<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Prisma-Cloud on Tarragon</title><link>https://tarrragon.github.io/blog/tags/prisma-cloud/</link><description>Recent content in Prisma-Cloud on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/prisma-cloud/index.xml" rel="self" type="application/rss+xml"/><item><title>Prisma Cloud</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/</guid><description>&lt;p>Prisma Cloud 是 Palo Alto Networks 旗下的 CNAPP（Cloud-Native Application Protection Platform）、把 &lt;em>runtime workload 防護&lt;/em>（Defender agent）跟 &lt;em>agentless cloud posture&lt;/em> 同一個 Console 整合。它的歷史是多次併購疊起來的 — Twistlock（container security）/ Redlock（CSPM）/ Bridgecrew（IaC scan）/ Aporeto（microsegmentation）— 五個模組各自有獨立的 data model 與 UI 軌跡。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security&lt;/a> 的差異在 &lt;em>是否走 host-level agent + 是否綁 Palo Alto 生態&lt;/em>、功能清單相近。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Prisma Cloud 的核心定位是 &lt;em>agent + agentless 雙軌 CNAPP&lt;/em>、五模組覆蓋 cloud workload 從 IaC 到 runtime 的完整鏈：&lt;em>Compute Security&lt;/em>（前 Twistlock、container / serverless / host workload 的 Defender agent + image scan）、&lt;em>CSPM&lt;/em>（cloud posture、misconfiguration、compliance baseline）、&lt;em>Code Security&lt;/em>（前 Bridgecrew、IaC 與 SCM scan）、&lt;em>Data Security&lt;/em>（DSPM、雲端資料庫與 bucket 敏感資料偵測）、&lt;em>CIEM&lt;/em>（cloud entitlement、跨雲 over-permission 治理）。Defender agent 是 host / pod / Lambda extension 上跑的常駐元件、提供 runtime IDS、file integrity、process anomaly 等 &lt;em>agentless 抓不到的訊號&lt;/em>。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> 比、Prisma 走 &lt;em>agent + agentless 雙軌&lt;/em>、Wiz 走 &lt;em>agentless-only&lt;/em>。Wiz 用 cloud snapshot scan + control-plane API 抽訊號、部署快、不踩 host；Prisma Defender agent 補上 &lt;em>runtime behavior&lt;/em> 的覆蓋（process spawn pattern、JNDI lookup、anomalous network connect）、代價是要在 host / pod / Lambda 上佈 agent、deployment 複雜度高一個層級。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework&lt;/a> 比、Lacework 用 &lt;em>Polygraph behavior graph&lt;/em> 做 host-level anomaly、focus 在 detection；Prisma 覆蓋面廣（含 IaC + CIEM + DSPM）、但每個模組深度比 Lacework 偵測單點淺一點。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security&lt;/a> 比、CrowdStrike 的 endpoint agent 已在多數 enterprise 環境跑、Cloud Security 直接共用 endpoint plane；Prisma 是 &lt;em>cloud-first CNAPP 加上 agent&lt;/em>、不是 endpoint EDR 延伸。&lt;/p></description><content:encoded><![CDATA[<p>Prisma Cloud 是 Palo Alto Networks 旗下的 CNAPP（Cloud-Native Application Protection Platform）、把 <em>runtime workload 防護</em>（Defender agent）跟 <em>agentless cloud posture</em> 同一個 Console 整合。它的歷史是多次併購疊起來的 — Twistlock（container security）/ Redlock（CSPM）/ Bridgecrew（IaC scan）/ Aporeto（microsegmentation）— 五個模組各自有獨立的 data model 與 UI 軌跡。它跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> / <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a> 的差異在 <em>是否走 host-level agent + 是否綁 Palo Alto 生態</em>、功能清單相近。</p>
<h2 id="服務定位">服務定位</h2>
<p>Prisma Cloud 的核心定位是 <em>agent + agentless 雙軌 CNAPP</em>、五模組覆蓋 cloud workload 從 IaC 到 runtime 的完整鏈：<em>Compute Security</em>（前 Twistlock、container / serverless / host workload 的 Defender agent + image scan）、<em>CSPM</em>（cloud posture、misconfiguration、compliance baseline）、<em>Code Security</em>（前 Bridgecrew、IaC 與 SCM scan）、<em>Data Security</em>（DSPM、雲端資料庫與 bucket 敏感資料偵測）、<em>CIEM</em>（cloud entitlement、跨雲 over-permission 治理）。Defender agent 是 host / pod / Lambda extension 上跑的常駐元件、提供 runtime IDS、file integrity、process anomaly 等 <em>agentless 抓不到的訊號</em>。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 比、Prisma 走 <em>agent + agentless 雙軌</em>、Wiz 走 <em>agentless-only</em>。