こんにちは、Orca Security 担当の尾谷です。

Automations を使って、特定のファイルに対するアラートを自動的にクローズする仕組みを考えました。

アラートのノイズ

Orca Security はアラートのノイズを軽減するために 優先順位をつけた検出が行える 素晴らしい機能を有しています。

対象のインスタンスがインターネットに直接接続できる状態か？(インターネットフェーシングしているか？) 起動中のインスタンスか、停止しているか？など文脈 (コンテキスト) を汲み取って、アラートに優先順位をつけて、本当に対応しないといけないアラートのみ Critical や High といった形で通知します。

どういうときに使う？

Orca Security がフィルタリングしてくれたアラートを更に自動で静観したいのはどういったときでしょうか。

例えば、ビジネスやサービスを提供するために、どうしても使わないといけないモジュールがあり、そのモジュールに脆弱性が見つかったとします。

Orca はすぐにそのモジュールをアラートとして検知するでしょう。ただ、企業としては代わりのモジュールがリリースされるまで使い続けないといけない場合 (もちろん、安全性を確保して、ですが。)、アラートを一時的に静観させておきたい、と考えるかも知れません。

今回の Tips は、そういったアラートを一時的に静観させたいときの方法です。

新たに検知するアラートを自動で対処

新たに検知したアラートは、Automations を使って、自動で静観処理できます。
例えば、Malware として検知した場合 (例では、Eicar ファイルを利用しています。)、アラートの Findings に SHA256 の記載が確認できます。

この SHA256 を Automations のトリガーに設定することで、対象を自動で静観させることができます。

既に検知しているアラートの適用方法

既に検知しているアラートに対しても適用する場合は、Automations のオプションにある Apply to existing Alerts のトグルスイッチを有効にします。

以下のようなメッセージが表示されるので、[Apply] ボタンをクリックします。

適用の際にも警告されます。

既に検知しているアラートは手動での対処も可能

また、既に検知しているアラートに関しては、手動で静観処理を行うこともできます。

※ アラートステータスを手動で変更する方法は こちらのブログ記事 でご紹介しています。

Automations の使い方

Automations の設定に関しては、Orca Security のドキュメントに詳細の記載がありません。
そのため、弊社はお客様からお問い合わせをいただくとベストエフォートで確認、検証、ご提示をさせていただいております。

是非、お気軽にご連絡ください。