ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security のリスクダッシュボードに追加可能なウィジェット 44 種類を全てご紹介します - 2023 年 6 月版

AWS OrcaSecurity

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちは、Orca Security 担当の尾谷です。

今日は、以前 こちらのブログ記事 でご紹介した Orca Security のリスクダッシュボード (Risk Dashboard) を掘り下げて解説してみたいと思います。
具体的には、追加できるウィジェットを全て解説し、追加した際の挙動などをまとめてご紹介します。

※ 本ブログでは 2023 年 6 月現在リリースされているウィジェットを取り上げております。
※ 今後、追加や削除により差分が発生する可能性がございます。

CIEM

1. Roles with cross-account trust

用意されているサイズ: [ S ]

Roles with cross-account trust

概要

Orca Security に接続されているアカウント内に存在するロールの総数と、クロスアカウントで信頼関係が設定されたロールの数と、クロスアカウントが可能な信頼関係が設定された寛容なロールの数を表示するダッシュボードです。

挙動

上図の Total roles をクリックすると、AWS IAM Role でフィルタリングされた状態で Discovery が開き、ページの下部には接続されている AWS アカウントの全てのロールが一覧で表示されます。

Roles with cross-account trust をクリックすると、AWS IAM Role、Cross Account Access が True、Is Permissive が False でフィルタリングされた状態で Discovery ページが開きます。

Permissive roles with cross-account trust をクリックすると、AWS IAM Role、Cross Account Access が True、Is Permissive が True でフィルタリングされた状態で Discovery ページが開きます。

2. IAM policy optimizer

用意されているサイズ: [ M ]

IAM policy optimizer

概要

セキュリティのベストプラクティスによると、ポリシーはユーザーやロールに直接アタッチするのではなく、ポリシーが設定された IAM グループをアタッチすべきである、とされています。
このウィジェットでは、最小特権の原則に則り、許可されたサービスの数と IAM グループで利用される数との間にギャップがどれほどあるかを可視化し、ポリシーを最小限の権限に絞った際に発生するリスクマージンを可視化します。

挙動

下図の Current をクリックすると、利用されていないポリシーのアクションと、Administrator 権限が付与されたポリシー、許可されたアクション、利用されているアクション数などが表示されます。

1 Policy をクリックすると、Orca AI が生成した推奨ポリシーを一つ設定するだけで軽減できるリスクの割合を、具体的な数字を根拠に説明します。
ここでは、1 つのポリシーを適用することで、リスクが 7107 から 430 に 93.33% も軽減できること、7107 存在されていた許可アクションが 477 まで絞り込めることなどが可視化されます。

上図の右側に表示されている [ View Remediation Plan ] ボタンをクリックすると、管理者の最近のアクティビティを AI が分析し最小限の特権を持つアクションを推奨表示します。現在はベータ版で AWS のみ提供されていますが、他のクラウドでの提供も予定されるとのことです。

3. Identity alerts

By severity

用意されているサイズ: [ S ]

Identity alerts

概要

IAM やアクセス、認証関連のアラートが重大度に分けて表示されます。

挙動

上図の SEE ALL をクリックすると、IAM の設定に誤りがあるリソースか、IAM 関連のアラートで且つ、重大度が Informational 以外で、ステータスがアクティブなものをフィルタリングした Discovery ページが開きます。

円グラフの重大度は、それぞれがクリックできるようになっており、クリックすると重大度をフィルタリングした Discovery が表示されます。

4. Identity assets overview

用意されているサイズ: [ S ]

Identity assets overview

概要

Orca Security に接続されているアカウント全ての Identity を表示します。
上図のデモ環境では、Identity は全部で 12,900 見つかっており、そのうち、ユーザーが 3,905、グループが 164、ロールが 8,063、ポリシーが 802 存在することが一目で分かります。

挙動

例えば、Users にマウスオーバーすると、各クラウドの内訳が表示されます。
どれかひとつをクリックすると、そのクラウドがフィルタリングされて Discovery ページが開きます。

5. Identities with anomaly behavior detected

用意されているサイズ: [ S ][ M ]

