ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security の CDR で検知した結果と、Discovery の結果が合わない理由

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、Orca Security 担当の尾谷です。

Orca Security は、Amazon GuardDuty を有効にしたアカウントを接続すると、GuardDuty が検出した脅威 GuardDuty Findings をインテグレーションし、そのアラートの文脈から Orca Security 側で重要度をつけて表示します。

Discovery で GuardDuty Findings の検索結果を表示する方法

Discovery で GuardDuty Findings の検索結果を表示するには、FIND に AWS GuardDuty Findings で検索し、チェックボックスにチェックを入れます。

デモ環境では、59 件の結果が表示されました。

CDR で検知した GuardDuty Findings を一覧表示する方法

Orca Security は SideScanning という特許を取得している検知手法によって脅威検出しますが、リアルタイム性がありません。スキャンではなく、CDR (Cloud Detection and Response) によって検知する手法 (現在、200 種類以上の対象がサポートされています。) であれば、リアルタイムで脅威が検出ができます。

左側のナビゲーションメニューにある CDR を開き、

Labels is source: GuardDuty として検索すると、GuardDuty にて検知したアラートの一覧を表示できます。

このデモ環境では、全部で 20 件を検知しています。

検知数が合わない理由

上記の検索結果が合わない理由をサポートに問い合わせたところ、以下のような概要が分かりました。

CDR の検出アルゴリズム

CDR は、GuardDuty Findings だけでなく Cloud Trail 等、クラウドプロバイダー側の Log を複数取り込んで、Orca Security が開発した CDR 専用の Anomalies Analyzer (異常検知) アルゴリズムで分析し、不正な試行と判断した場合にアラートとして検知する仕組みになっています。

ただ、結果をインテグレーションして表示しているわけではありません。

Discovery の表示結果

一方で、GuardDuty Findings は、Amazon GuardDuty で Findings した結果そのものを Object として取り扱い、文脈から重要度を区分してアラート表示します。

以上より、検索結果は同じにはなりません。

こういった Orca Security の疑問、質問は、弊社にて検証、確認しサポートさせていただきます。
ケースによっては、無料 PoC もご利用いただけますので、是非お問い合わせください。