Prisma Cloud : 如何区分误报和真正的警报?

Prisma Cloud : 如何区分误报和真正的警报?

4797
Created On 11/01/22 00:56 AM - Last Modified 05/09/23 05:41 AM


Objective


  • Prisma Cloud : 如何区分误报和真正的警报?

Environment


  • Prisma Cloud

Procedure


第 1 步:复制RQL从查询Policy为其生成了警报(您可以通过添加 cloud.account 过滤器进行过滤)。
第 2 步:粘贴此RQL在“调查”选项卡中查询以确认是否显示了为其生成警报的同一资源。
第 3 步:如果它出现,并且您的资源配置CSP验证它确实违反了policy,这是一个真正的警报。
第 4 步:否则,这可能是误报警报,表明存在摄取错误。

Additional Information


例子
  • 为资源“ta02-vpc”生成警报Policy'AWS VPC未启用流日志'。
屏幕截图 2022-11-01 在 8.39.34AM .png
 
  • 这RQL这个的查询Policy被复制并粘贴到“调查”选项卡中,这会产生相同的资源“ta02-vpc”(如下所示)

屏幕截图 2022-11-01 在 8.38.04AM .png

屏幕截图 2022-11-01 于 8.41.05AM .png
 
  • 此外,该资源在CSP验证我们的发现,确认它是真正的警报。
  • 但是,如果资源未显示在“调查”选项卡结果中,或者其配置未验证此发现,则这可能表明存在摄取错误,可以在下面查看设置 > 云帐户 > 状态.

屏幕截图 2022-11-01 在 8.55.58AM .png


笔记:
  • 因此,没有最佳实践来优化警报规则配置以避免将来出现误报,因为警报规则不会导致误报。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEz6CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language