So überprüfen Sie, ob eine RQL von config policy Ressourcen korrekt erkennt
Objective
Es gibt einige Umstände, die sehr lang sind, RQL so dass es schwierig ist, alle Bedeutungen auf einen Blick zu verstehen.
Dieser Artikel erklärt, um Schritt für Schritt RQL für in einem solchen Fall zu überprüfen.
Environment
Prisma Cloud Enterprise Edition
Procedure
Beispiel Policy: Thema nicht mit sicherem Datentransport konfiguriertpolicy
RQL: AWS SNS
config from cloud.resource where cloud.type = 'aws' AND api.name = 'aws-sns-get-topic-attributes' AND json.rule = Policy.Statement[*].Condition.Bool.aws:SecureTransport does not exist or Policy.Statement[?any((Effect equals Allow and Action contains Publish and (Principal.AWS equals * or Principal equals *) and (Condition.Bool.aws:SecureTransport contains false or Condition.Bool.aws:SecureTransport contains FALSE)) or (Effect equals Deny and Action contains Publish and (Principal.AWS equals * or Principal equals *) and (Condition.Bool.aws:SecureTransport contains true or Condition.Bool.aws:SecureTransport contains TRUE)))] exists
Beispiel Zielressource:
[STEPS]
1. Zerlegen Sie die RQL in logische Einheiten durch Operatoren wie AND, , ORKlammern usw.
2. Vergleichen Sie zerlegte und RQL die Ressource für jede Einheit.
Vergleichen Sie das Obige mit dem Folgenden. Es gibt keine Bedingung in der Anweisung.
Daher wird das RQL von diesem Teil wahr.
NOTE: Im folgenden Beispiel ist das Ergebnis false, da der Zielschlüssel vorhanden ist.
3. Kombinieren Sie die Einheiten und prüfen Sie, ob die Zielressource mit der übereinstimmt policy.
Fazit: Das Obige RQL gibt wahr zurück
4. Wir haben nun bestätigt, dass sie RQL korrekt mit der Zielressource übereinstimmen.
Additional Information
Die in RQLs verwendeten Operatoren werden in den folgenden Dokumenten beschrieben.
- RQL Betreiber
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-rql-reference/rql-reference/operators.html