ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security の検索ツールをご紹介します - ソナー篇

こんにちは、Orca Security 担当の尾谷です。

本ブログでは、Orca Security で利用可能なディスカバリー (Discovery) クエリビルダー とソナー (Sonar) という 2 つの高度な検索ツールをご紹介し、そのうちのソナーについて深く掘り下げて解説させていただきます。

クエリビルダーとソナーについて

クエリビルダーに関しては こちらの記事 でご紹介しています。

  • クエリビルダーは、データベースの深い理解やクエリ言語の知識がなくても利用できるように設計がされたユーザーフレンドリーな検索インターフェースが特徴

  • ソナーは、データベース構造とクエリ言語に関する知識と理解を前提とした高度な検索ツールで Orca データベースからあらゆる情報を取得可能

ソナーは高度な検索機能

ソナーはドキュメントではなく、別途 20 ページを超える PDF ファイルに仕様がまとめられています。
※ ソナーのドキュメントには、Orca Security ドキュメントからアクセスできます。

ソナーを使いこなすと、Orca Security でやれることが大きく拡がります。

ソナーは、ドメイン固有言語 (DSL) を提供します。クエリ ビルダー インターフェイスを使用してクエリを作成し、アラートまたはレポートに変換し、地理位置情報、タグ、危険な構成などのアイテム固有のものを監視できます。

ソナーは次のことを迅速かつ簡単に行うために設計されています。

  • データをクエリしてアセットをフィルタリングまたは検索
  • セキュリティ問題を調査
  • コンプライアンス違反、その他のセキュリティ問題を監視、警告
  • 資産/問題のグループを定義し、修正のために IT チームと DevOps チームに割り当て
  • アラートチケット発行の自動化

カタログ

[Use Catalog] をクリックすると、ソナーで利用できるクエリ対象が表示されます。

例えば、パブリックアクセスが可能な RDS データベースを列挙するには、Database をクリックし、RDS Database with public access を選択します。

すると、デモ環境では 2 つのデータベースが表示されました。

デモ環境です

ここで、and 条件を or に変更すると、0.0.0.0/0 のセキュリティグループが設定されたリソースか、パブリックアクセスが有効になった RDS か?が併せて表示されます。

ここからグルーピングしていくことも可能です。
例えば、Grouped by から、Group by Risk Level を選択すると、リスクスコアごとにグルーピングされます。
この機能は、Discovery Query Builder と一緒ですね。

さらに詳細なクエリも可能です。
and と入力して、Space を入れると候補が表示されます。
ルールをリセットする場合は、上部の Clear Rule をクリックします。

まとめ

いかがでしたでしょうか。
クエリビルダー機能よりも若干複雑ですが、使いこなすと非常に強力な検索ツールになります。

是非、クラウド資産管理に活用ください!