こんにちは、Orca Security 担当の尾谷です。

昨日 (2023/06/29) 、目黒で開催された AWS re:Inforce 2023 re:Cap Seminar - 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜 に参加しまして、「Orca ブログ見てますよ！」とお声がけいただきました。
ありがとうございます！

今日は、2023 年 5 月にリリースされた新機能「CDR (Cloud Detection and Response) のカスタム アラート」を試しましたのでアウトプットします。

カスタムアラート

CDR のカスタム アラートは、作成したクエリ式を使用して定義されます。
この高度な検索方法を使用すると、フィールド名、値、条件、演算子、およびその他の自動化を組み合わせてアラートを作成できます。

Settings をクリックし、Modules にある Alerts Settings を選択します。

[Create a new rule] が表示されるので、[BLANK CANVAS] をクリックします。

アラート作成ページに画面遷移しますので、クラウド サービス プロバイダーに合わせたルールを作成します。

AWS の場合だと、以下の例に示すように、AWSCloudTrailEvent で始めます。
例えば、以下のクエリは削除されたすべての AWS S3 バケットについて警告します。

AwsCloudTrailEvent with EventSource = "s3.amazonaws.com" and EventName = "DeleteBucket"

AWS にてサポートされているイベントはドキュメントを参照ください。

Root アカウントによるログインを検出してみた

以下、Root アカウントのログインを確認するルールを試してみました。

AwsCloudTrailEvent with EventSource = "signin.amazonaws.com" and UserIdentity.type == "Root"

ルールを入力して、[TEST NOW] をクリックすると、過去のイベントを検索してくれます。
今年の 5 月に、個人アカウントにて検証ために Root でログインした履歴がヒットしました。
レスポンスはかなり早い印象です。

[NEXT] ボタンをクリックすると、アラート通知する際の Base Score とカテゴリーを設定する画面に遷移しました。
□ Allow Orca to adjust the score using asset context のチェックボックスにチェックを入れると、Orca が文脈からスコアを調整します。

ADD CUSTOM MANUAL REMEDIATION のチェックを入れると、修正文をカスタマイズできます。

[CREATE RULE] ボタンをクリックして、ルールを追加しました。

どれくらいのレスポンスで検知できるのか？

CDR カスタムアラートはどれほどのレスポンスで検知できるのでしょうか。
個人アカウントに Root アカウントにてサインインをしてみました。
このアカウントには、AWS Config で Root アカウントが利用されると Slack 通知されるように設定してあります。

Root のサインインから約 4 分後に AWS Config が Root アカウントの利用を検知して、Slack 通知しました。

その後、5 分ごとにブラウザを更新して確認しましたが、アラートは検出されませんでした。
[TEST NOW] では検出しているので、CDR としてデータは取得できているようです。

別の設定を二度試しましたが、1 度目に表示されたのは 4 時間が経過してから、2 度目に試した際は、2 時間ほど経過した後でした。
仕様に関してサポートに問い合わせを進めております。
現段階では、リアルタイム性が低いようにも見受けられますが、自分で設定したアラートを検知できるのは有効な機能だと感じました。
日本語も使えました。