Prisma Cloudがリソースを決定する前にフローログを取り込むと、誤検知が発生する可能性があります

Prisma Cloudがリソースを決定する前にフローログを取り込むと、誤検知が発生する可能性があります

1575
Created On 09/22/21 02:35 AM - Last Modified 07/02/25 15:22 PM


Symptom


誤検知アラートは、新しく追加されたリソースで発生する可能性があります。

Environment


Prisma Cloud Enterprise エディション

Cause


パブリッククラウド上に新しいリソースを作成した場合。 Prisma Cloudは次回のスキャンで認識できるようになります
ただし、Prisma Cloudが次のスキャンが実行される前に一部のアラートを含むフローログを取り込んだ場合、誤検知が発生する可能性があります

。(例えば)
次のポリシーでは、「AWS NAT Gateway」などの一部のリソースが除外されます。 スキャンが完了する前にアラートが発生した場合、Prisma Cloudはリソースが「AWS NAT Gateway」であるかどうかを判断できないため、誤検出が発生します

ポリシー名: インターネット
RQLからのネットワークトラフィックに公開されるインスタンス: 
network from vpc.flow_record where src.publicnetwork IN ('Suspicious IPs','Internet IPs') AND dest.resource IN ( resource where role not in ( 'AWS NAT Gateway' , 'AWS ELB', 'AZURE ELB', 'GCP ELB' ) ) and protocol not in ( 'ICMP' , 'ICMP6' ) AND accepted.bytes > 0

 

Resolution


これは、この設定でこの動作を変更できないようにするための仕様です。 アラートが誤検知であるかどうか、リソースを確認してください。
さらに、Prisma Cloudが次回のスキャンでリソースを決定した後、同じ問題が再び発生することはありません。

Additional Information


アラートは各リソースによって管理されるため、他のリソースでも将来同じ問題が発生する可能性があります。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMX2CAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language