Wiz 用 cloud snapshot scan + control-plane API 抽訊號、部署快、不踩 host；Prisma Defender agent 補上 <em>runtime behavior</em> 的覆蓋（process spawn pattern、JNDI lookup、anomalous network connect）、代價是要在 host / pod / Lambda 上佈 agent、deployment 複雜度高一個層級。跟 <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> 比、Lacework 用 <em>Polygraph behavior graph</em> 做 host-level anomaly、focus 在 detection；Prisma 覆蓋面廣（含 IaC + CIEM + DSPM）、但每個模組深度比 Lacework 偵測單點淺一點。跟 <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a> 比、CrowdStrike 的 endpoint agent 已在多數 enterprise 環境跑、Cloud Security 直接共用 endpoint plane；Prisma 是 <em>cloud-first CNAPP 加上 agent</em>、不是 endpoint EDR 延伸。</p>
<p>關鍵張力：<em>覆蓋面廣度</em> ↔ <em>模組整合成熟度</em> 是 Prisma 客戶最常踩的 trade-off。五模組來自不同收購、UI / API / data model 整合仍在進行中、客戶常遇到「同一個 finding 在 Compute Console 顯示是 critical、在 CSPM 是 medium」、或「Code Security 報的 IaC issue 跟 Runtime 報的實際 config 對不起來」。預算允許就用 Prisma 拿覆蓋面廣度、不允許就走 Wiz（agentless 部署快）或 Lacework（單模組偵測深）。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Prisma Cloud 在 cloud security stack 中承擔哪幾段（Compute / CSPM / Code / Data / CIEM）、哪些跟既有 SIEM / EDR / IdP 重疊或互補</li>
<li>Defender agent 該佈在 host / pod / Lambda 哪幾層、跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 等 OSS / SaaS image scanner 的分工</li>
<li>Compliance template（PCI / HIPAA / NIST / FedRAMP）跟自家 custom policy 的混用方式、誰能改 policy、誰 review</li>
<li>何時用 Prisma、何時改走 Wiz（agentless-only）/ Lacework（detection-focused）/ Trivy（OSS CLI）/ EDR</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Prisma 部署是否健康、最少看四件事：</p>
<ul>
<li><strong>Defender agent 覆蓋率</strong>：production K8s cluster 的 DaemonSet 是否所有 node 跑、VM workload 的 agent install rate、Lambda function 的 extension 啟用比例；缺一塊就有 runtime 偵測盲點</li>
<li><strong>Console 跟模組一致性</strong>：Compute Console / CSPM dashboard / Code Security finding / CIEM report 同一個 resource 的風險評級是否一致、不一致時誰是 SSoT</li>
<li><strong>Compliance template 對齊</strong>：啟用了哪幾套（PCI-DSS / HIPAA / NIST 800-53 / CIS / FedRAMP / SOC2）、跟內部 baseline 的客製 rule 是否走版控</li>
<li><strong>Alert 跟 SOC handoff</strong>：Prisma alert 是進自家 incident queue 還是 forward 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>、Cortex XSOAR 是否串 playbook</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Defender agent deployment</strong>：agent 三種 footprint — <em>K8s DaemonSet</em>（每個 node 一個、攔截 container syscall + image runtime scan）、<em>VM / host agent</em>（Linux / Windows 安裝、file integrity + process anomaly）、<em>Lambda extension</em>（function runtime 注入、serverless 行為偵測）。Production 通常是 DaemonSet + VM agent 雙軌、Lambda extension 視 serverless workload 規模啟用。deployment 比 Wiz 多一步 — 要走 IaC（Helm chart / Terraform module）管 agent rollout、不能手動裝。</p>
<p><strong>Console 跟 RBAC</strong>：Prisma Cloud Console 是統一入口、但底下 <em>Compute</em>（前 Twistlock UI 殘留）跟 <em>Cloud</em>（CSPM / Code / Data / CIEM）兩個 plane 分開。RBAC 角色設計常踩坑 — Compute 的 collection（host group）跟 Cloud 的 account group 是不同概念、需要分別給權限。</p>
<p><strong>CSPM connector</strong>：CSPM 走 read-only cloud API（AWS Cross-Account Role / GCP Service Account / Azure App Registration）抽 config snapshot、定期 reconcile baseline。連 cloud account 是 onboarding 第一步、跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> 同樣的 pattern、Prisma 的 connector permission template 偏寬、要 review 哪些 API 真用得到。</p>
<p><strong>Code Security（Bridgecrew）</strong>：IaC scan 走 GitHub / GitLab / Bitbucket App、Terraform / CloudFormation / Kubernetes manifest / Dockerfile 在 PR 階段攔截 misconfiguration。Checkov 是 Bridgecrew 開源的底層引擎、Prisma 把 Checkov 規則庫 + 自家 policy 包成 SaaS。對應 <a href="/blog/backend/06-reliability/release-gate/" data-link-title="6.8 Release Gate 與變更節奏" data-link-desc="把驗證、migration、相容性納入放行判準">6.6 release gate</a>、IaC issue 在 PR 階段擋比 runtime 抓便宜兩個量級。</p>
