Wie kann ich Informationen sammeln, anhand derer Sie feststellen können, warum die Warnung in Prisma Cloud der Konsole ausgelöst wurde?

Wie kann ich Informationen sammeln, anhand derer Sie feststellen können, warum die Warnung in Prisma Cloud der Konsole ausgelöst wurde?

9033
Created On 11/25/22 06:57 AM - Last Modified 04/02/23 02:24 AM


Objective


Wie kann ich Informationen sammeln, anhand derer Sie feststellen können, warum die Warnung in Prisma Cloud der Konsole ausgelöst wurde?

Environment


  • Prisma Cloud

Procedure


Durch das Erfassen der Warnungsdetails können Sie feststellen, warum die Warnung ausgelöst wurde, und überprüfen, ob es sich bei der Warnung um ein falsch positives Ergebnis handelt oder nicht.

  • Die Warnungsübersicht
  • Details zu den Warnregeln
  • Die Ressourcenkonfiguration
  • Der Audit-Trail der Zielressource

Hinweis: TAC Je nach Problem fordert der Support die gleichen oder mehrere Informationen an.

Die folgende Prozedur wird Schritt für Schritt anleiten, wie Sie sie sammeln können.

  • Beispielpolicy: "AWSEinstellung "S3 Buckets Block public access disabled"
 

Die Warnungsübersicht

  1. Gehen Sie zur Seite Warnungen>Übersicht und klicken Sie dann auf "Warnungsanzahl" des Ziels policy.

    AlertOverview-1.png

  2. Klicken Sie auf die Warnung ID, dann wird die Registerkarte Übersicht angezeigt. Bitte machen Sie einen Screenshot der gesamten Seite.
    In den Details sehen Sie, wann der Alarm ausgelöst wurde und welchen aktuellen Status er hat. Der Grund für die Auflösung der Warnung wird auch hier angezeigt.

    AlertOverview-2.png

Details zu den Warnregeln

  1. Klicken Sie auf derselben Seite der Warnungsübersicht auf die Registerkarte "Warnungsregeln", und Sie können sehen, welche Warnungsregel diese Warnung auslöst. Klicken Sie dann auf die Warnungsregel, und die Seite wird zu den Details der Warnungsregel umgeleitet.

    AlertOverview-3.png

  2. Bitte machen Sie einen Screenshot der gesamten Seite.

     AlertRule-2.png

Die Ressourcenkonfiguration

  1. Klicken Sie auf derselben Seite der Warnungsübersicht auf die Registerkarte "Ressourcenkonfiguration", und Sie können die Ressourcenkonfiguration sehen, die von aufgenommen wurde Prisma Cloud.
  2. Klicken Sie dann auf die Schaltfläche auf der rechten Seite und kopieren Sie den Inhalt als JSONDatei im FormatTXT .

    ResourceConfig-1.png

Der Audit-Trail der Zielressource

  1. Klicken Sie auf der gleichen Seite der Warnungsübersicht auf den "Ressourcennamen" der Zielwarnung oder klicken Sie auf die Schaltfläche "Ressourcen-Explorer anzeigen" in den Warnungsdetails, um den Prüfpfad der Zielressource zu überprüfen.

    ResourceConfig-2.png
  2. Dann wird die Seite zum Ressourcen-Explorer umgeleitet. Sie können den Änderungsverlauf der Ressource über die Ereigniszeitleiste überprüfen. Wenn Sie mit der Maus über das Ausrufezeichen fahren, werden die zugehörigen Warnungen bei Ihnen angezeigt.

    AuditTrail-1.pngAuditTrail-2.png

  3. Manchmal können Sie auf die Pfeilmarkierung unten klicken, und der aktualisierte Inhalt wird bei Ihnen angezeigt. Bleiben Sie auf der Anzeige des Inhalts, um einen Screenshot der gesamten Seite und jedes Ereignisses zu machen.

     AuditTrail-3.png

 
 
 

Additional Information


Referenz:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZyOCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language