Un faux positif peut se produire lorsque Prisma Cloud a ingéré des journaux de flux avant de décider quelles ressources sont
2304
Created On 09/22/21 02:35 AM - Last Modified 07/02/25 15:22 PM
Symptom
Une alerte de faux positif peut se produire sur les nouvelles ressources ajoutées.
Environment
Prisma Cloud Enterprise Edition
Cause
Au cas où vous auriez créé de nouvelles ressources sur votre cloud public. Prisma Cloud sera capable de le reconnaître lors du prochain scan.
Mais si Prisma Cloud a ingéré un journal de flux comprenant des alertes avant la fin de l’analyse suivante, un faux positif peut se produire.
(Par exemple)
La politique suivante exclut certaines ressources telles que « AWS NAT Gateway ». Si l'alerte se produit avant la fin de l'analyse, un faux positif se produit, car Prisma Cloud ne peut pas décider si la ressource est « AWS NAT Gateway ».
Nom de la stratégie : Instances exposées au trafic réseau à partir de la RQL Internet
:
network from vpc.flow_record where src.publicnetwork IN ('Suspicious IPs','Internet IPs') AND dest.resource IN ( resource where role not in ( 'AWS NAT Gateway' , 'AWS ELB', 'AZURE ELB', 'GCP ELB' ) ) and protocol not in ( 'ICMP' , 'ICMP6' ) AND accepted.bytes > 0
Resolution
Il s'agit d'une spécification afin que nous ne puissions pas modifier ce comportement à aucun paramètre. Veuillez vérifier vos ressources pour savoir si l’alerte est un faux positif.
De plus, le même problème ne se reproduira pas une fois que Prisma Cloud aura décidé des ressources lors de la prochaine analyse.
Additional Information
D’autres ressources peuvent rencontrer le même problème à l’avenir, car les alertes sont gérées par chaque ressource.