Prisma Cloud : Wie unterscheidet man zwischen False Positive und Genuine Alerts?
4803
Created On 11/01/22 00:56 AM - Last Modified 05/09/23 05:41 AM
Objective
- Prisma Cloud : Wie unterscheidet man zwischen False Positive und Genuine Alerts?
Environment
- Prisma Cloud
Procedure
Schritt 1: Kopieren Sie die Abfrage aus der Abfrage, für die Policy die RQL Warnung generiert wurde (Sie können filtern, indem Sie den Filter cloud.account hinzufügen).
Schritt 2: Fügen Sie diese RQL Abfrage auf der Registerkarte "Untersuchen" ein, um zu bestätigen, ob dieselbe Ressource, für die die Warnung generiert wurde, angezeigt wird.
Schritt 3: Wenn es angezeigt wird und die Ressourcenkonfiguration in Ihrem überprüftCSP, ob es wirklich gegen die policyverstößt, handelt es sich um eine echte Warnung.
Schritt 4: Andernfalls könnte dies eine falsch positive Warnung sein, die darauf hinweist, dass ein Aufnahmefehler vorliegt.
Additional Information
Beispiel
- Eine Warnung wird für die Ressource 'ta02-vpc' von Policy 'AWS VPC Flow Logs nicht aktiviert' generiert.
- Die RQL Abfrage wird Policy kopiert und auf der Registerkarte "Untersuchen" eingefügt, was die gleiche Ressource "ta02-vpc" ergibt (wie unten gezeigt)
- Darüber hinaus bestätigt diese Ressource CSP unseren Befund, der bestätigt, dass es sich um eine echte Warnung handelt.
- Wenn die Ressource jedoch nicht in den Ergebnissen der Registerkarte "Untersuchen" angezeigt wurde oder ihre Konfiguration dieses Ergebnis nicht validiert hat, kann dies auf einen Erfassungsfehler hinweisen, der unter Einstellungen > Cloud-Konten > Status überprüft werden kann.
Hinweis :
- Daher gibt es keine Best Practices zum Optimieren von Warnungsregelkonfigurationen, um False Positives in Zukunft zu vermeiden, da Alert-Regeln keine False Positives verursachen.