ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security の Automations を利用して脅威検知を Slack 通知してみた

こんにちは、スマート家電が大好きな尾谷です。
今年の夏も暑くなりそうですね。最近、Switchbot さんが SwitchBot 温湿度計プラス をプレゼントしてくださったので、自動でクーラーを入れる仕組みを導入する予定です。

あとは、家族との温度差さえ埋めれば完璧です!が、先は長そうです。。

Automations

Orca Security の Automations を使用すると、アラート選択ルールを定義できます。
スマート家電のトリガーによく利用される IFTTT のような感覚で、ノーコードで設定ができます。

例えば、アラートステータスが Open で、Orca Risk レベルが High か Critical の場合に Slack 通知したい場合は、以下のように設定をします。

  1. 左側のナビゲーションペインにある Automations を選択し、[CREATE AUTOMATION] ボタンをクリックします。
  2. 手順とは逸れますが、この Enabled のトグルを入れ替えることで、通知の ON/OFF を迅速に行えます。
  3. TRIGGER QUERY の部分で、アクションを実行する条件を指定します。ここでは、アラートステータスが Open で、Orca Risk レベルが High か Critical の場合にアクションをトリガーさせます。また、DEFINE RESULTS にて Slack 通知を設定します。
  4. 通知先の Slack チャンネルは、Settings > Integrations にある SLACK の [CONFIGURE] ボタンから追加できます。
  5. 上記のルールに一致すると、Slack の Webhook がトリガーされて以下のような通知が届きます。

さまざまなアクションを設定可能

本ブログではアラートを Slack に通知するアクションを追加しましたが、その他にも、アラートの重大度を変更したり、アラート自体を却下したり、チケットをオープンしたり、PagerDuty などのサードパーティ サービスにアラートをエクスポートしたり、自動修復を行ったりとシステム アクションをトリガーされることができます。

Automations は、検知したセキュリティ脅威に対して 24時間365日で迅速に対応するのに役立ちます。

是非、有効活用をしてみてください。