こんにちは、Orca Security 担当の尾谷です。
先週、PoC を進めていただいているお客様のオフィスを訪問させていただき、Orca の使用感に関するヒヤリングをさせていただきました。
その中で、MFA を有効にしていない利用者の一覧を出したいとご希望いただきました。
Orca ならすぐに出せますので、ご紹介したいと思います。
結論
結論から書きますと、AI に作ってもらったクエリーが一番シンプルで早くフィルタリングできました。
以下、各クラウドごとにフィルタリングする方法をご紹介します。
AWS IAM ユーザー
コンソールにサインインするユーザーを炙り出したい場合
MFA を有効にしていないと AWS Users without MFA Enabled
というアラートを検知します。
このアラートの一覧を表示します。
- Discovery を開きます。
Alerts
をクリックします。Add Single Filters
をクリックします。Rule Type
を選択し、Select Parameter
にMFA
と入力します。user_without_mfa
にチェックを入れます。- root ユーザーのハードウェア MFA を確認する場合は、
aws_root_user_without_hardware_mfa
が利用できます。
コンソールにログインしないユーザーの一覧を表示したい場合
アセット一覧から表示する方法です。
コンソールにアクセスするユーザー以外にもアクセスキー払い出しに作成したユーザーもヒットします。
- Discovery を開きます。
- Query ボックスに
IAM
と入力します。表示された AWS IAM User のチェックボックスのチェックを入れます。
Add Filters
をクリックし、テキストボックスにMFA
と入力します。表示されたMFA Active
のチェックボックスにチェックを入れます。
- 最後に
Is Set
をIs Not Set
にすると、一覧が表示されます。
Azure ユーザー
Azure ユーザーの場合も検索方法は AWS と同様です。
- Discovery を開きます。
Alerts
をクリックします。Add Single Filters
をクリックします。Rule Type
を選択し、Select Parameter
にMFA
と入力します。az_non_privileged_users_without_mfa
とaz_privileged_users_without_mfa
にチェックを入れます。
その他クラウドの場合
Oracle Cloud ユーザーの場合は、以下フィルタリングをご利用ください。
- oci_user_with_disabled_mfa
Alibaba Cloud ユーザーの場合は、以下フィルタリングをご利用ください。
- alicloud_root_user_without_mfa
以上です。