ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Securiry レポート設定とメール通知 についてご紹介

こんにちは、Orca Security 担当の藤原です。

今日は、Orca Security で検知したアラートをレポートとしてメールで通知する方法をご紹介します。

※ アラートだけでなく、CDR (Cloud Detection And Response)、Compliance などもレポート出力できます。

大まかな流れ

  1. Alerts よりレポートとして受け取りたい内容の検索条件を設定

  2. レポート設定、メール通知を選択し、メールアドレスを指定

  3. 動作確認

アラートの条件設定

  • Alerts 画面に遷移します。

  • 今回はCritical のみ表示するようフィルターを設定します。

  • フィルター設定後は、以下のような画面になります。

レポート設定

  • 続けてレポート設定を行います。右上のアイコンをクリックし、「Geterate report」をクリックします。

  • レポート設定用の画面がポップアップで表示されます。

  • 設定項目は以下の通りです。

    • Report name : レポート送信時のメールタイトルに使用する文字列を設定します。レポートの一覧でも同名で表示されます。
    • Format : レポートとして出力されるファイルをCSV、JSON、PDF から選択します。

ポイント! :
PDF形式を選択する場合、レポートのレコード数が1000以下にする必要があります。 1000を超える場合、エラーにはなりませんが、PDF以外の形式でレポートが生成される可能性があります。

  • 上記の設定ができたら、Next をクリックします。

  • 次の画面では、フィルター指定した内容の確認とレポートに含まれるカラムの設定をします。
    今回は、デフォルトのカラム設定をそのまま使用します。
    設定できたら、Next をクリックします。

  • 最後の画面では、レポートの開始時期、レポートの頻度、出力先を指定します。

  • 今回は、レポート設定後に即時実行するように「Generate Now」にチェックを入れたままにします。
    上記にチェックを入れない場合、「Start on」の設定で任意の時間でレポート生成するように指定できます。

  • 「Repeat」をクリックして、レポートの生成頻度を指定します。今回。今回は「Daily」を選択します。

  • 「Sharing」の項目でも色々な選択肢がありますが、今回は、「Send to」にメールアドレスを設定します。 設定できたら、DONE をクリックします。

  • レポート設定が成功したら、画面上部にメッセージが出ます。

動作確認

  • Setting 画面の「Reports」-> 「Scheduled Reports」をクリックすると、設定したレポートの一覧が確認できます。

  • レポート生成には少々時間がかかりますので気長に待ちます。

    • 受信したメールが以下になります。

    • 添付されたレポートは以下の通りです。

まとめ

数クリックでレポート設定が可能でした。
今回はメール通知でしたが、レポート出力先はSlackへの通知はもちろん、S3等のストレージにも出力できます。
日々の状況をストレージに保存しておいて、後からアラート状況の変化を可視化したりできそうです。別の機会に試してみようと思います。
実際の運用やOrca Security導入検討の際に役立てていただければ幸いです。