当 Prisma Cloud 在决定哪些资源之前提取流日志时,可能会发生误报

当 Prisma Cloud 在决定哪些资源之前提取流日志时,可能会发生误报

2304
Created On 09/22/21 02:35 AM - Last Modified 07/02/25 15:22 PM


Symptom


新添加的资源可能会发生误报警报。

Environment


Prisma Cloud 企业版

Cause


如果您在公有云上创建了新资源。 Prisma Cloud 将能够在下次扫描时识别它。
但是,如果 Prisma Cloud 在下一次扫描完成之前提取了包含一些警报的流日志,则可能会发生误报。

(例如)
以下策略排除了一些资源,例如“AWS NAT Gateway”。 如果警报在扫描完成之前发生,则会发生误报,因为 Prisma Cloud 无法确定资源是否为“AWS NAT 网关”。

策略名称:向来自 Internet
RQL 的网络流量公开的实例: 
network from vpc.flow_record where src.publicnetwork IN ('Suspicious IPs','Internet IPs') AND dest.resource IN ( resource where role not in ( 'AWS NAT Gateway' , 'AWS ELB', 'AZURE ELB', 'GCP ELB' ) ) and protocol not in ( 'ICMP' , 'ICMP6' ) AND accepted.bytes > 0

 

Resolution


这是一个规范,因此我们无法在任何设置下更改此行为。 请检查您的资源是否为误报。
此外,在 Prisma Cloud 在下次扫描时确定资源后,相同的问题不会再次发生。

Additional Information


其他资源将来可能会遇到相同的问题,因为警报由每个资源管理。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMX2CAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language