Orca Security
Versi integrasi: 8.0
Mengonfigurasi integrasi Orca Security di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root UI | String | https://{ui instance} | Ya | Root UI instance Orca Security. |
| Root API | String | https://{api instance} | Ya | Root API instance Orca Security. |
| Kunci API | String | T/A | Ya | Kunci API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Token API | String | T/A | Ya | Token API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server SIEM Orca Security valid. |
Cara membuat kunci API
- Buka Settings-> Integrations-> Orca API.
- Klik Kelola Kunci, lalu klik Buat kunci baru.
- Salin dan tempel kunci yang dihasilkan ke Google SecOps.
Kasus Penggunaan
- Peringatan penyerapan.
- Mengambil informasi tentang aset atau kerentanan.
- Menyeleksi pemberitahuan.
- Memantau kepatuhan.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Uji konektivitas ke Orca Security dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Dijalankan pada
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
N/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Orca Security server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Failed to connect to the Orca Security server! Error is {0}".format(exception.stacktrace) |
Umum |
Perbarui Notifikasi
Memperbarui pemberitahuan di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Verifikasi Pemberitahuan | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan ini akan memulai proses verifikasi untuk pemberitahuan. |
| Status Tunda | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status tunda untuk notifikasi. |
| Hari Tunda | String | 1 | Tidak | Tentukan jumlah hari pemberitahuan harus ditunda. Parameter ini wajib diisi, jika parameter "Status Tunda" ditetapkan ke "Tunda". Jika tidak ada yang diberikan, tindakan akan menunda notifikasi selama 1 hari. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status yang akan ditetapkan untuk pemberitahuan. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully updated alert with ID "{id}" in Orca Security." (Berhasil memperbarui pemberitahuan dengan ID "{id}" di Orca Security.) Jika error "requested to set same configuration" dilaporkan (is_success=true): "Alert with ID "{id}" already has status "{status}" in Orca Security." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Update Alert". Reason: {0}''.format(error.Stacktrace)" Jika error lain dilaporkan: "Error executing action "Update Alert". Alasan: {error}." Jika "Pilih Satu" dipilih untuk parameter "Status Tunda": "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: "Hari Tunda" harus diberikan." Jika "Pilih Satu" dipilih untuk parameter "Status Tunda" atau "Status", dan parameter "Verifikasi Pemberitahuan" tidak diaktifkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: setidaknya salah satu parameter berikut harus diberikan: "Status", "Verifikasi Pemberitahuan", "Tunda Pemberitahuan". |
Umum |
Tambahkan Komentar ke Notifikasi
Menambahkan komentar ke notifikasi di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu ditambahkan komentar untuk tindakan. |
| Komentar | String | T/A | Ya | Tentukan komentar yang perlu ditambahkan ke notifikasi. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil menambahkan komentar ke pemberitahuan dengan ID "{id}" di Orca Security." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Add Comment To Alert". Reason: {0}''.format(error.Stacktrace)" Jika error dilaporkan: "Error executing action "Add Comment To Alert". Alasan: {error}." |
Umum |
Mendapatkan Detail Aset
Deskripsi
Mengambil informasi tentang aset dari Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID aset | CSV | T/A | Ya | Tentukan daftar ID aset yang dipisahkan koma yang detailnya ingin Anda tampilkan. |
| Mengembalikan Informasi Kerentanan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan menampilkan kerentanan yang terkait dengan aset. |
| Tingkat Keparahan Terendah untuk Kerentanan | DDL | Berbahaya Nilai yang Mungkin:
|
Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil kerentanan. |
| Jumlah Maksimum Kerentanan yang Akan Diambil | Bilangan bulat | 50 | Tidak | Tentukan jumlah kerentanan yang akan ditampilkan per aset. Maksimum: 100 |
| Create Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight untuk setiap aset yang diperkaya. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu aset (is_success=true): "Successfully enriched the following assets using information from Orca Security: {asset id}" Jika data tidak tersedia untuk satu aset (is_success=true): "Action wasn't able to enrich the following assets using information from Orca Security: {asset id}" Jika data tidak tersedia untuk semua aset (is_success=false): "None of the provided assets were enriched." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Get Asset Details". Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Aset Kolom Tabel:
|
Umum |
Mendapatkan Info Kepatuhan
Dapatkan informasi tentang kepatuhan berdasarkan framework yang dipilih di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama Framework | CSV | T/A | Tidak | Tentukan daftar nama framework yang dipisahkan koma yang ingin Anda ambil detail kepatuhannya. Jika tidak ada yang diberikan, tindakan akan menampilkan informasi tentang semua framework yang dipilih. |
| Jumlah Maksimum Framework yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah framework yang akan ditampilkan. |
