こんにちは、Orca Security 担当の尾谷です。
先週、PoC を進めていただいているお客様のオフィスを訪問させていただき、Orca の使用感に関するヒヤリングをさせていただきました。
その中で、MFA を有効にしていない利用者の一覧を出したいとご希望いただきました。
Orca ならすぐに出せますので、ご紹介したいと思います。
結論
結論から書きますと、AI に作ってもらったクエリーが一番シンプルで早くフィルタリングできました。
以下、各クラウドごとにフィルタリングする方法をご紹介します。
AWS IAM ユーザー
コンソールにサインインするユーザーを炙り出したい場合
MFA を有効にしていないと AWS Users without MFA Enabled というアラートを検知します。
このアラートの一覧を表示します。
- Discovery を開きます。
Alertsをクリックします。
Add Single Filtersをクリックします。
Rule Typeを選択し、Select ParameterにMFAと入力します。
user_without_mfaにチェックを入れます。- root ユーザーのハードウェア MFA を確認する場合は、
aws_root_user_without_hardware_mfaが利用できます。
コンソールにログインしないユーザーの一覧を表示したい場合
アセット一覧から表示する方法です。
コンソールにアクセスするユーザー以外にもアクセスキー払い出しに作成したユーザーもヒットします。
- Discovery を開きます。
- Query ボックスに
IAMと入力します。表示された AWS IAM User のチェックボックスのチェックを入れます。
Add Filtersをクリックし、テキストボックスにMFAと入力します。表示されたMFA Activeのチェックボックスにチェックを入れます。
- 最後に
Is SetをIs Not Setにすると、一覧が表示されます。
Azure ユーザー
Azure ユーザーの場合も検索方法は AWS と同様です。
- Discovery を開きます。
Alertsをクリックします。Add Single Filtersをクリックします。Rule Typeを選択し、Select ParameterにMFAと入力します。az_non_privileged_users_without_mfaとaz_privileged_users_without_mfaにチェックを入れます。
その他クラウドの場合
Oracle Cloud ユーザーの場合は、以下フィルタリングをご利用ください。
- oci_user_with_disabled_mfa
Alibaba Cloud ユーザーの場合は、以下フィルタリングをご利用ください。
- alicloud_root_user_without_mfa
以上です。
