Prisma Cloud : 偽陽性と本物のアラートを区別する方法は?
6446
Created On 11/01/22 00:56 AM - Last Modified 05/09/23 05:41 AM
Objective
- Prisma Cloud : 偽陽性と本物のアラートを区別する方法は?
Environment
- Prisma Cloud
Procedure
ステップ 1: コピーするRQLからのクエリPolicyアラートが生成された対象 (cloud.account フィルターを追加してフィルタリングできます)。
ステップ2:これを貼り付けますRQL[調査] タブでクエリを実行して、アラートが生成されたのと同じリソースが表示されるかどうかを確認します。
ステップ 3 : 表示された場合、リソース構成はCSP本当に違反していることを検証しますpolicy、純正アラートです。
ステップ 4 : それ以外の場合、これは取り込みエラーがあることを示す誤検出アラートである可能性があります。
Additional Information
例
- からリソース「ta02-vpc」のアラートが生成されますPolicy'AWS VPCフロー ログが有効になっていません。
- のRQLの問合せPolicyコピーして「調査」タブに貼り付けると、同じリソース「ta02-vpc」が生成されます (以下を参照)。
- さらに、このリソースCSPそれが本物のアラートであることを確認する私たちの調査結果を検証します。
- ただし、リソースが [調査] タブの結果に表示されなかった場合、またはその構成でこの結果が検証されなかった場合は、以下で確認できる取り込みエラーを示している可能性があります。設定 > クラウド アカウント > ステータス.
ノート:
- そのため、アラート ルールは誤検知を引き起こさないため、今後の誤検知を回避するためにアラート ルールの構成を最適化するためのベスト プラクティスはありません。