Comment collecter des informations pour vous aider à identifier pourquoi l’alerte a été déclenchée dans Prisma Cloud la console ?

Comment collecter des informations pour vous aider à identifier pourquoi l’alerte a été déclenchée dans Prisma Cloud la console ?

9033
Created On 11/25/22 06:57 AM - Last Modified 04/02/23 02:24 AM


Objective


Comment collecter des informations pour vous aider à identifier pourquoi l’alerte a été déclenchée dans Prisma Cloud la console ?

Environment


  • Prisma Cloud

Procedure


La collecte des détails de l’alerte aidera à identifier pourquoi l’alerte a été déclenchée et à vérifier si l’alerte est un faux positif ou non.

  • Vue d’ensemble de l’alerte
  • Détail des règles d’alerte
  • La configuration des ressources
  • La piste d’audit de la ressource cible

Remarque - En fonction du problème, TAC le support demandera également les mêmes informations ou plus.

La procédure suivante guidera étape par étape, comment les collecter.

  • Exemple policy: «AWS Paramètre d’accès public S3 Buckets Block désactivé »
 

Vue d’ensemble de l’alerte

  1. Accédez à la page Alertes>Overview (Alertes puis cliquez sur « Nombre d’alertes » de la cible policy.

    AlertVue d’ensemble-1.png

  2. Cliquez sur l’icône Alerte ID, puis vous pouvez voir l’onglet Vue d’ensemble apparaître avec vous. Veuillez prendre une capture d’écran de la page entière.
    Les détails vous indiqueront quand l’alerte a été déclenchée et son état actuel. La raison de la résolution de l’alerte apparaîtra également ici.

    AlertVue d’ensemble-2.png

Détail des règles d’alerte

  1. Sur la même page de la vue d’ensemble des alertes, cliquez sur l’onglet « Règles d’alerte » et vous pouvez voir quelle règle d’alerte déclenche cette alerte. Cliquez ensuite sur la règle d’alerte et la page redirigera vers le détail de la règle d’alerte.

    AlertVue d’ensemble-3.png

  2. Veuillez prendre une capture d’écran de la page entière.

     AlertRule-2.png

La configuration des ressources

  1. Sur la même page de la vue d’ensemble des alertes, cliquez sur l’onglet « Configuration des ressources » et vous pouvez voir la configuration des ressources ingérée par Prisma Cloud.
  2. Cliquez ensuite sur le bouton sur le côté droit et copiez le contenu sous forme de JSONfichier /TXT format.

    ResourceConfig-1.png

La piste d’audit de la ressource cible

  1. Sur la même page de la vue d’ensemble de l’alerte, cliquez sur le « Nom de la ressource » de l’alerte cible, ou cliquez sur le bouton « Afficher l’explorateur de ressources » dans le détail de l’alerte, vous pouvez vérifier la piste d’audit de la ressource cible.

    ResourceConfig-2.png
  2. Ensuite, la page redirigera vers l’Explorateur de ressources. Vous pouvez consulter l’historique des modifications de la ressource via la chronologie des événements. De plus, si vous passez la souris sur le point d’exclamation et les alertes associées apparaîtront avec vous.

    AuditTrail-1.pngAuditTrail-2.png

  3. Parfois, vous pouvez cliquer sur la flèche ci-dessous, et le contenu mis à jour apparaîtra avec vous. Restez sur l’affichage du contenu pour prendre une capture d’écran de la page entière et de chaque événement.

     AuditTrail-3.png

 
 
 

Additional Information


Référence:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZyOCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language