为什么“登录失败次数过多”策略无法检测到警报?
1975
Created On 06/21/24 05:42 AM - Last Modified 02/27/25 17:52 PM
Question
尽管我们尝试了许多登录失败,但“登录失败次数过多”策略未检测到任何警报。
为什么“登录失败次数过多”策略无法检测到警报?
Environment
- Prisma Cloud 企业版
- 异常策略
Answer
要触发此警报,我们需要执行超过阈值的失败登录操作,然后在 15 分钟内成功登录事件。
如果没有成功登录事件,即使 15 分钟间隔内有许多失败的登录事件,该策略也不会检测到任何警报。
Additional Information
此策略仅捕获 IAM 用户控制台登录事件。
使用安全令牌的命令行操作中的登录事件不会捕获登录事件。 此外,SSO 登录事件通常不会生成审核事件。