こんにちは、Orca Security 担当の尾谷です。
Orca Security の PoC を進めていただいているお客様からよくいただくお問い合わせの中に、アラートの取り扱い方法があります。
これまで Orca Security が検知したアラートの取り扱いについて ご紹介したり、Orca Security のアラートを適切に処理する方法 をご紹介しましたが、本記事では、アラートのステータスの概要と、ステータスを変更した際のチケットの挙動について具体的にご紹介していきます。
アラートのステータス
Orca Security のアラート ステータス は全部で 5 つあり、Active と Done の二つのグループに分けられます。
Active グループ
- Open
- アラートが起票されたのち、作業が開始されていないステータスです。
- In Progress
- アラートの対応が開始されて、まだ完了していないステータスです。
- Snoozed
- アラート対応が延期された状態です。時間を迎えると、アラートのステータスはアラートがスヌーズされる前の状態に戻ります。[Re-OPEN] をクリックすると、即時に戻せます。
Done グループ
- Dissmiss
- アラートを静観するためのステータスです。
- Closed
- Closed ステータスにすると、他のステータスに戻せません。
サンプルアラート
以下は、Informational のアラートのスクリーンショットです。
Informational は、警告とは言えないただの情報がカテゴライズされて表示されます。アラートがノイズにならないようにと Orca Security がフィルタリングしてくれている対象です。
この Infomational アラートを使って実際の挙動を確認していきます。
まず、ステータスから確認していきます。
現在は、[Open] になっています。
Snoozed
スヌーズ処理をやってみましょう。[ACTIONS] ボタンから、[Snooze] を選択します。 ここでは、間隔を 1 day にして [Apply] ボタンをクリックしました。
すると、ステータスが以下のように [Snoozed] ステータスに遷移しました。1 日経過すると、Open に戻ります。
急ぎ戻したいときには、[RE-OPEN] ボタンをクリックします。 クリックすると、すぐに [ACTIONS] ボタンに変わり
アラートステータスは、Open になりました。
In Progress
次に、In Progress に変更してみます。
[ACTIONS] ボタンから、Change status -> In Progress を選択します。
ステータスが [In Progress] に変わりました。 このアラートが現在対応中であることをチームメンバーが把握できます。
Dissmiss
アラートを静観する場合は、[ACTIONS] → [Dissmiss] → [Dissmiss alert] を選択します。
ステータスが [Dissmissed] になりました。
[Dissmiss] ステータスと次にご紹介する [Closed] ステータスは、上図に記載の通り、Done グループに所属します。
Dismissed ステータスにしたアラートは、Done タブに移動します。
Dissmissed ステータスのアラートも、スヌーズ同様、[RE-OPEN] をクリックすることで [Open] に変更できます。
Closed
最後は、Closed ステータスです。
[Closed] ステータスにしてしまうと、他のステータスに戻せません。
以下は既にクローズしているアラートです。RE-OPEN がなく、Active グループにステータスが変更できない状態です。
ステータスの履歴
アラートページの下部に ALERT TIMELINE の項目があり、処理の履歴が確認できます。 人がオペレーションしたものに関しては、ユーザー情報が付与されますが、Slack に手動で通知したものや、[Scan Now] で手動スキャンしたものは記録されず、誰がアクションしたか?を判断するには Audit Logs を確認します。
Settings → Logs → Audit Logs と画面遷移すると、操作ログを確認できます。
どのようにしてアラートを管理するか?
Orca Security として明確な運用方法は展開されていませんが、メンバー間やチーム間で情報を連携する方法としてコメントが利用できます。
コメントを残すと、
ALERT TIMELINE に記録が残ります。
以上、アラートステータスを変更する方法をご紹介させていただきました。