ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security で特定のアラートを自動的に静観してみた

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、Orca Security 担当の尾谷です。

Automations を使って、特定のファイルに対するアラートを自動的にクローズする仕組みを考えました。

アラートのノイズ

Orca Security はアラートのノイズを軽減するために 優先順位をつけた検出が行える 素晴らしい機能を有しています。

対象のインスタンスがインターネットに直接接続できる状態か?(インターネットフェーシングしているか?) 起動中のインスタンスか、停止しているか?など文脈 (コンテキスト) を汲み取って、アラートに優先順位をつけて、本当に対応しないといけないアラートのみ Critical や High といった形で通知します。

どういうときに使う?

Orca Security がフィルタリングしてくれたアラートを更に自動で静観したいのはどういったときでしょうか。

例えば、ビジネスやサービスを提供するために、どうしても使わないといけないモジュールがあり、そのモジュールに脆弱性が見つかったとします。

Orca はすぐにそのモジュールをアラートとして検知するでしょう。ただ、企業としては代わりのモジュールがリリースされるまで使い続けないといけない場合 (もちろん、安全性を確保して、ですが。)、アラートを一時的に静観させておきたい、と考えるかも知れません。

今回の Tips は、そういったアラートを一時的に静観させたいときの方法です。

新たに検知するアラートを自動で対処

新たに検知したアラートは、Automations を使って、自動で静観処理できます。
例えば、Malware として検知した場合 (例では、Eicar ファイルを利用しています。)、アラートの Findings に SHA256 の記載が確認できます。

この SHA256 を Automations のトリガーに設定することで、対象を自動で静観させることができます。

既に検知しているアラートの適用方法

既に検知しているアラートに対しても適用する場合は、Automations のオプションにある Apply to existing Alerts のトグルスイッチを有効にします。

以下のようなメッセージが表示されるので、[Apply] ボタンをクリックします。

適用の際にも警告されます。

既に検知しているアラートは手動での対処も可能

また、既に検知しているアラートに関しては、手動で静観処理を行うこともできます。

※ アラートステータスを手動で変更する方法は こちらのブログ記事 でご紹介しています。

Automations の使い方

Automations の設定に関しては、Orca Security のドキュメントに詳細の記載がありません。
そのため、弊社はお客様からお問い合わせをいただくとベストエフォートで確認、検証、ご提示をさせていただいております。

是非、お気軽にご連絡ください。