Un falso positivo puede ocurrir cuando Prisma Cloud ingiere registros de flujo antes de decidir qué recursos son
2304
Created On 09/22/21 02:35 AM - Last Modified 07/02/25 15:22 PM
Symptom
Es posible que se produzca una alerta de falso positivo en los nuevos recursos agregados.
Environment
Prisma Cloud Enterprise Edition
Cause
En caso de que haya creado nuevos recursos en su nube pública. Prisma Cloud será capaz de reconocerlo en el próximo escaneo.
Pero si Prisma Cloud ingirió un registro de flujo que incluye algunas alertas antes de que se realice el siguiente análisis, podría ocurrir un falso positivo.
(Por ejemplo)
La siguiente política excluye algunos recursos, como "AWS NAT Gateway". Si la alerta se produce antes de que se realice el análisis, se produce un falso positivo porque Prisma Cloud no puede decidir si el recurso es "AWS NAT Gateway".
Nombre de la política: Instancias expuestas al tráfico de red desde el RQL de Internet
:
network from vpc.flow_record where src.publicnetwork IN ('Suspicious IPs','Internet IPs') AND dest.resource IN ( resource where role not in ( 'AWS NAT Gateway' , 'AWS ELB', 'AZURE ELB', 'GCP ELB' ) ) and protocol not in ( 'ICMP' , 'ICMP6' ) AND accepted.bytes > 0
Resolution
Esta es una especificación para que no podamos cambiar este comportamiento en ninguna configuración. Compruebe en sus recursos si la alerta es un falso positivo.
Además, el mismo problema no volverá a ocurrir después de que Prisma Cloud decida los recursos en el próximo análisis.
Additional Information
Otros recursos pueden tener el mismo problema en el futuro, ya que cada recurso administra las alertas.