Identities with anomaly behavior detected

概要

異常検知アラートに関して Orca のリソーススコアを基準にリソースを並び替えて上位 10 個を表示します。

挙動

項目をクリックすると、アセットのクイックビューが表示されます。

Orca のリソーススコアにマウスカーソルを重ねると、スコアの計算方法が表示されます。
この計算方法に関しては、改めて別途ブログでご紹介したいと思います。

Alert にカーソルを合わせると、検知したアラートのリストが表示されます。

6. Least privilege adoption

用意されているサイズ: [ S ]

Least privilege adoption

概要

最小特権のベストプラクティスが適用されたユーザーを表示します。
デフォルトでは、アクティブユーザーのみを表示し Active users only のチェックボックスのチェックを外すことでアクティブでないユーザーも含めたドーナツグラフが表示されます。

7. Identities with attack paths

用意されているサイズ: [ S ]

Identities with attack paths

概要

Attack Path が含まれる Identity をリストアップします。

挙動

アラート名をクリックすると、アラートの詳細情報が表示されます。
Attack Path のタブをクリックすると、Attack Path が含まれるアラートが重要度の高いものから 10 件表示されます。

Attack Path の数 (デモ環境では 109 や 4 といった数字が表示された部分) をクリックすると、以下のように重大度とカテゴリーに分類されて一覧表示されます。

それ以外の項目をクリックすると、クイックビューが右側からスライド表示されます。

8. Riskiest identity and access assets

用意されているサイズ: [ S ][ M ]

Riskiest identity and access assets

概要

最も高いリスクを孕む Identity and access をトップ 10 のみ表示します。

これは、資産スコアと最大アラートスコアの組み合わせによって導き出されます。アセットクイックビューを開くには、項目をクリックします。結果ビューで ID およびアクセス資産の全リストを表示するには、[すべて表示]をクリックします。

挙動

まず、何もない項目をクリックすると、クイックビューが右側からスライド表示されます。

マウスオーバーした際に表示されるインフォメーションアイコンをクリックすると、解説が表示されます。

Orca のリソーススコアにマウスカーソルを重ねると、スコアの計算方法が表示されます。
この計算方法に関しては、改めて別途ブログでご紹介したいと思います。

リソース名をクリックするとインベントリが開き、詳細な情報が表示されます。

右側のアラートの数にマウスオーバーすると、内訳が表示されますし、

解説もポップアップ表示します。
クリックするとそのアラートのクイックビューが右側からスライド表示されます。

9. Top identity risks

用意されているサイズ: [ S ]

Top identity risks

概要

Identity and access 関連のリスクトップ 5 を表示します。

Compliance

10. Compliance overview

用意されているサイズ: [ S ][ M ]

Compliance overview

概要

クラウドリソースが、Compliance のフレームワークに適合しているか?その合格率が表示されます。

挙動

上図の右側にある SEE ALL をクリックすると、有効にした Compliance フレームワークが一覧表示されます。
例えば、デモ環境に表示されている K8s OWASP Top 10 をクリックすると、以下のように K8s OWASP Top 10 のみフィルタリングして表示されます。

GENERAL

9. Security score benchmark

用意されているサイズ: [ M ]

Security score benchmark

概要

Orca Security に接続されているアカウントのクラウドセキュリティパフォーマンスのベンチマークです。
このスコアは Orca Security に接続されている他の全てのアカウントのスコアを平均し比較します。
パーセンテージに基づいているため、異なる規模の他の組織や事業単位と客観的に比較できます。これらのパーセンテージが低いほど、セキュリティ スコアが高くなります。これは、他の全ての Orca 顧客と比較してセキュリティ ステータスが優れていることを意味します。

挙動

上図の右側にある SEE ALL をクリックすると、以下のような画面がポップアップ表示され、これまでのスコアの遷移が時間軸で表示されたり、スコアの詳細を確認できます。

10. Security score breakdown

用意されているサイズ: [ S ]

Security score breakdown

概要

セキュリティスコアを構成する以下の 5 つの測定カテゴリーで表示します。

  • 不審なアクティビティ
  • IAM
  • 危険なデータ
  • 脆弱なリソース
  • 応答性

挙動

各カテゴリーをクリックすると、カテゴリーごとのスコアリングが時系列で表示されます。

11. From the news

用意されているサイズ: [ S ][ M ][ L ]

