ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security で MFA を有効化していないユーザーを炙り出す

こんにちは、Orca Security 担当の尾谷です。

先週、PoC を進めていただいているお客様のオフィスを訪問させていただき、Orca の使用感に関するヒヤリングをさせていただきました。

その中で、MFA を有効にしていない利用者の一覧を出したいとご希望いただきました。
Orca ならすぐに出せますので、ご紹介したいと思います。

結論

結論から書きますと、AI に作ってもらったクエリーが一番シンプルで早くフィルタリングできました。

以下、各クラウドごとにフィルタリングする方法をご紹介します。

AWS IAM ユーザー

コンソールにサインインするユーザーを炙り出したい場合

MFA を有効にしていないと AWS Users without MFA Enabled というアラートを検知します。
このアラートの一覧を表示します。

  1. Discovery を開きます。
  2. Alerts をクリックします。
  3. Add Single Filters をクリックします。
  4. Rule Type を選択し、Select ParameterMFA と入力します。
  5. user_without_mfa にチェックを入れます。
  6. root ユーザーのハードウェア MFA を確認する場合は、aws_root_user_without_hardware_mfa が利用できます。

コンソールにログインしないユーザーの一覧を表示したい場合

アセット一覧から表示する方法です。
コンソールにアクセスするユーザー以外にもアクセスキー払い出しに作成したユーザーもヒットします。

  1. Discovery を開きます。
  2. Query ボックスに IAM と入力します。表示された AWS IAM User のチェックボックスのチェックを入れます。
  3. Add Filters をクリックし、テキストボックスに MFA と入力します。表示された MFA Active のチェックボックスにチェックを入れます。
  4. 最後に Is SetIs Not Set にすると、一覧が表示されます。

Azure ユーザー

Azure ユーザーの場合も検索方法は AWS と同様です。

  1. Discovery を開きます。
  2. Alerts をクリックします。
  3. Add Single Filters をクリックします。
  4. Rule Type を選択し、Select ParameterMFA と入力します。
  5. az_non_privileged_users_without_mfaaz_privileged_users_without_mfa にチェックを入れます。

その他クラウドの場合

Oracle Cloud ユーザーの場合は、以下フィルタリングをご利用ください。

  • oci_user_with_disabled_mfa

Alibaba Cloud ユーザーの場合は、以下フィルタリングをご利用ください。

  • alicloud_root_user_without_mfa

以上です。