Prisma Cloud:如何通过 RQL 检查 EC2 实例连接、会话管理器和 EC2 串行控制台是否被阻止。

Prisma Cloud:如何通过 RQL 检查 EC2 实例连接、会话管理器和 EC2 串行控制台是否被阻止。

3109
Created On 09/30/22 20:05 PM - Last Modified 12/27/24 09:09 AM


Objective


如何检查您的 EC2 实例连接、会话管理器和 EC2 串行控制台是否通过 Prisma Cloud 中的 RQL 被阻止。

Environment


  • Prisma Cloud
  • AWS
  • 定量分析

Procedure


GUI:登录Prisma Cloud 控制台 > 调查 > 搜索下面的 RQL查询

截图 2024-04-05 下午 12.22.29.png

config from cloud.resource where api.name = 'aws-iam-list-users' as X; config from cloud.resource where api.name = 'aws-iam-get-policy-version' AND json.rule = document.Statement[?any( (Action contains "ec2-instance-connect:SendSSHPublicKey" or Action contains "contains iam:GetAccountPasswordPolicy" or Action contains "contains ec2-instance-connect:SendSerialConsoleSSHPublicKey") and Effect equals "Allow" )] exists as Y; filter '$.X.groups[*].attachedManagedPolicies[*] contains $.Y.policyName'; show X;
  1. 注意:如果您的 RQL 查询产生结果,则意味着这些资源被阻止。
  1. 要在 AWS 中确认控制台阻止: AWS 控制台 > IAM > 用户 > 用户名 > 权限策略 > 单击 EC2 实例连接、会话管理器、EC2 串行控制台的阻止策略 > 检查 JSON 内容以获取权限。

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKiCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language