Comment vérifier si un RQL de config policy détecte correctement les ressources
Objective
Il y a certaines circonstances a RQL est très long de sorte qu’il est difficile de comprendre toutes les significations d’un coup d’œil.
Cet article explique de vérifier une RQL étape par étape pour dans un tel cas.
Environment
Prisma Cloud Enterprise Edition
Procedure
Exemple Policy: rubrique non configurée avec le transport sécurisé des données policy
RQL: AWS SNS
config from cloud.resource where cloud.type = 'aws' AND api.name = 'aws-sns-get-topic-attributes' AND json.rule = Policy.Statement[*].Condition.Bool.aws:SecureTransport does not exist or Policy.Statement[?any((Effect equals Allow and Action contains Publish and (Principal.AWS equals * or Principal equals *) and (Condition.Bool.aws:SecureTransport contains false or Condition.Bool.aws:SecureTransport contains FALSE)) or (Effect equals Deny and Action contains Publish and (Principal.AWS equals * or Principal equals *) and (Condition.Bool.aws:SecureTransport contains true or Condition.Bool.aws:SecureTransport contains TRUE)))] exists
Exemple de ressource cible :
[STEPS]
1. Décomposez le RQL en unités logiques par des opérateurs tels que AND, , parenthèses, ORetc.
2. Comparez le démonté et la RQL ressource pour chaque unité.
Comparez ce qui précède avec ce qui suit. Il n’y a pas de condition dans l’énoncé.
Par conséquent, le RQL de cette partie devient vrai.
NOTE: Dans l’exemple suivant, le résultat sera false car la clé cible existe.
3. Combinez les unités et vérifiez si la ressource cible correspond au policyfichier .
Conclusion : Ce qui précède RQL renvoie true
4. Nous avons maintenant confirmé que la correspond correctement à la RQL ressource cible.
Additional Information
Les opérateurs utilisés dans les RQL sont décrits dans les documents suivants.
- RQL Opérateurs
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-rql-reference/rql-reference/operators.html