Prisma Cloud : ¿Por qué el evento Policy de auditoría personalizado genera alertas para todas las cuentas en la nube mientras que solo se menciona una cuenta en la nube específica en la RQL consulta de esta Policy?
6391
Created On 02/04/23 01:47 AM - Last Modified 05/02/23 06:38 AM
Question
Ejemplo: El siguiente ejemplo es una RQL consulta de un evento Policy de auditoría personalizado que genera alertas para todas las cuentas en la nube y no solo para la cuenta de nube específica 'Developer Sandbox'
cloud.audit_logs where cloud.account = 'Developer Sandbox' AND cloud.region = 'AWS Canada' AND operation IN ('DeleteAccessKey')Environment
- Prisma Cloud
- Cuenta en la nube
Answer
- Los atributos cloud.account y cloud.region ahora se ignoran para las directivas personalizadas y existentes y sus alertas asociadas
- Solo las cuentas de nube de destino y las regiones de nube que especifique en la configuración de la regla de alerta se usarán para definir el ámbito cuando se generen alertas para el evento de auditoría personalizado Policy
Additional Information
- Para comprobar si las alertas son originales o falsos positivos, confirme si las cuentas de nube deseadas especificadas en la consulta también se especifican en la configuración de la RQL regla de alerta
- Crear una regla de alerta para comprobaciones en tiempo de ejecución