04-23-2025 09:42 PM
PrismaCloudの機能確認として、監視対象のAWSサーバに対して、外部のパブリックIPアドレスを持つサーバから50以上のポートを対象にポートスキャンしましたが、アノマリ検知アラートが上がりません。
アノマリ、アラートの設定の見直しは行っており、使用開始してから1ケ月以上の時間もたっているので機械学習なども特に影響はないと考えています。
04-24-2025 08:22 AM
Hello!
I would recommend setting your anomaly policy threshold as per our documentation.
Also an important factor to consider is A condition for the port scan policies to work, is that it should find REJECTED traffic.
This documentation below gives further context into the policy's behavior.
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saJbCAI
04-29-2025 06:01 PM
ご返信ありがとうございます。
案内いただいたドキュメントも確認しましたが、やはり検知を確認できません。
ポートスキャンの検知を行うには、異常とみなされるためにポートスキャンの種類(TCP,UDPなど)やスキャン元のリージョン(USなど)、スキャンの方法(Masscanなど)など、50以上のポートをスキャンすること以外にも制約があるのでしょうか。
ポートスキャンの検知のテストができないと、リリース判定が通りません。
自分で意図的にポートスキャンの検知を行うには具体的にどうすればよいかお教えいただきたいです。
宜しくお願い致します。
04-30-2025 07:11 AM
Hello!
Ensure your cloud account has network flow logs set up.
Here is a quick summary of the basic steps required to configure a cloud environment to generate port scan activity that will be detected by Prisma Cloud:
Click Accept as Solution to acknowledge that the answer to your question has been provided.
The button appears next to the replies on topics you’ve started. The member who gave the solution and all future visitors to this topic will appreciate it!
These simple actions take just seconds of your time, but go a long way in showing appreciation for community members and the LIVEcommunity as a whole!
The LIVEcommunity thanks you for your participation!