| Create Insight | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan ini akan membuat insight yang berisi informasi tentang kepatuhan. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully returned information about compliance in Orca Security." Jika satu framework tidak ditemukan (is_success=true): "Information from the following frameworks wasn't found in Orca Security. Periksa ejaan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Get Compliance Info". Reason: {0}''.format(error.Stacktrace)" Jika semua framework tidak ditemukan (is_success=false): "Error executing action "Get Compliance Info". Alasan: tidak ada framework yang diberikan ditemukan di Orca Security. Periksa ejaan. |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Kepatuhan Kolom Tabel:
|
Umum |
Aset Pemindaian
Pindai aset di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID aset | String | T/A | Ya | Tentukan daftar ID aset yang dipisahkan koma yang detailnya ingin Anda tampilkan. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu aset (is_success=true): "Successfully scanned the following assets in Orca Security: {asset name}". Jika data tidak tersedia untuk satu aset atau aset tidak ditemukan (is_success=true): "Action wasn't able to scan the following assets using in Orca Security: {asset name}" Jika data tidak tersedia untuk semua aset (is_success=false): "None of the provided assets were scanned." Pesan asinkron: "Aset yang menunggu keputusan: {asset names}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Scan Assets". Reason: {0}''.format(error.Stacktrace)" Jika mengalami waktu tunggu habis: "Error executing action "Scan Assets". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Aset tertunda: {assets that are still in progress}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Mendapatkan Detail Kerentanan
Deskripsi
Mengambil informasi tentang kerentanan dari Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID CVE | CSV | T/A | Tidak | Tentukan daftar CVE yang dipisahkan koma yang perlu dilengkapi. |
| Create Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight untuk setiap kerentanan yang diperkaya. Pembuatan insight tidak terpengaruh oleh pemfilteran yang dapat dilakukan dengan parameter "Kolom yang Akan Ditampilkan". |
| Jumlah Maksimum Aset yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah aset terkait CVE yang akan ditampilkan. Maksimum: 10000 |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan daftar kolom yang dipisahkan koma yang perlu ditampilkan. Jika kerentanan tidak memiliki kolom tertentu untuk ditampilkan, nilai kolom tersebut akan disetel ke null. Catatan: Parameter ini memeriksa objek JSON, saat diratakan. Contoh: "object": {"id": 123} -> object_id adalah kuncinya. |
| Output | DDL | JSON Nilai yang Mungkin:
|
Tidak | Tentukan jenis output untuk tindakan. Jika "JSON" dipilih, tindakan akan menampilkan Hasil JSON reguler. Jika "CSV" dipilih, tindakan akan membuat file di folder eksekusi tindakan dan hasil JSON berisi jalur ke file tersebut. |
Dijalankan pada
Tindakan ini tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | True/False | is_success=False |
Hasil JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu kerentanan (is_success=true): "Successfully enriched the following vulnerabilities using information from Orca Security: {cve id}" Jika data tidak tersedia untuk satu kerentanan (is_success=true): "Action wasn't able to enrich the following vulnerabilities using information from Orca Security: {cve id}" Jika data tidak tersedia untuk semua kerentanan (is_success=false): "None of the provided vulnerabilities were enriched." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error executing action "Get Vulnerability Details". Reason: {0}''.format(error.Stacktrace)" |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Kerentanan Kolom Tabel:
|
Umum |
Konektor
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Orca Security - Alerts Connector
Deskripsi
Tarik informasi tentang pemberitahuan dari Orca Security.
Mengonfigurasi Orca Security - Alerts Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | asset_type_string | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https:/:8501 | Ya | Root API instance Orca Security. |
| Kunci API | String | T/A | Ya | Kunci API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Token API | String | T/A | Ya | Token API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Filter Kategori | CSV | T/A | Tidak | Daftar nama kategori yang dipisahkan koma yang harus digunakan selama penyerapan pemberitahuan. Catatan: Parameter ini peka huruf besar/kecil. |
| Prioritas Terendah yang Akan Diambil | String | T/A | Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: Disusupi, Akan disusupi, Berbahaya, Informasi Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat untuk mengambil pemberitahuan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 100 | Tidak | Jumlah pemberitahuan yang akan diproses per iterasi konektor. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Orca Security valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
| Filter Jenis Pemberitahuan | CSV | T/A | Tidak | Jenis pemberitahuan yang perlu diproses. Filter ini berfungsi dengan parameter
AlertType_value dalam respons. Contoh:
aws_s3_bucket_accessible_to_unmonitored_account |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.