From the news

概要

セキュリティ関連の最新ニュースを常にチェックすることで、サイバーセキュリティの動向を把握できます。
From the news は、Orca Security 独自の機能です。いくつかのコンテンツが混在しており、具体的なソースは公開されていませんが、CVSS 情報、Orca Security にて検知した脅威情報、それ以外のニュースなどを総合的に編集して公開されています。
SNS やメディア等外部のソースは News で公開されています。

以下はその例です。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29325
https://nvd.nist.gov/vuln/detail/CVE-2023-29325

挙動

ご利用中のクラウドリソースが、トピックのリスクに該当しない場合は [You are safe!] が表示されます。
リスクに該当するリソースが存在する場合は、重大度に分けてリソース数を列挙します。

項目をクリックすると、クイックビューが右側からスライド表示されます。

Inventry

12. Alert inventory

用意されているサイズ: [ M ]

Alert inventory

概要

アラートカテゴリのリストとアラートタイプ別に、全てのオープンアラートの内訳を表示します。
例えば、下図のデモ画面ですと全体で 55,300 万件ほどのアラートを検知しており、ワークロードの設定ミスが検出されたアラートが 26,000 万件程度、脆弱性が検出されたアラートが 14,000 万件程度発生しているといった状況が把握できます。

挙動

アラートの総数 (デモでは 55.3K) をクリックすると、Discovery で各カテゴリごとにアラートがリストアップされます。

Workload Misconfigurations (デモでは 25.9K) をクリックすると、Workload Misconfigurations のカテゴリのみがフィルタリングしてリストアップされます。

13. Asset inventory

用意されているサイズ: [ M ]

Asset inventory

概要

Orca Security に接続している全てのクラウドアカウントのリソースをカウントして一覧表示します。
例えば、以下のデモ環境ですと 29,200 程のリソースが表示されており、

14,900 の Identity And Access にマウスオーバーすると、Access と、User の内訳が表示されます。
それぞれをクリックすることができ、クリックするとフィルタリングされた Discovery ページが開きます。

14. Accounts

用意されているサイズ: [ S ]

Accounts

概要

今月追加された ウィジェットです。
シンプルに現在接続されているアカウントが、クラウドプロバイダーごとに分類されて表示されます。

15. VMs & Containers inventory [ NEW ]

By cloud provider

用意されているサイズ: [ S ]

VMs & Containers inventory

概要

今月追加された ウィジェットです。
クラウドプロバイダーごとに VM とコンテナの割合が表示されます。

16. VMs & Containers inventory [ NEW ]

By state

用意されているサイズ: [ S ]

VMs & Containers inventory

概要

ステータスごとに VM とコンテナの割合が表示されます。

DSPM

17. Attack paths leading to data assets

用意されているサイズ: [ S ]

Attack paths leading to data assets

概要

Attack Path をカウントして、重大度ごとに並び替えます。

Security

18. Alerts

By severity

用意されているサイズ: [ S ]

Alerts

概要

アラートの重大度レベル別にアラートを表示します。重大度レベルをクリックすると、Discovery で対応するクエリに移動します。

19. Alerts pending action

用意されているサイズ: [ S ][ M ][ L ]

Alerts pending action

概要

指定した時間範囲に作成され、ステータスが Open のままアクションが保留になっているアラートを表示します。
アラートのステータスに関しては、こちらのブログ記事 にてご紹介しています。

挙動

マウスオーバーすると、アラートの総数と、各重大度の内訳が表示されます。

それぞれのメトリックがクリックでき、フィルタリングされた Alert ページが表示されます。

20. Attack Paths

用意されているサイズ: [ S ]

Attack Paths

概要

Attack Path をサマリー表示します。
Attack Path に関しては、こちらの記事 にて詳細をご紹介しています。

挙動

各 Attack Path をクリックすると、より詳細な表示へリダイレクトされます。
例えば「Data: Data exposure」をクリックすると、Security Views の Attack Paths ページに画面遷移し「Crown Jewel Reason」が「Data: Data exposure」に設定されたリソースに対する Attack Path 一覧が表示されます。

SEE ALL をクリックすると、Security Views の Attack Paths ページに画面遷移して全ての Attack Path が表示されます。

21. Internet facing databases with PII

用意されているサイズ: [ S ][ M ]

