Prisma Cloud : なぜカスタム監査イベントなのかPolicy特定のクラウド アカウントのみがRQLこれのクエリPolicy?
6387
Created On 02/04/23 01:47 AM - Last Modified 05/02/23 06:37 AM
Question
例: 次の例はRQLカスタム監査イベントのクエリPolicy特定のクラウド アカウント「Developer Sandbox」だけでなく、すべてのクラウド アカウントのアラートを生成します。
cloud.audit_logs where cloud.account = 'Developer Sandbox' AND cloud.region = 'AWS Canada' AND operation IN ('DeleteAccessKey')Environment
- Prisma Cloud
- クラウド アカウント
Answer
- のcloud.account とクラウド.リージョンカスタムおよび既存のポリシーとそれに関連するアラートの属性が無視されるようになりました
- アラート ルール構成で指定したターゲット クラウド アカウントとクラウド リージョンのみが、カスタム監査イベントのアラートが生成されるときにスコープに使用されます。 Policy
Additional Information
- アラートが本物か誤検知かを確認するには、目的のクラウド アカウントがRQLクエリもアラート ルール構成で指定されます
- ランタイム チェックのアラート ルールを作成する