目标 问题 - 用户正试图通过RQL排除调查页面上的一个云账户。当他试图在查询中添加 cloud.account != "XXX "时，他无法排除来自云账户的结果。   环境 Prisma Cloud   流程 配置扫描器会忽略cloud.account, cloud.accountgroup, cloud.region以及任何其他限制账户或区域的条件。这是因为那些应该由警报规则(Alert Rule)来配置。因此，要使自定义策略不产生云帐户，必须在警报规则中排除它。   要在警报规则中排除云账户，请通过 "高级设置"。这将为该警报规则的云资源触发警报添加更多的粒度：排除云账户 - 如果在选定的账户组中有一些云账户您不想触发警报，请从列表中选择这些账户。   其他信息 为运行时检查创建一个警报规则(Create an Alert Rule for Run-Time Checks)

目的 以下视频解释如何在Prisma Cloud上配置如何使用第三方认证SSO。   环境 Prisma Cloud   Procedure   注意： 本视频来自PaloAlto学习中心的课程，Prisma云。确保公共云的安全（EDU-150）。 要了解更多信息或注册观看在线课程，请访问Palo Alto Networks Education。

目标 在进行注册表扫描时，主机或Defender所在的集群的I/O操作中可能会出现嘀嗒声。 环境 SaaS Self-Hosted 19.11 或更高版本   步骤 Defender在主机上下载图像并运行扫描，在完成扫描后，它将图像从主机上删除。   这可以通过 ssh-ing 到具有Defender并用于执行注册表扫描的主机来确认。 Defender拉取镜像，如果我们执行“docker images”，我们可以在扫描运行时看到拉取的镜像   扫描完成后，我们再做一次 "docker images"，就会发现这个镜像不再存在了。   因此，当注册表扫描正在运行时，我们看到I/O中出现了一个勾。      

目标 如何通过传统链接登录Prisma云计算平台 环境 Prisma 云   步骤 请让客户尝试通过我们的直接链接登录：https://app.prismacloud.io/auth/signin   请注意，传统的链接地址将根据客户的堆栈（app、app1、app2）而改变 请查看这里的所有传统登录网址的列表   请让客户选择 "忘记密码 "选项。   请输入客户与他们的Prisma Cloud用户名相关的电子邮件。 Prisma云 > 设置 > 访问控制 > 用户   客户应该有更新密码的选项，并通过电子邮件发送给他们。 然后请使用上面列出的链接，请尝试用他们的电子邮件和新密码登录。   请注意，Palo Alto Hub和Prisma Cloud的直接链接使用不同的凭证。  

目标  如何确认Prisma云计算中特定CVE的覆盖范围？ 环境  Prisma Cloud Compute 步骤  你可以通过使用 Console 中的搜索界面来确定 Prisma Cloud 是否为特定的 CVE 提供覆盖。  CVE ID的语法是。CVE-YYYY-NNNN   在哪里？  CVE --  CVE-ID前缀。  YYYY --  日历年份。  NNNN--  数字位数。这个字段的长度是可变的，但最小长度是四位数   要搜索一个特定的漏洞。  打开控制台，进入 "监控">"漏洞">"CVE Viewer"。(Monitor > Vulnerabilities > CVE Viewer)  在右上方的查询文本框中，输入CVE ID（例如CVE-2021-44228）。  如果Prisma Cloud覆盖了所查询的漏洞，细节将在结果列表中列出。   I.Prisma云计算版（Self-Hosted）控制台。   如： 要查看Coverage，请进入 "监控">"漏洞">"CVE Viewer">输入 "CVE-2021-44228"。（Monitor > Vulnerabilities > CVE Viewer > Input "CVE-2021-44228"）     II.Prisma云企业版（SaaS）控制台。   如： 要查看Coverage，请进入计算 > 监控 > 漏洞 > CVE Viewer > 输入 "CVE-2021-44228"（Compute > Monitor > Vulnerabilities > CVE Viewer > Input "CVE-2021-44228"）     注意：  一旦供应商评估他们自己的暴露程度（exposure），执行他们的分析并发布建议，他们就会在他们自己的安全反馈中发布这些攻击响应，然后流入我们的情报流（Intelligence Stream），再由Prisma Cloud Console处理。  建议删除为该漏洞添加的任何自定义反馈规则（Custom Feed Rules），以便为您的环境获得最佳结果。   额外信息：  如果你在Prisma云计算中没有看到特定CVE的覆盖范围，请在TAC开一个支持案例。  更多信息请参考https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/vulnerability_management/search_cves.html  关于漏洞浏览器的更多信息，请参考https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MfoCAE