Internet facing databases with PII

概要

インターネットに面したデータベースで、センシティブなデータ (PII) が含まれると思われるデータベースが表示されます。
センシティブデータに関しては こちらのブログ記事 でご紹介しています。

挙動

Inventory が Storage で、PII を含むもの、且つ Internet facing であるものが Discovery ページで表示されます。

22. Major insights

用意されているサイズ: [ S ]

Major insights

概要

接続したアカウントの概要を表示します。主なセキュリティ問題を一目で把握できます。

23. MITRE attack

用意されているサイズ: [ S ]

MITRE attack

概要

接続したアカウント内の全ての MiTRE アラートの内訳をレーダーチャートで表示します。
マウスオーバーすると、アラート数が表示されます。

24. Open vs. resolved alerts

用意されているサイズ: [ S ]

Open vs. resolved alerts

概要

Open ステータスのアラートと、Closed ステータスのアラートを時系列で表示します。過去1年、過去3ヶ月、過去1ヶ月、過去1週間から選択できます。また、アラートの深刻度(重要、高、中)でフィルタリングすることができます。

25. Risk categories alerts over time

用意されているサイズ: [ M ][ L ]

Risk categories alerts over time

概要

選択した時間帯に Open したアラートの推移が表示されます。

挙動

Category のドロップダウンボックスをクリックすると、Malware だとか、System Integrity などのカテゴリーでフィルタリングできます。

Time Range のドロップダウンボックスから、先週、先月、過去 3 ヶ月、一年で範囲が変更されます。

Risk Level のドロップダウンボックスから、重大度がフィルタリングできます。

CSV ダウンロードボタンもあります。

26. Alerts over time

用意されているサイズ: [ S ]

Alerts over time

概要

アラートの件数を時系列で表示します。

挙動

Time Range のドロップダウンボックスをクリックすると、過去 1 年、過去 3 ヶ月、過去 1 ヶ月、過去 1 週間から期間を選択できます。

Risk Level のドロップダウンボックスをクリックすると、アラートの重大度(重要、高、中)でフィルタリングができます。

27. Top Alerts

用意されているサイズ: [ S ][ M ]

Top Alerts

概要

アラートのスコアが高いものから順番にリストアップされます。

28. Top assets with OS reached end-of life support

用意されているサイズ: [ S ][ M ]

Top assets with OS reached end-of life support

概要

OS が EOL (End Of Life) になっているリソースで、脆弱性の重大度のスコアが高いものから降順で並んで表示されます。

挙動

[?] アイコンにマウスカーソルを合わせると、解説が表示されます。

リソース名をクリックすると、Inventory が開きます。

Vulnerabilities をクリックすると、該当リソースで検知した脆弱性が一覧で列挙されます。

29. Top authentication alerts

用意されているサイズ: [ S ][ M ]

Top authentication alerts

概要

認証に関連するアラートを重大度が高いものからランキングし、トップ 10 を表示します。

挙動

アラート名をクリックすると、Alert ページが開き詳細情報が表示されます。

ステータスをクリックすると、アラートページの URL がクリップボードにコピーされます。

30. Top network misconfiguration alerts

用意されているサイズ: [ S ][ M ]

Top network misconfiguration alerts

概要

ネットワーク設定が不適切なアラートが表示されます。

挙動

SEE ALL をクリックすると、アラートカテゴリーが、Network misconfigurations で且つ、アクティブなアラートでフィルタリングされた Discovery が開きます。

アラート名をクリックすると、Alert ページが開き詳細情報が表示されます。

ステータスをクリックすると、アラートページの URL がクリップボードにコピーされます。

JIRA アイコンをクリックするとサブメニューが開き、各種機能にて連携ができます。

Azure アイコンから Azure DevOps と連携ができます。

SERVICENOW アイコンから SERVICENOW ITSM と連携できます。

31. Top workload misconfiguration alerts

用意されているサイズ: [ S ][ M ]

Top workload misconfiguration alerts

概要

ワークロードの誤設定に関連するアラートのトップを表示します。

挙動

挙動は、前述の Top network misconfiguration alerts とほぼ同じです。
項目をクリックすると、クイックビューが右側からスライド表示されます。

VULNERABILITY MANAGEMENT

32. Assets affected by OpenSSL critical vulnerability

用意されているサイズ: [ S ][ M ]

