ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security のカスタム CDR アラートを試してみた

新機能 AWS OrcaSecurity

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちは、Orca Security 担当の尾谷です。

昨日 (2023/06/29) 、目黒で開催された AWS re:Inforce 2023 re:Cap Seminar - 夜の部 〜セキュリティ最新アップデートを現地の様子とジャパンツアーの魅力と共に振り返る〜 に参加しまして、「Orca ブログ見てますよ!」とお声がけいただきました。
ありがとうございます!

今日は、2023 年 5 月にリリースされた新機能「CDR (Cloud Detection and Response) のカスタム アラート」を試しましたのでアウトプットします。

カスタムアラート

CDR のカスタム アラートは、作成したクエリ式を使用して定義されます。
この高度な検索方法を使用すると、フィールド名、値、条件、演算子、およびその他の自動化を組み合わせてアラートを作成できます。

Settings をクリックし、Modules にある Alerts Settings を選択します。

[Create a new rule] が表示されるので、[BLANK CANVAS] をクリックします。

アラート作成ページに画面遷移しますので、クラウド サービス プロバイダーに合わせたルールを作成します。

AWS の場合だと、以下の例に示すように、AWSCloudTrailEvent で始めます。
例えば、以下のクエリは削除されたすべての AWS S3 バケットについて警告します。

AwsCloudTrailEvent with EventSource = "s3.amazonaws.com" and EventName = "DeleteBucket"

AWS にてサポートされているイベントはドキュメントを参照ください。

Root アカウントによるログインを検出してみた

以下、Root アカウントのログインを確認するルールを試してみました。

AwsCloudTrailEvent with EventSource = "signin.amazonaws.com" and UserIdentity.type == "Root"

ルールを入力して、[TEST NOW] をクリックすると、過去のイベントを検索してくれます。
今年の 5 月に、個人アカウントにて検証ために Root でログインした履歴がヒットしました。
レスポンスはかなり早い印象です。

[NEXT] ボタンをクリックすると、アラート通知する際の Base Score とカテゴリーを設定する画面に遷移しました。
□ Allow Orca to adjust the score using asset context のチェックボックスにチェックを入れると、Orca が文脈からスコアを調整します。

ADD CUSTOM MANUAL REMEDIATION のチェックを入れると、修正文をカスタマイズできます。

[CREATE RULE] ボタンをクリックして、ルールを追加しました。

どれくらいのレスポンスで検知できるのか?

※ 2023/09/15 に CDR アラート改善のアップデートがありました。このアップデートが検知タイミングに影響するか改めて検証したいと思います。

Orca has historically created an alert for each event that is tracked in our CDR offering. We will now create a single alert with the events aggregated to the same user or asset, that includes more details and statics. As part of this change, open alerts tracking these events will be closed and new ones created with this new format.

CDR カスタムアラートはどれほどのレスポンスで検知できるのでしょうか。
個人アカウントに Root アカウントにてサインインをしてみました。
このアカウントには、AWS Config で Root アカウントが利用されると Slack 通知されるように設定してあります。

Root のサインインから約 4 分後に AWS Config が Root アカウントの利用を検知して、Slack 通知しました。

その後、5 分ごとにブラウザを更新して確認しましたが、アラートは検出されませんでした。
[TEST NOW] では検出しているので、CDR としてデータは取得できているようです。

別の設定を二度試しましたが、1 度目に表示されたのは 4 時間が経過してから、2 度目に試した際は、2 時間ほど経過した後でした。
仕様に関してサポートに問い合わせを進めております。
現段階では、リアルタイム性が低いようにも見受けられますが、自分で設定したアラートを検知できるのは有効な機能だと感じました。
日本語も使えました。

※ 2023/10/30 更新

再度試してみましたが、午前 07 時に検知したアラートが Orca コンソールに表示されたのは 14 時でした。
毎時間チェックをしていたので、ざっくりと 7 時間ほど遅延したことが分かりました。
15 分に一度チェックをしているのに、反映が遅いのは非常に残念です。

改善されたらご報告させていただきます!