<p><strong>CIEM</strong>：cloud entitlement 治理、跨 AWS IAM / GCP IAM / Azure RBAC 找 over-permission 跟 toxic combination（例如 user 同時有 <code>iam:PassRole</code> + <code>lambda:CreateFunction</code> 可 privilege escalation）。CIEM 報告通常是大量「建議收權限」、實際 remediation 要跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> owner 排優先序、不是看到全收。</p>
<p><strong>Data Security（DSPM）</strong>：雲端資料庫（RDS / BigQuery / Snowflake）+ object store（S3 / GCS）的 sensitive data discovery、跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 功能重疊。Prisma DSPM 的優勢是跟 CSPM / CIEM 同 Console、可以看「敏感資料所在的 bucket 是否有 public ACL + 哪些 role 可以讀」、是 <em>資料 + 入口 + 身份</em> 同 plane 的關聯。</p>
<p><strong>Runtime Protection（Aporeto microsegmentation）</strong>：Defender agent 提供 process / network level 的 runtime IDS / IPS — JNDI lookup 行為、異常 outbound callback、container escape 嘗試、unsigned binary 執行。比起 image-scan-only 多了 <em>已知 CVE 沒 patch 但 runtime 行為偵測到</em> 的覆蓋層。</p>
<p><strong>跟 Palo Alto 生態整合</strong>：Prisma alert 可直接打到 Palo Alto <em>Cortex XSOAR</em>（SOAR / playbook）/ <em>Cortex XDR</em>（endpoint + cloud unified detection）/ <em>NGFW / SASE</em>（firewall rule 自動 push）。對已是 Palo Alto-heavy 環境是生態一致性增加；對非 Palo Alto 環境、Prisma 也 forward 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 走 webhook / Syslog。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Prisma Cloud</th>
          <th>Wiz</th>
          <th>Lacework</th>
          <th>CrowdStrike Falcon Cloud Security</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>部署模型</td>
          <td>Agent (Defender) + Agentless 雙軌</td>
          <td>Agentless-only（snapshot scan + API）</td>
          <td>Lightweight agent + agentless 雙軌</td>
          <td>沿用 CrowdStrike endpoint agent + agentless</td>
      </tr>
      <tr>
          <td>部署速度</td>
          <td>慢 — agent rollout 走 IaC + RBAC 設定多</td>
          <td>快 — connector 連 cloud account 就開始 scan</td>
          <td>中 — agent 較輕、但仍需安裝</td>
          <td>快（若已用 CrowdStrike）/ 中（新導入）</td>
      </tr>
      <tr>
          <td>Runtime 偵測</td>
          <td>強 — Defender 攔 syscall / network / file IDS</td>
          <td>弱 — runtime behavior 靠 snapshot 對照、延遲高</td>
          <td>強 — Polygraph behavior graph 為核心</td>
          <td>強 — endpoint agent runtime telemetry</td>
      </tr>
      <tr>
          <td>Posture / CSPM</td>
          <td>強 — Redlock 出身、compliance template 最完整</td>
          <td>強 — graph-based blast radius 視覺化最好</td>
          <td>中 — 有 CSPM 但 focus 在 detection</td>
          <td>中 — CSPM 後加入、深度比 Prisma / Wiz 淺</td>
      </tr>
      <tr>
          <td>IaC scan</td>
          <td>強 — Bridgecrew 整合、Checkov 底層</td>
          <td>中 — IaC scan 較新</td>
          <td>弱 — 非主力</td>
          <td>弱 — 非主力</td>
      </tr>
      <tr>
          <td>CIEM</td>
          <td>強 — 五模組原生</td>
          <td>強 — graph-based entitlement analysis</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>DSPM</td>
          <td>中 — Data Security 模組</td>
          <td>強 — DSPM 是近年強推</td>
          <td>弱</td>
          <td>弱</td>
      </tr>
      <tr>
          <td>模組整合成熟度</td>
          <td>中 — 五次收購、UI / data model 仍在整合</td>
          <td>強 — single platform 原生設計</td>
          <td>強 — 單一 data model</td>
          <td>中 — endpoint + cloud 整合中</td>
      </tr>
      <tr>
          <td>Compliance 廣度</td>
          <td>強 — PCI / HIPAA / NIST / FedRAMP / SOC2 完整</td>
          <td>中 — 主要 compliance 都有但模板較淺</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>生態整合</td>
          <td>強 — Palo Alto NGFW / Cortex XDR / XSOAR 同 plane</td>
          <td>中 — vendor-neutral、走 webhook / API</td>
          <td>中</td>
          <td>強 — CrowdStrike Falcon 生態</td>
      </tr>
      <tr>
          <td>計費複雜度</td>
          <td>高 — module + credit + workload + multi-year</td>
