Prisma Cloud : 为什么自定义审计事件Policy为所有云帐户生成警报,而在RQL查询这个Policy?

Prisma Cloud : 为什么自定义审计事件Policy为所有云帐户生成警报,而在RQL查询这个Policy?

6377
Created On 02/04/23 01:47 AM - Last Modified 05/02/23 06:39 AM


Question


例子: 下面的例子是一个RQL查询自定义审计事件Policy为所有云帐户生成警报,而不仅仅是为特定的云帐户“开发人员沙盒”生成警报
cloud.audit_logs where cloud.account = 'Developer Sandbox' AND cloud.region = 'AWS Canada' AND operation IN ('DeleteAccessKey')

Environment


  • Prisma Cloud
  • 云账号

Answer


  • cloud.account 和云.区域现在忽略自定义和现有策略及其关联警报的属性
  • 当为自定义审计事件生成警报时,只有您在警报规则配置中指定的目标云帐户和云区域将用于确定范围 Policy
参考: 2022 年 11 月推出的功能

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sanlCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language