Assets affected by OpenSSL critical vulnerability

概要

バージョン 3.0.7 以前の OpenSSL に重大な脆弱性が発見されました。
そのため、OpenSSL の脆弱性を孕むリソースを列挙します。

挙動

リソースごとに、重大度の高いアラートを含むリソースから順番に並べられます。

33. Vulnerable assets

用意されているサイズ: [ S ]

Vulnerable assets

概要

脆弱性を含むリソースをカウントして重大度ごとに分けて、ドーナツグラフで表示します。

34. Vulnerable public facing assets

用意されているサイズ: [ S ]

Vulnerable public facing assets

概要

インターネットに面したリソースで CVSS のスコアが高いものを重大度に分けて、ドーナツグラフで表示します。

35. Most vulnerable assets

用意されているサイズ: [ M ]

Most vulnerable assets

概要

各リソースごとに CVSS の脆弱性リストに合致した数をカウントして、最も多く脆弱性が検知されたリソースを数の多いものから降順に並べます。

挙動

リソース名をクリックすると、Inventory ページが開き、詳細情報が表示されます。

検知数が記載された Vulnerabilities をクリックすると、検知した脆弱性が全て表示されます。

36. Patch Compliance - UNIX Containers

用意されているサイズ: [ S ]

Patch Compliance - UNIX Containers

概要

コンプライアンス基準として、リソースが稼動していて、以下の基準を満たす脆弱性が少なくとも 1 つあるコンテナを表示します。

  • 60日以上前にリリースされたもの
  • CVSS スコアが 7.0 以上のもの
  • その脆弱性に対するパッチ/修正プログラムがリリースされている

37. Patch Compliance - UNIX VMs

用意されているサイズ: [ S ]

Patch Compliance - UNIX VMs

概要

コンプライアンス基準として、リソースが稼動していて、以下の基準を満たす脆弱性が少なくとも 1 つある VM を表示します。

38. Vulnerabilities By CVSS3 severity

用意されているサイズ: [ S ]

Vulnerabilities By CVSS3 severity

概要

CVSS のスコアリングを元にした重大度ごとに脆弱性を一目で確認できます。

挙動

SEE ALL をクリックすると、CVSSv3 の Vulnerability でフィルタリングされた Discovery ページが開きます。

それぞれの重大度をクリックすると、上記にそれぞれの重大度でフィルタリングされて、Discovery ページが開きます。

39. Patch Compliance - Windows Containers

用意されているサイズ: [ S ]

Patch Compliance - Windows Containers

概要

Windows コンテナのパッチコンプライアンスを表示します。

40. Patch Compliance - Windows VMs

用意されているサイズ: [ S ]

Patch Compliance - Windows VMs

概要

Windows VM のパッチコンプライアンスを表示します。

EXTERNAL EXPOSURE

41. Alerts on exposed assets

用意されているサイズ: [ S ]

Alerts on exposed assets

概要

インターネットに面したリソースにおける重大度別のアラート分布。

42. Exposed assets with high severity alerts

用意されているサイズ: [ S ][ M ]

Exposed assets with high severity alerts

概要

インターネットに接続された資産で、リスクレベルが高いものから順に重要なアラートが表示されます。

APPLICATIONS

43. Application versions inventory

用意されているサイズ: [ S ][ M ][ L ]

Application versions inventory

概要

インストールされている各アプリケーションがバージョンごとに表示されます。

挙動

Amazon SSM Agent や、Nginx などアプリケーションにてチェックボックスにチェックを入れてフィルタリングできます。

44. Most common applications

用意されているサイズ: [ S ][ M ][ L ]

Most common applications

概要

Orca Security に接続したアカウントで稼働するアプリケーションをカウントし、最も多く利用されているアプリケーションから降順に並べて表示します。

挙動

SEE ALL をクリックすると、アプリケーションでフィルタリングされた Discovery ページが表示されます。

各アプリケーション名をクリックすると、アプリケーション名でフィルタリングされた Discovery ページが表示されます。

まとめ

以上、Orca Security の Risk Dashboard に追加可能なウィジェット 44 種類を全てご紹介させていただきました。
繰り返しになりますが、追加できるウィジェットは続々と追加されているため、見つからない場合は、是非教えてください。