          <td>中 — workload / cloud account 為主</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Palo Alto-heavy、agent + posture 雙覆蓋、合規重</td>
          <td>Cloud-native、agentless-first、部署速度優先</td>
          <td>Detection-heavy、Polygraph anomaly 為核心</td>
          <td>CrowdStrike-heavy、endpoint + cloud 統一</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>高 — agent + policy + Cortex 整合多</td>
          <td>中 — agentless、移除 connector 就乾淨</td>
          <td>中</td>
          <td>高（若深度整合 CrowdStrike）</td>
      </tr>
  </tbody>
</table>
<p>選 Prisma 的核心訴求：<em>已在 Palo Alto 生態（NGFW / SASE / Cortex XDR / XSOAR）+ 需要 runtime agent + posture 雙覆蓋 + compliance audit heavy（PCI / HIPAA / FedRAMP）</em>、且能承擔模組整合不完美 + 部署複雜度 + multi-year contract。純 agentless 用 Wiz、detection-focused 用 Lacework、純 OSS PR scan 用 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> + <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Defender agent rollout 策略</strong>：K8s DaemonSet 用 Helm chart 管 version + tolerations、staging cluster 先跑 1-2 週觀察 syscall overhead 跟 false positive、再 promote 到 production。VM agent 走 Ansible / SCCM / Terraform user-data、image baking 把 agent 包進 golden AMI 比每次 boot 安裝穩。Lambda extension 走 Lambda Layer、只對 high-value function 開（金流 / IdP / secret access）、不是全 function 都包。</p>
<p><strong>Runtime IDS / IPS 模式</strong>：Defender 可設 <em>audit only</em>（只 log、不阻擋）或 <em>prevent</em>（自動 kill process / block network）。production 多數 workload 走 audit、只對 <em>確定無誤報</em> 的 rule 開 prevent（已知 malware hash、明確 CVE exploit pattern）。誤判 prevent 業務 process 比放過 alert 代價高、應該預設 audit + SIEM forward + SOC triage。</p>
<p><strong>Compliance template + Custom policy 混用</strong>：Prisma 提供 PCI-DSS / HIPAA / NIST 800-53 / CIS Benchmark / FedRAMP / SOC2 完整 baseline、可直接啟用。但 baseline 通常太嚴或太寬、實務做法是 <em>fork baseline + 加自家 exception + 加 organization-specific rule</em>、走 Git 版控（policy as code、JSON / YAML）、PR review 後 sync 回 Console。policy 不能 console 直改、否則跟既有 SIEM rule 一樣失去 change history。</p>
<p><strong>Cortex XSOAR / XDR 整合</strong>：Prisma alert → XSOAR playbook 是 Palo Alto 環境的標準路徑、playbook 自動執行 enrichment（拉 threat intel）/ containment（NGFW block / disable IAM user）/ remediation（Terraform PR auto-create）。playbook 要走版控 + dry-run、高影響動作（disable IAM user / delete resource）走 approval gate、不能 fire-and-forget。</p>
<p><strong>計費結構</strong>：Prisma 按 <em>module 選購</em> + 按 <em>credit 消耗</em> + 按 <em>workload count</em> 三層計費、enterprise 通常是 <em>multi-year package</em>（3 年 commit 拿折扣）。實務坑 — 加新 cloud account 沒控管會吃 credit、Code Security 對大 monorepo scan 也吃 credit、Data Security 對大 bucket scan 是高成本項。月底常見的 sticker shock 來自 <em>Defender agent 數量爆衝</em>（K8s auto-scale 把 node count 推高）跟 <em>新 cloud account onboard 沒走 quota 控管</em>。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Defender agent overhead 影響業務 process</strong>：DaemonSet pod 吃 CPU / memory 過高、container syscall hook 拖慢 latency-sensitive workload — 把 <em>runtime rule</em> 從 prevent 改 audit、調 collection scope 排除 latency-critical namespace、向 Palo Alto support 開 ticket 看 agent profile</li>
<li><strong>同一個 finding 模組評級不一致</strong>：Compute Console 顯示 critical、CSPM 顯示 medium — 確認 <em>SSoT 是哪個模組</em>、Compute 是 workload-level、CSPM 是 cloud-config-level、兩者本來就看不同 layer、用 Cortex XSOAR 統一 prioritization 而非靠 Console 對齊</li>
<li><strong>CSPM connector permission 報錯</strong>：Prisma 預設 IAM policy 太寬 / 太窄 — 走 <em>least privilege</em> 版本、跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> owner 確認哪些 API 真用到、不要照官方 template 全開</li>
<li><strong>Compliance template 一啟用就 1000+ finding</strong>：baseline 太嚴 + 既有環境本來就沒符合 — 走 <em>staged adoption</em>、先選 critical control（IAM / encryption / public exposure）、剩下進 backlog 排期、不要一次全開</li>
