フォージビジョン Orca Security のサービスサイト がオープンしました。
こんにちは、Orca Security 担当の尾谷です。
最近、僕は昔からホラー映画が大好きです。
古くは ブレインデッド や、死霊のはらわた II など名作 (迷作?) にハマり、夜な夜な何度も観ていました。そのあとは バイオハザード にもハマりましたし、10 年前は スーパーナチュラル のブームが到来しました。5 年前は ウォーキングデッド が来たりと、定期的に自分の中のホラーブームが来ます。
まだ見ぬ次回のマイ・ホラーブームが楽しみです。
はい、ということで今日はゾンビの話をしたいと思います。
閉じたはずのアラートが再びオープンする
といっても映画の話を始めるわけではなく、クローズしたはずのアラートが再びオープンするというゾンビ現象のエピソードをアウトプットしたいと思います。
以前、以下ブログ記事にてアラートのステータスについてまとめました。
Closed ステータスに変更したアラートは他のステータスに戻せないことはドキュメントにも記載があり、検証でも同様の挙動になりましたが、Orca をご利用いただいているお客様より
「CDR アラートは、手動で Done にしてもまた Open ステータスになって復活してくる。」
といった情報をいただきました。これは ホラー担当 Orca 担当としてとても気になりましたので検証をしてみました。
結論
長くなりますので、結論から先に記載します。
Orca Security から入手した情報です。
- Orca は、ユーザーがアラートを "Done" に移動すると、検証スキャンを行う
- 検証スキャンでは、問題が実際に修正されているかどうかをチェックする
- 検証スキャンで修正されていないと自動的にアラートを「再オープン」する
ゾンビ扱いしてすいません。。
Orca がしっかりフォローしてくれていたわけで、不具合ではありませんでした。
CDR とは
まずは、CDR の座学から。
Orca の CDR (Cloud Detection and Response) は、AWS をはじめとするクラウド プロバイダーのログと脅威インテリジェンス フィードを 24 時間 365 日監視します。
この情報と、クラウドのワークロードと構成に見られる既存のリスク、および会社の最も重要な資産の場所 (Crown Jewel) に関する Orca のインサイトを組み合わせることで、Orca はどのイベントが潜在的に危険か、即時対応が必要かを認識します。
CDR を利用することで、AWS CloudTrail や Amazon GuardDuty、AWS Security Hub が検知した脅威を本当に危険な脅威なのか判断することができます。
アラートを Done 処理してみた
最後に検証結果を記載しておきます。
CDR で検知したアラートを Done 処理してみました。
検知したときの状況は こちらのブログ記事 にまとめておりますが、AWS Guard Duty: User with UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom というアラートを選択して、Change Status から、Done を選択しました。
すると Orca Support の回答通りでした。
14:46 に Done 処理して、CLOSED ステータスになりましたが、直後に Verification scan が初期化された旨のメッセージが記録されており、17:22 には未解決ということで、再度アラートが Open されていました。
静観処理は Dismiss を利用する
一方で、Dismiss 処理を行うと復活することはありませんでした。
Dismiss は本来、False Positive なアラートを静観するための機能ですので、検証スキャンはトリガーされないのですね。
理に適っていると感じました。
以上です。
