクラウド
• アズールクラウド

ポリシーに関するアラートを受け取ったときUntrust インターネット ソースからアクセス可能な Azure Cosmos DB (PaaS) インスタンスそして、ポリシーの RQL を入力してさらに調査しようとしますが、どの IP が信頼されていないのか、接続しているのかに関する情報はほとんどありません。

ネットワークからの構成 (source.network = UNTRUST_INTERNET、dest.resource.type = 'PaaS'、dest.cloud.type = 'AZURE'、および dest.paas.service.type in ('MicrosoftDocumentDBDatabaseAccount'))

ご覧のとおり、ネットワーク パス分析には 2 つのリソースしかありませんが、実際にどの IP が接続を行っているかを調査するのにはあまり役に立ちません。 そのため、どの IP を追加する必要があるかを判断するのは困難です。信頼できるアラート IP アドレス下プリズマクラウド -> [設定] -> [信頼できる IP アドレス]。

接続を確立する IP を取得するには 2 つの解決策が考えられます。

1) 参照できますこのドキュメントこれにより、Azure コンソール内で問題の IP を取得できるようになります。

2) Prisma Cloud RQL を使用して調査することもできます。 Prisma Cloud -> Investigate に移動し、次の RQL を入力してください。

Cloud.resource からの構成 (cloud.type = 'azure' AND api.name = 'azure-cosmos-db' AND json.rule =properties.ipRangeFilter が空ではない) addcolumnproperties.ipRangeFilter

そして、で使用される RQL から一致するリソースを見つけます。原因その上。 この場合、使用しますaz-static-cosmos-db 。

上のスクリーンショットでは、注意すべき点が 2 つあります。
1) を見ていただければ、書類解決策のステップ 1 で提供されているように、多くの IP が同じであることがわかります。

104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26

これは、Azure portal からの要求が許可されており、これらの IP が Azure が PaaS リソースにアクセスするために使用するためです。

IP のリストを取得し、IP のリストを信頼できるアラート IP アドレスに追加すると、開いているすべてのアラートが解決され、ソース IP が収集された IP のいずれかに一致する場合、このポリシーはそれ以上アラートをトリガーしません。

として定義していない IP アドレスまたは CIDR Prisma Cloud の信頼できる IP アドレスクラウド環境の一部ではないものは、UNTRUST_INTERNET とみなされます。

を参照してください。このドキュメント詳細については。