フォージビジョン Orca Security のサービスサイト がオープンしました。
こんにちは、Orca Security 担当の尾谷です。
フォージビジョン エンジニア ブログでは、これまで Orca Security のアラート機能についての記事を ブログでまとめてきました。
今日は実際に検知したアラートを手動でスコアを変更した際のアラートの挙動について検証してみたいと思います。
AWS Cloud9 を利用する際に作成したロール
以下は僕の検証環境で Orca Security が検出したアラートです。
アラートの内容は「S3 バケットが暗号化されたアップロードを強制していない」という Informational アラートで、
対象の S3 バケットは 2022 年 1 月に ALB のアクセスログを保存するために利用し、そのまま放置してしまっていました。
不要なリソースを見つけてくれた Orca に感謝をしつつ、削除する前に検証に使ってみようと思います。
スコアリングを手動で変更してみる
まずはスコアの手動変更から試してみます。 Orca Security のスコアは 2.4 Informational ですが、意図的に 10.0 に変更してみます。
おぉっと。エマージェンシー!会社の Slack に通知が飛んでしまいましたので、慌てて作業起因である旨を補足しました。
推奨項目に沿って、対処します。
RECOMMENDED REMEDIATION に沿って、バケットポリシーを変更しました。
[Scan now] ボタンをクリックして再スキャンしてみます。
スキャンが始まりました!果たして点数は下がるのか。
スキャンは完了しましたが、スコアは 10 のままでした。
他のエンジニアが不安になるので、アラートスコアを手動で 2.9 に戻しました。
SHOW SCORE BREAKDOWN をクリックして展開したところ、User adjusted the Alert score という形でコメントが入っていました。
後日、Orca Security 社にも確認しましたが、User が変更したスコアは固定になるそうです。 勉強になりました。
併せてバケットも削除しました。ありがとうございました。