ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

フィルター機能を駆使した Orca Security の効率的な活用

こんにちは、Orca Security 担当の尾谷です。

Orca Security のような CNAPP とカテゴライズされる製品を使い始めたときに、最初に戸惑うのは、その多機能さではないでしょうか。

Orca Security は、膨大なアラートを重要度 (Severity) ごとに整理してくれたり、一貫したデザインで扱いやすい UI に定評がありますが、フィルター機能を利用ことで、より効率的にリスクを整理して認識できます。

今日は、Orca Security の便利なフィルタリング機能をご紹介します。

アカウントごとにリスクをフィルタリングする

例えばデモ環境では、20 近いアカウント (AWS、Azure、GCP、Alibaba、Oracle) に接続をしているため、以下のように Critical アラートを 235 件も検出しています。

この全てをひとつひとつドリルダウンして確認していくのはしんどいので、

デモ環境です。実際に運用している環境ではありません。

Discovery をクリックし

Account でフィルタリングをします。

すると、接続しているアカウントがリストアップされます。

デモ環境です。実際に運用している環境ではありません。

Settings > Account > Cloud Accounts を開いても同様の表示ができますが、上記方法だとリスクの平均スコアが確認できたり、アラートの一覧にアクセスできたりと詳細な情報を確認できます。

アカウントごとにアラートを分けて表示する

次にご紹介するのは、アカウントごとにアラートを分けて表示する方法です。

まず、Alerts を開き、Filters で、Account Id is アカウント ID でフィルタリングします。

デモ環境です。実際に運用している環境ではありません。

すると、235 件表示されていた Critical アラートが 5 件にフィルタリングされました。

このようにアカウントごとに分けて表示をすることで、各アカウントの担当者とコミュニケーションをとる際に、情報を整理して課題化できるのではないでしょうか。

この状態を View として保存できます。[Save View] をクリックして、

View 名をつけて保存すると、リストから選択できるようになります。

また、下図のように Shared View のチェックボックスにチェックを入れると他のユーザーと共有もできます。

Crown Jewel が設定されたアセット一覧を表示する

Attack Path はいくつか条件が揃うと表示されますが、その条件の一つに 「Crown Jewel が設定されていること」という要件があります。(詳しくは こちらの記事 でご紹介しています。)

ここでは、Crown Jewel が設定されたアラートだけフィルタリングする方法と、Attack Path が表示されるアラートのみフィルタリングする方法をご紹介します。

Crown Jewel が設定されたアラート一覧

まずは、Crown Jewel が設定されたアラートのみフィルターして表示する方法です。

Discovery を開き、Inventory でフィルタリングします。

更に、Add filters にて、Detected Crown Jewel Reason でテキスト検索をして、表示されたものを選択して設定します。

すると、Crown Jewel の設定理由が表示されます。

例えば、Data exposure (情報漏洩) や、Personal identifable information (PII、個人を特定する情報) などを含むという観点で設定されたものが含まれることが分かります。

単純に、Crown Jewel が設定されたリソースを全て表示する場合は、Is One of ではなく、 Is Set を利用します。

チェックボックスを全てチェックして、[APPLY FILTERS] ボタンをクリックして適用します。

すると、Crown Jewel が設定された項目が全て表示されます。

Attack Path が含まれるアラートをリスト表示する

Attack Path には必ず Crown Jewel が含まれますが、Crown Jewel が設定されたといって必ずしも Attack Path が表示されるアラートとは限りません。

Attack Path が表示されるものだけフィルタリングするには、ナビゲーションメニューから、Security Views にある Attack Paths を選択して表示します。

PII を含むカラムを調べる

PII (個人を特定する情報) を調べる方法は、こちらのブログ記事 でご紹介しています。
Discovery も Alerts と同様に、Save View から View として保存ができますので活用をしてください。

アカウント内で検知した脆弱性を一覧表示する

アカウント内で検知した脆弱性に関しては、Security > Vulnerabilities と表示することで確認ができます。脆弱性に関する詳細に関しては、こちらの記事 ) でご紹介しています。

その他、効率的なフィルタリング方法

Orca Security Japan 公式サイト記事 に、以下の効率的なフィルタリング方法が紹介されています。こちらも是非参考にして効率的なフィルタリングを View として保存して活用をしてみてください。

  1. インターネット接続している VM でかつ PII を持っているインスタンス
  2. 使われていない IAM ロール
  3. 特定のパッケージの依存性を持っている資産