こんにちは、Orca Security 担当の藤原です。
今日は、Orca Security で検知したアラートをレポートとしてメールで通知する方法をご紹介します。
※ アラートだけでなく、CDR (Cloud Detection And Response)、Compliance などもレポート出力できます。
大まかな流れ
Alerts よりレポートとして受け取りたい内容の検索条件を設定
レポート設定、メール通知を選択し、メールアドレスを指定
動作確認
アラートの条件設定
Alerts 画面に遷移します。
今回はCritical のみ表示するようフィルターを設定します。
フィルター設定後は、以下のような画面になります。
レポート設定
続けてレポート設定を行います。右上のアイコンをクリックし、「Geterate report」をクリックします。
レポート設定用の画面がポップアップで表示されます。
設定項目は以下の通りです。
- Report name : レポート送信時のメールタイトルに使用する文字列を設定します。レポートの一覧でも同名で表示されます。
- Format : レポートとして出力されるファイルをCSV、JSON、PDF から選択します。
ポイント! :
PDF形式を選択する場合、レポートのレコード数が1000以下にする必要があります。
1000を超える場合、エラーにはなりませんが、PDF以外の形式でレポートが生成される可能性があります。
上記の設定ができたら、Next をクリックします。
次の画面では、フィルター指定した内容の確認とレポートに含まれるカラムの設定をします。
今回は、デフォルトのカラム設定をそのまま使用します。
設定できたら、Next をクリックします。
最後の画面では、レポートの開始時期、レポートの頻度、出力先を指定します。
今回は、レポート設定後に即時実行するように「Generate Now」にチェックを入れたままにします。
上記にチェックを入れない場合、「Start on」の設定で任意の時間でレポート生成するように指定できます。「Repeat」をクリックして、レポートの生成頻度を指定します。今回。今回は「Daily」を選択します。
「Sharing」の項目でも色々な選択肢がありますが、今回は、「Send to」にメールアドレスを設定します。 設定できたら、DONE をクリックします。
レポート設定が成功したら、画面上部にメッセージが出ます。
動作確認
Setting 画面の「Reports」-> 「Scheduled Reports」をクリックすると、設定したレポートの一覧が確認できます。
レポート生成には少々時間がかかりますので気長に待ちます。
受信したメールが以下になります。
添付されたレポートは以下の通りです。
まとめ
数クリックでレポート設定が可能でした。
今回はメール通知でしたが、レポート出力先はSlackへの通知はもちろん、S3等のストレージにも出力できます。
日々の状況をストレージに保存しておいて、後からアラート状況の変化を可視化したりできそうです。別の機会に試してみようと思います。
実際の運用やOrca Security導入検討の際に役立てていただければ幸いです。