Orca Security の CDR が改善されたということなので試してみました

フォージビジョン Orca Security のサービスサイトがオープンしました。

こんにちは、Orca Security 担当の尾谷です。
2023 年 9 月、Orca より CDR アラートが改善されたとアナウンスがありました。

Orca Security はこれまで、CDR で追跡されるイベントごとにアラートを作成してきました。今後は、同じユーザーまたはアセットに集約されたイベントと、より詳細な統計情報を含む単一のアラートを作成します。この変更の一環として、これらのイベントを追跡する未解決のアラートは閉じられ、この新しいフォーマットで新しいアラートが作成されます。

要は、それぞれ別々にアラートを起票してきたアラートを関連する項目でまとめてくれるようなイメージでしょうか。

検証するための環境を用意するのに時間がかかりましたが、遅ればせながらアウトプットさせていただきます。

検証環境の準備

今回の検証では、AWS アカウントにてフレキシブルに CDR のアラートを出力する必要があり、フォージビジョンの AWS Organizations 配下に作成されたアカウントだと、AWS Control Tower の制御があって難しかったです。

そこで、AWS アカウントを新規発行して Orca Security と接続して試しました。

ルートユーザーでオペレーション

まず、AWS アカウントを作成して、アカウントの Root ユーザー (メールアドレス) でサインインし、AWS Security Hub と Amaozn GuardDuty を有効にしました。

その後、Amazon S3 バケットのパブリックアクセスブロックをオフにし、バケットポリシーにどこからでもアクセスできるように設定を追記しました。

普段啓蒙しているセキュリティのベストプラクティスを冒涜するようなオペレーションが続きましたので緊張しました。。

GuardDuty が反応

すると、瞬時に GuardDuty 警察が冒涜行為をロックオンしました。
S3 コンソールから Guard Duty コンソールに画面遷移したらもう表示されていたので、これは早い！！

検知した脅威は、以下の通りです。
ルートユーザーの認証情報が使われたという検知が 4 つと、S3 バケットの匿名アクセス、パブリックアクセスブロックの解除の合計 4 つを検知しました。

Policy:IAMUser/RootCredentialUsage (低)
Policy:IAMUser/RootCredentialUsage (低)
Policy:S3/BucketAnonymousAccessGranted (高)
Policy:S3/BucketBlockPublicAccessDisabled (低)

Orca Security での検知

上記、Guard Duty で検知したのは午前 7 時でしたが、Orca コンソールに表示されたのは 14 時でした。
検知が遅い課題は今年の 6 月にも検証でも発見していて、Orca Support にも調査を依頼して伝わっていますが、当時から改善されていません。

CDR は 15 分に一度チェックをする仕様なので、Orca コンソールに表示されるのが遅いのは非常に残念です。

techblog.forgevision.com

Orca では、Policy:IAMUser/RootCredentialUsage の脅威が AWS Guard Duty: User with Plicy:IAMUser/RootCredentialUsage という名称で、High アラートとして検知していました。
確かに GuardDuty で検知した RootCredentialUsage は 1 件にまとめられていました。

試しに Orca Security コンソール上で、Dismiss 処理を行い、静観させることにしました。