目标 如何避免Prisma Cloud中Investigate标签的RQL查询超时？ 环境 Prisma cloud 步骤 当在 "调查 "标签（Investigate tab）中运行RQL查询时，可能会遇到以下信息 "没有结果"（"No Results Available" ）。这在以下情况下发生：   1.Onboard的云账户中没有可用的资源来匹配查询。  2. RQL查询超时。 为了确认上述情况，请考虑以下例子。  在RQL查询1中，我们只看到 "没有可用的结果 "（"No Results Available"）信息，这表明没有可用的云资源来匹配这个查询。  然而，在RQL查询2中，随着 "无结果 "（"No Results Available"）信息的出现，我们还看到查询下方与 "搜索 "有关的3个标签，这表明RQL查询超时。   RQL查询1：识别在"particular onboarded cloud account"中所有正在运行的实例，这些实例使用不属于被管理账户的AMI。   RQL查询2 :识别 "all onboarded cloud accounts "中所有正在运行的实例，这些实例正在使用不属于管理账户的AMI。   原因  当在Investigate标签中运行RQL查询时，后端将查询数据库中与我们输入的过滤器相匹配的结果。  在RQL查询2中，后端在数据库中查询符合查询的所有onboard云账户的资源。  在3分钟内有太多的资源需要整理的情况下，RQL查询可能会超时，如上面的例子中看到。   解决办法  为了避免RQL查询超时，以扫描一个较小的分段去过滤它，即一个特定的账户或账户组。  在下面的例子中， cloud.account = 'RDS AWS Test' 被添加到RQL查询中，以过滤到一个特定的帐户。  

目标 如何在Prisma云计算中通过漏洞或CVEs过滤images？ 环境 Prisma云计算版 (Self-Hosted) Prisma云企业版(SaaS) 步骤 “Vulnerability Explorer”有助于调查整个环境中的漏洞，并根据特定的CVE过滤images。   Prisma云计算版（Self-Hosted）控制台。  进入 "监控">"漏洞">"漏洞浏览器">输入感兴趣的CVE（例如：CVE-2021-21687）。  Monitor > Vulnerabilities > Vulnerability Explorer > Input the CVE  过滤后的列表可以以CSV格式下载。  点击条目列表中的任何地方（在标签--风险分数、CVE风险因素、环境风险因素或受影响包下），以获得受该CVE影响的images。  如下图所示，2个images受到CVE-2021-21687的影响   Prisma云企业版（SaaS）控制台：  进入 "计算">"监控">"漏洞">"漏洞浏览器">输入感兴趣的CVE（例如：CVE-2021-41990）。  Compute > Monitor > Vulnerabilities > Vulnerability Explorer > Input the CVE  过滤后的列表可以以CSV格式下载。  点击条目列表中的任何地方（在标签--风险分数、CVE风险因素、环境风险因素或受影响包下）以获得受该CVE影响的images。  如下图所示，1个image受到CVE-2021-41990的影响。  关于漏洞浏览器的视频教程，请参考Video Tutorial: What Does Vulnerability Explorer Accomplish Within Prisma Cloud?   额外信息 注意：  目前，在Monitor > Vulnerabilities > Images下，images只能通过某些关键词和属性进行过滤，而不是通过特定的CVE进行过滤，如下图所示。    以下是为在 Monitor > Vulnerabilities > Images下添加CVE漏洞过滤器而提出的功能请求，目前没有ETA。 1、在image细节中添加额外的过滤器。PANW-I-3012 2、在控制台界面的CI image扫描报告中添加CVE过滤器。PANW-I-2959

为什么Master节点未部署defender？ 在使用Kubernetes集群时，通常应用是不会调度到master节点。因为k8s集群默认给master节点加了Taints(污点)，意味着不允许pod调度到该节点。 如下图所示：   注意输出信息中taints值，后文中修改yaml文件将用到 如何在Master节点部署Defender？ 通常有两种办法将Pod安装在标记了Taints的节点： 去掉该节点的taints（不建议，这将对用户集群产生较大影响，所有的pod都将能够部署在这个节点） 添加tolerations[容忍] （建议的方式，对用户集群无影响，仅将prisma cloud defender部署在master节点） 本文仅示例第二种方式： 登录prisma cloud console，跳转到Manage->Defenders->Deploy即可生成yaml文件 在yaml文件中添加tolerations，并部署defender，如下图： 注意：yaml文件中tolerations key值需与实际环境一致，该值可通过kubectl describe nodes查看   完成yaml文件修改后，执行kubectl create -f xxx.yaml 完成部署      

欢迎使用Prisma Cloud, 请参考如下步骤进行激活与配置。   前期准备 Prisma Cloud 许可码类型 - 许可码详解 Prisma Cloud 工作原理 - 工作原理手册 终端防火墙需设置允许列表 - Prisma Cloud 终端 IP 如何使用API登入Prisma Cloud - API登录方式 Prisma Cloud常见问题 - FAQ Prisma Cloud不同版本功能介绍 - 版本更新功能介绍 基础配置 连通云端平台 - 不同云平台与Prisma Cloud连接 设置Prisma Cloud用户组 - 用户群组设置 管理Prisma Cloud告警 - 告警与规则 管理策略和用户自定义策略 - 策略详解 第三方软件与Prisma Cloud整合 - 整合手册   如在配置过程中出现问题，可尝试搜索资源库