Prisma Cloud：策略 Azure Cosmos DB (PaaS) 实例的警报可从不受信任的 Internet 源访问

• 棱镜云
• 蔚蓝云

当一个人收到政策警报时可从不受信任的 Internet 源访问 Azure Cosmos DB (PaaS) 实例并尝试通过将策略的 RQL 输入到调查中来进一步调查，他们几乎没有得到关于哪些 IP 不受信任和连接的信息：

来自网络的配置，其中 source.network = UNTRUST_INTERNET and dest.resource.type = 'PaaS' and dest.cloud.type = 'AZURE' and dest.paas.service.type in ('MicrosoftDocumentDBDatabaseAccount')

正如您所看到的，我们在网络路径分析中只有两个资源，这对于调查实际建立连接的 IP 不是很有帮助。 因此很难确定我们需要添加哪些 IP可信警报 IP 地址在下面棱镜云 ->设置 -> 受信任的 IP 地址。

获取建立连接的 IP 有两种可能的解决方案。

1）你可以参考这个文件这将指导您在 Azure 控制台中获取相关 IP。

2) 您也可以使用 Prisma Cloud RQL 进行调查。 请导航至 Prisma Cloud -> Investigate 并输入以下 RQL：

来自 cloud.resource 的配置，其中 cloud.type = 'azure' AND api.name = 'azure-cosmos-db' AND json.rule = properties.ipRangeFilter 不为空 addcolumn properties.ipRangeFilter

并从中使用的 RQL 中找到匹配的资源原因多于。 在这种情况下，我们将使用az-static-cosmos-db .

上面的截图有两点需要注意。
1）如果你看过文档在解决方案的第 1 步中提供，您会看到很多 IP 是相同的：

104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26

这是因为一个允许来自 Azure 门户的请求，这些是 Azure 用来访问 PaaS 资源的 IP。

一旦我们获得 IP 列表并将 IP 列表添加到受信任的警报 IP 地址，所有打开的警报都应该得到解决，并且如果源 IP 与收集到的任何 IP 匹配，则该策略不应再触发警报。

您尚未定义的任何 IP 地址或 CIDR Prisma Cloud 上的可信 IP 地址并且不属于您的云环境的一部分被视为 UNTRUST_INTERNET。

请参阅这个文档更多细节。