こんにちは、 Orca Security 担当の尾谷です。
以前、 以下の記事で、Orca Security に AWS アカウントを接続する方法をご紹介しました。
AWS アカウントに CloudFormation スタックを展開し、出力された ARN を Orca Security コンソールに入力したら、エフェメラルスキャナーによるセキュリティ・スキャンが始まります。 スキャンの仕組みは、以下の記事でご紹介しています。
このセキュリティ・スキャンはいつ終わるか確認する方法はあるのでしょうか。
以前の UI では、以下の画像の通り Alerts 画面の下部にスキャン状況が表示されていましたが、現在は UI が変わっています。
Orca Security のドキュメントに記載されている内容と実際の挙動を比較して確認しましたので、アウトプットさせていただきます。
アカウントを Orca に接続した直後
Orca Security のドキュメントには、[アカウント] ページにあるステータスを確認するように記載されています。
Status - must be Scanning or Online.
Scanning begins immediately after the connection between Orca and your cloud account is established. The initial scan time varies between a few minutes and a few hours. It's recommended to wait at least 24 hours after connecting a new account to get the complete security picture. Subsequent scans take significantly less time.The Online status means that the scan is finished.
Orca Security コンソールにて、左側のメニューペインにある Settings をクリックし、Account にある Accounts を開くと、Orca Security と接続したアカウントの一覧がリストアップされます。
以下画面の、左側にある Status が Online になっているとスキャンが完了している状態であるものの、接続してから最初の 24 時間は待って欲しい。と記載されています。
試しにアカウントを接続してみましたが、ステータスは Online になっているにも関わらず、インベントリの数は時間の経過とともに増えていきました。
手動スキャンした場合
次に、アカウント接続後、24 時間以上が経過したアカウントではどのような挙動になるか確認してみました。
以下のように、右端の三点リーダーから Scan を選択します。
すると、Status が Scanning に変わりました。
10 分ほど経過してから、ブラウザをリロードすると Online に戻りました。
NOTIFICATIONS で確認する
右上の鈴アイコンをクリックすると、NOTIFICATIONS が表示されます。 サクッとみたい場合はこちらが良さそうです。
システムログから判断する
2023 年 5 月時点で、まだベータ版の機能になりますが、System Logs で判断することもできます。
- Settings -> Logs -> System Logs と進みます。
- 右上の検索ボックスにて「Scan End」と入力して ENTER キーを押下すると、Event name に Scan End が含まれるものがフィルタリングされます。
まとめ
以上、アカウントを接続してからいつスキャンが終わったか確認する方法をご紹介しました。
なお、スキャンが終わったからといっても、脅威は毎日発生します。こちらのブログ で紹介しているように、Automations を利用してアラート通知させたり、自動修復を設定するなどして、セキュアな環境を構築していく必要があります。
ご不明点があれば、こちら までお気軽にご相談ください。