フォージビジョン Orca Security のサービスサイトがオープンしました。

こんにちは、Orca Security 担当の尾谷です。

Orca Security は、Amazon GuardDuty を有効にしたアカウントを接続すると、GuardDuty が検出した脅威 GuardDuty Findings をインテグレーションし、そのアラートの文脈から Orca Security 側で重要度をつけて表示します。

Discovery で GuardDuty Findings の検索結果を表示する方法

Discovery で GuardDuty Findings の検索結果を表示するには、FIND に AWS GuardDuty Findings で検索し、チェックボックスにチェックを入れます。

デモ環境では、59 件の結果が表示されました。

CDR で検知した GuardDuty Findings を一覧表示する方法

Orca Security は SideScanning という特許を取得している検知手法によって脅威検出しますが、リアルタイム性がありません。スキャンではなく、CDR (Cloud Detection and Response) によって検知する手法 (現在、200 種類以上の対象がサポートされています。) であれば、リアルタイムで脅威が検出ができます。

左側のナビゲーションメニューにある CDR を開き、

Labels is source: GuardDuty として検索すると、GuardDuty にて検知したアラートの一覧を表示できます。

このデモ環境では、全部で 20 件を検知しています。

検知数が合わない理由

上記の検索結果が合わない理由をサポートに問い合わせたところ、以下のような概要が分かりました。

CDR の検出アルゴリズム

CDR は、GuardDuty Findings だけでなく Cloud Trail 等、クラウドプロバイダー側の Log を複数取り込んで、Orca Security が開発した CDR 専用の Anomalies Analyzer (異常検知) アルゴリズムで分析し、不正な試行と判断した場合にアラートとして検知する仕組みになっています。

ただ、結果をインテグレーションして表示しているわけではありません。