Prisma Cloud : ¿Cómo distinguir entre falsos positivos y alertas genuinas?
4807
Created On 11/01/22 00:56 AM - Last Modified 05/09/23 05:41 AM
Objective
- Prisma Cloud : ¿Cómo distinguir entre falsos positivos y alertas genuinas?
Environment
- Prisma Cloud
Procedure
Paso 1: Copie la consulta desde la que se generó la RQL Policy alerta (puede filtrar agregando el filtro cloud.account).
Paso 2 : Pegue esta RQL consulta en la pestaña Investigar para confirmar si aparece el mismo recurso para el que se generó la alerta.
Paso 3 : Si aparece, y la configuración del recurso en su CSP valida que realmente está violando el policy, es una alerta genuina.
Paso 4 : De lo contrario, esto podría ser una alerta de falso positivo que indica que hay un error de ingesta.
Additional Information
Ejemplo
- Se genera una alerta para el recurso 'ta02-vpc' desde 'Registros de Policy flujo no habilitados'AWS VPC .
- La RQL consulta de esto Policy se copia y pega en la pestaña 'Investigar', que produce el mismo recurso 'ta02-vpc' (como se muestra a continuación)
- Además, este recurso valida CSP nuestro hallazgo confirmando que es una Alerta Genuina.
- Sin embargo, si el recurso no apareció en los resultados de la pestaña Investigar o su configuración no validó este hallazgo, esto puede indicar un error de ingesta que se puede revisar en Configuración > Cuentas en la nube > Estado.
Nota :
- Como tal, no existen prácticas recomendadas para optimizar las configuraciones de reglas de alerta con el fin de evitar falsos positivos en el futuro, ya que las reglas de alerta no causan falsos positivos.