こんにちは、Orca Security 担当の尾谷です。
今日は、Orca テナントからクラウドアカウントを切断する際に発生する Purge について検証した内容をアウトプットします。
フォージビジョンは、お客様よりアカウント接続解除の方法についてご質問をいただいた際には、以下のブログ記事でご紹介しました。
上述の記事は、2023 年 7 月に公開しています。
当時、アカウントを切断するボタンは Remove という名称でしたが、現在は Delete に変わりました。
Delete と Move Offline、エラーの違い
Orca Security からクラウドアカウントを切断する際、Delete と Move Offline の二種類の方法を選択できます。
あと、利用者が意図せぬ形で切断されるケースとして、エラーもあります。
それぞれの挙動は以下のとおりです。
- Delete を選択すると、即座に Purge されます。
- Offline の場合は、Purge タイミングを操作できます。
- エラーの場合は、30 日後に Purge されます。
Orca のドキュメントには、何度か Purge というフレーズが登場します。
この Purge とは実際にはどのような処理が行われ、どのような挙動が起こるのでしょうか。
僕は、Purge を明確に説明する記述をドキュメントから見つけることができませんでした。 文脈から「すべてのリソース情報とアラートを削除」する作業を Purge だと推測しています。
そして、Purge されるまでは WL カウントが継続するようです。
実際に、検証アカウントを 2 つ用いて操作をしてみました。
Delete
まず、Delete からアカウントを切断した際の挙動をご報告します。
Online 状態の検証アカウントの右端にある3点リーダーをクリックして、
Delete ボタンをクリックしました。
すると、確認メッセージがポップアップされますので「delete」をタイプして、活性化された「Delete」ボタンをクリックしました。
上記のポップアップにある「Close linked ticketing integrations when purging alerts」のチェックボックスのチェックを外しておくと、アラートが削除されたタイミングで発生する通知を止めることができます。
チェックボックスのチェックを入れたまま削除すると、場合によっては、Slack やメールボックスなどに大量の通知を受ける可能性があります。
「Delete」ボタンをクリックした後、ステータスが、「Deleting...」に変わり、10分程度でリストから消えました。
My Subscription はすぐには変化しませんでした。
Orca Support に確認したところ、値の変動に 1 日のブランクがあるそうです。
翌日の朝 8 時には値が変わっていました。
Move Offline
ドキュメントには以下のような記述があります。
- Move Offline を選択すると、進行中のスキャンや、今後、定期的に行われるスキャンがすべて一時停止する
- アラートはすぐには削除されず、以降は、手動によるスキャンが可能
- デフォルトでは、30 日後にすべてのリソース情報とアラートを削除する
他のメンバーのアカウントを拝借して、3点リーダーから、Move Offline をしてみました。
以下メッセージが表示されました。
このチェックボックスは、前述の通り、外しておかないと Close アラートを大量に受信する可能性があります。
Edit ボタンをクリックすると、即時 Purge するか、何日保留するかを選択することができました。
なお、デフォルトの Purge 期間は変更できます。
Account Settings をクリックし、Organizations Settings から、
Purge タイミングや、デフォルトで通知するのかどうかを設定できました。
Offline になると、ステータスに Offline にしたタイミングが表示されます。
Offline と表示された直後は、アカウントを接続した日付になってしまい、挙動がおかしいように見えましたが、
数分後に、更新されました。
エラー
最後は、エラーです。
エラーになる原因は、アカウント側で IAM 情報が削除されるなどして、Orca がアカウントの情報を読み込めなくなった際に発生します。
エラーが発生した日からカウントして、30 日後に Purge されます。
以下のスクリーンショットをご覧ください。該当の Azure アカウントは、2024/10/22 03:13 にエラー状態になりました。
「Error」の右側に表示された小さな時計のアイコンにマウスオーバーしてみます。
すると、メッセージがポップアップされ、2024/11/21 に Purge すると表示されました。
ポップアップにある Edit をクリックすると、Purge タイミングを「即時から60日」の範囲で任意に変更ができますが、カウントダウンを延長はできません。
延長したい場合は、60 日以上保留させたい場合は、カスタマーサクセスチームに相談するようドキュメントに記載されています。
以上、アカウント削除時に発生する Purge について検証結果と合わせてご説明させていただきました。
最後までお読みくださりありがとうございました。