Prisma Cloud : Comment faire la distinction entre les fausses alertes positives et les alertes authentiques ?
4805
Created On 11/01/22 00:56 AM - Last Modified 05/09/23 05:41 AM
Objective
- Prisma Cloud : Comment faire la distinction entre les fausses alertes positives et les alertes authentiques ?
Environment
- Prisma Cloud
Procedure
Étape 1 : Copiez la requête à partir de la RQL Policy pour laquelle l’alerte a été générée (vous pouvez filtrer en ajoutant le filtre cloud.account).
Étape 2 : Collez cette RQL requête dans l’onglet Enquêter pour confirmer si la même ressource pour laquelle l’alerte a été générée apparaît.
Étape 3 : S'il apparaît et que la configuration des ressources dans votre CSP valide qu'il viole vraiment le policy, il s'agit d'une alerte authentique.
Étape 4 : Sinon, il pourrait s’agir d’une alerte de faux positif indiquant qu’il y a une erreur d’ingestion.
Additional Information
Exemple
- Une alerte est générée pour la ressource 'ta02-vpc' à partir de Policy 'AWS VPC Flow Logs not enabled '.
- La RQL requête de ceci Policy est copiée et collée dans l'onglet 'Examiner', ce qui donne la même ressource 'ta02-vpc' (comme indiqué ci-dessous)
- De plus, cette ressource CSP valide notre constatation confirmant qu’il s’agit d’une alerte authentique.
- Toutefois, si la ressource n’apparaît pas dans les résultats de l’onglet Investigation ou si sa configuration n’a pas validé cette recherche, cela peut indiquer une erreur d’ingestion qui peut être examinée sous Paramètres > Comptes cloud > État.
Remarque :
- En tant que tel, il n'existe pas de meilleures pratiques pour optimiser les configurations des règles d'alerte afin d'éviter les faux positifs à l'avenir, car les règles d'alerte ne provoquent pas de faux positifs.