Prisma Cloud : Pourquoi l’événement Policy d’audit personnalisé génère-t-il des alertes pour tous les comptes Cloud alors que seul un compte cloud spécifique est mentionné dans la RQL requête de celui-ci Policy?
6389
Created On 02/04/23 01:47 AM - Last Modified 05/02/23 06:37 AM
Question
Exemple : l'exemple suivant est une RQL requête d'un événement Policy d'audit personnalisé qui génère des alertes pour tous les comptes cloud et pas seulement pour le compte cloud spécifique « Developer Sandbox »
cloud.audit_logs where cloud.account = 'Developer Sandbox' AND cloud.region = 'AWS Canada' AND operation IN ('DeleteAccessKey')Environment
- Prisma Cloud
- Compte Cloud
Answer
- Les attributs cloud.account et cloud.region sont désormais ignorés pour les stratégies personnalisées et existantes et leurs alertes associées.
- Seuls les comptes cloud cibles et les régions cloud que vous spécifiez dans la configuration de la règle d’alerte seront utilisés pour définir l’étendue lorsque des alertes sont générées pour l’événement d’audit personnalisé. Policy
Additional Information
- Pour vérifier si les alertes sont authentiques ou fausses, vérifiez si les comptes cloud souhaités spécifiés dans la requête sont également spécifiés dans la configuration de la RQL règle d’alerte
- Créer une règle d’alerte pour les vérifications d’exécution