如何收集信息以帮助您确定触发警报的原因Prisma Cloud安慰？

如何收集信息以帮助您确定触发警报的原因Prisma Cloud安慰？

• Prisma Cloud

收集警报详细信息将有助于确定触发警报的原因并检查警报是否为误报。

• 警报概述
• 警报规则详细信息
• 资源配置
• 目标资源的审计追踪

注意 - 基于问题，TAC支持人员还将要求提供相同或更多信息。

以下程序将逐步指导如何收集它们。

• 样本policy：“AWS S3 Buckets 阻止公共访问设置已禁用”

警报概述

1. 转到Alerts>Overview页面，然后单击目标的“Alert Count”policy .
   
   

2. 单击警报ID，然后您会看到“概览”选项卡随您一起显示。 请截取整个页面。
   详细信息将向您显示警报触发的时间及其当前状态。 警报解决原因也会显示在这里。
   
   

警报规则详细信息

1. 在Alert Overview的同一页面，点击“Alert Rules”选项卡，可以看到是哪个警报规则触发了这个警报。 然后点击警报规则，页面将重定向到警报规则详细信息。
   
   

2. 请截取整个页面。
   
    

资源配置

1. 在Alert Overview的同一个页面，点击“Resource Config”选项卡，可以看到Prisma Cloud.
2. 然后点击右侧的按钮，将内容复制为JSON/TXT格式文件。
   
   

目标资源的审计追踪

1. 在Alert Overview的同一页面，点击目标alert的“Resource Name”，或者点击alert detail上的“View Resource Explorer”按钮，可以查看目标资源的Audit Trail。
   
   
2. 然后页面将重定向到资源浏览器。 您可以通过事件时间线查看资源的变更历史。 此外，如果您将鼠标悬停在感叹号上，相关警报将随您一起显示。
   
   

3. 有时您可以点击下面的箭头标记，更新的内容会随您一起显示。 停留在内容展示上，对整个页面和每个事件进行截图。
   
    

参考：

• 查看并回复Prisma Cloud警报
• 警报载荷
• 资源浏览器