<li><strong>Code Security PR scan block 太多</strong>：Bridgecrew rule 對既有 IaC noisy — 用 <em>baseline mode</em>（既有 issue 標記、只 block 新 issue）、給 team 12 週 SLA 清 backlog、不要 day-1 block 全部</li>
<li><strong>CIEM 報告太多 over-permission</strong>：5000+ unused permission 看不完 — 排序看 <em>toxic combination</em>（privilege escalation path）優先、單純 unused 走每季 access review、不一次處理</li>
<li><strong>Cortex XSOAR playbook 誤殺</strong>：自動 disable IAM user 結果關到 CI/CD service account — 高影響動作走 <em>approval gate</em>、playbook default 是 <em>containment</em>（temporary block）not <em>deletion</em></li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>純 agentless / 部署速度優先</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a></td>
      </tr>
      <tr>
          <td>Polygraph behavior detection 為核心</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a></td>
      </tr>
      <tr>
          <td>CrowdStrike-heavy 環境</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></td>
      </tr>
      <tr>
          <td>純 OSS image / IaC scan</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data 為主</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>SIEM 偵測 / SOC</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>入口 WAF</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a></td>
      </tr>
      <tr>
          <td>事故 routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Defender agent 完整 syscall hook 清單 / runtime rule 語法 reference</li>
<li>Bridgecrew Checkov 規則庫的逐條解釋 / 自寫 Checkov rule 細節</li>
<li>Palo Alto Cortex XSOAR playbook 的 Python SDK 實作</li>
<li>Prisma SASE / NGFW / Cortex XDR 完整功能（屬 network security / EDR、不在 CNAPP 範圍）</li>
<li>Compliance 法規的逐條解讀（PCI-DSS / HIPAA 法律面）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Prisma 在 07 案例庫沒有直接 vendor-level 事件、但多個 supply chain / edge exposure case 是 Defender runtime + image scan 雙層的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Prisma 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Defender agent runtime 可偵測 JNDI lookup 行為、補 SBOM / image scan 看不到的 <em>dynamic class load 在 runtime 才觸發</em> 缺口、跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> image scan 互補</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>Defender runtime 偵測異常 process spawn + outbound C2 callback、補 image-level scan 對 <em>已簽章但 runtime 行為異常</em> 的缺口、不能只靠 IoC</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>runtime behavior anomaly（DNS beacon + dormant period）優於 IoC-only 規則、配合 image signing 雙層覆蓋、Defender + Code Security 在 build / runtime 雙閘</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/citrix-bleed-2023-session-hijack/" data-link-title="7.R7.3.3 Citrix Bleed 2023：會話被劫持與重放風險" data-link-desc="邊界設備會話資料外洩後，如何演變成帳號與服務風險">Citrix Bleed 2023 Session Hijack</a></td>
          <td>Defender host-layer 偵測異常 session 動作（不能阻擋上游 edge zero-day、但事後 forensic 跟 lateral movement containment 有用）、補 edge appliance 看不到的 host-side 軌跡</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.10 供應鏈與第三方信任</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a>、<a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a>、<a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>（Prisma alert forward）、<a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（CIEM remediation 落地）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>（OSS image scan 互補）、<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a>（SCA 互補）</li>
<li>跨模組：<a href="/blog/backend/06-reliability/release-gate/" data-link-title="6.8 Release Gate 與變更節奏" data-link-desc="把驗證、migration、相容性納入放行判準">6.6 release gate</a>（Code Security PR scan）、<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（alert handoff）</li>
<li>官方：<a href="https://docs.prismacloud.io/">Prisma Cloud Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>