Prisma Cloud : Warum generiert das benutzerdefinierte Überwachungsereignis Policy Warnungen für alle Cloud-Konten, während in der RQL Abfrage Policynur ein bestimmtes Cloud-Konto erwähnt wird?

Prisma Cloud : Warum generiert das benutzerdefinierte Überwachungsereignis Policy Warnungen für alle Cloud-Konten, während in der RQL Abfrage Policynur ein bestimmtes Cloud-Konto erwähnt wird?

6391
Created On 02/04/23 01:47 AM - Last Modified 05/02/23 06:39 AM


Question


Beispiel: Das folgende Beispiel ist eine RQL Abfrage eines benutzerdefinierten Überwachungsereignisses Policy , das Warnungen für alle Cloud-Konten und nicht nur für die "Entwickler-Sandbox" des spezifischen Cloud-Kontos generiert
cloud.audit_logs where cloud.account = 'Developer Sandbox' AND cloud.region = 'AWS Canada' AND operation IN ('DeleteAccessKey')

Environment


  • Prisma Cloud
  • Cloud-Konto

Answer


  • Die Attribute "cloud.account" und "cloud.region" werden jetzt für benutzerdefinierte und vorhandene Richtlinien und die zugehörigen Warnungen ignoriert 
  • Nur die Ziel-Cloud-Konten und Cloud-Regionen, die Sie in der Konfiguration der Warnungsregel angeben, werden für den Bereich verwendet, wenn Warnungen für das benutzerdefinierte Überwachungsereignis generiert werden Policy
Referenz: Im November 2022 eingeführte Funktionen

Additional Information


  • Um zu überprüfen, ob es sich bei den Warnungen um echte oder falsch positive Warnungen handelt, überprüfen Sie, ob die gewünschten Cloud-Konten, die in der Abfrage angegeben sind, auch in der Konfiguration der RQL Warnungsregel angegeben sind
  • Erstellen einer Warnungsregel für Laufzeitprüfungen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sanlCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language