Orca Security
Versione integrazione: 8.0
Configura l'integrazione di Orca Security in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root UI | Stringa | https://{ui instance} | Sì | Radice dell'interfaccia utente dell'istanza Orca Security. |
| Radice API | Stringa | https://{api instance} | Sì | Radice API dell'istanza di Orca Security. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Token API | Stringa | N/D | Sì | Token API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server SIEM di Orca Security sia valido. |
Come generare la chiave API
- Vai a Impostazioni-> Integrazioni-> API Orca.
- Fai clic su Gestisci chiavi e poi su Genera una nuova chiave.
- Copia e incolla la chiave generata in Google SecOps.
Casi d'uso
- Importa gli avvisi.
- Recupera informazioni su asset o vulnerabilità.
- Triage degli avvisi.
- Monitorare la conformità.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Verifica la connettività a Orca Security con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Pubblica su
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Connessione al server Orca Security riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server di Orca Security. Error is {0}".format(exception.stacktrace) |
Generale |
Aggiorna avviso
Aggiorna un avviso in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Stringa | N/D | Sì | Specifica l'ID dell'avviso da aggiornare. |
| Verifica avviso | Casella di controllo | Deselezionata | No | Se abilitata, l'azione avvia la procedura di verifica per l'avviso. |
| Stato posticipo | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato di posticipo per l'avviso. |
| Giorni di posticipo | Stringa | 1 | No | Specifica il numero di giorni per cui l'avviso deve essere posticipato. Questo parametro è obbligatorio se il parametro "Stato posticipo" è impostato su "Posticipa". Se non viene fornito nulla, l'azione posticipa l'avviso di 1 giorno. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato da impostare per l'avviso. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Avviso con ID "{id}" aggiornato correttamente in Orca Security". Se viene segnalato l'errore "requested to set same configuration" (is_success=true): "Alert with ID "{id}" already has status "{status}" in Orca Security." (Avviso con ID "{id}" ha già lo stato "{status}" in Orca Security.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: {0}''.format(error.Stacktrace)" Se viene segnalato un altro errore: "Error executing action "Update Alert". Motivo: {error}." Se per il parametro "Stato posticipo" è selezionata l'opzione "Seleziona uno": "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: "Snooze Day" deve essere fornito. Se è selezionata l'opzione "Seleziona uno" per il parametro "Stato di sospensione" o "Stato" e il parametro "Verifica avviso" non è attivato: "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: è necessario fornire almeno uno dei seguenti parametri: "Stato", "Verifica avviso", "Posticipa avviso". |
Generale |
Aggiungi commento all'avviso
Aggiungi un commento all'avviso in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Stringa | N/D | Sì | Specifica l'ID dell'avviso a cui l'azione deve aggiungere un commento. |
| Commento | Stringa | N/D | Sì | Specifica il commento da aggiungere all'avviso. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Commento aggiunto correttamente all'avviso con ID "{id}" in Orca Security". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'avviso". Motivo: {0}''.format(error.Stacktrace)" Se viene segnalato un errore: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'avviso". Motivo: {error}." |
Generale |
Recupera dettagli asset
Descrizione
Recupera informazioni sugli asset da Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risorse | CSV | N/D | Sì | Specifica un elenco separato da virgole di ID asset per i quali vuoi restituire i dettagli. |
| Restituisci informazioni sulle vulnerabilità | Casella di controllo | Selezionata | No | Se abilitata, l'azione restituisce le vulnerabilità correlate all'asset. |
| Gravità minima per le vulnerabilità | DDL | Pericoloso Valori possibili:
|
No | La gravità minima da utilizzare per recuperare le vulnerabilità. |
| Numero massimo di vulnerabilità da recuperare | Numero intero | 50 | No | Specifica il numero di vulnerabilità da restituire per asset. Massimo: 100 |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se abilitata, l'azione crea un approfondimento per ogni asset arricchito. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un asset (is_success=true): "I seguenti asset sono stati arricchiti correttamente utilizzando le informazioni di Orca Security: {asset id}" Se i dati non sono disponibili per un asset (is_success=true): "L'azione non è riuscita ad arricchire i seguenti asset utilizzando le informazioni di Orca Security: {asset id}" Se i dati non sono disponibili per tutti gli asset (is_success=false): "Nessuno degli asset forniti è stato arricchito." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli asset". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: Dettagli asset Colonne della tabella:
|
Generale |
Ottenere informazioni sulla conformità
Ottieni informazioni sulla conformità in base ai framework selezionati in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi dei framework | CSV | N/D | No | Specifica un elenco separato da virgole dei nomi dei framework per cui vuoi recuperare i dettagli di conformità. Se non viene fornito nulla, l'azione restituisce informazioni su tutti i framework selezionati. |
| Numero massimo di framework da restituire | Numero intero | 50 | No | Specifica il numero di framework da restituire. |
| Crea approfondimento | Casella di controllo | Selezionata | Sì | Se attivata, l'azione crea un approfondimento contenente informazioni sulla conformità. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully returned information about compliance in Orca Security." (Informazioni sulla conformità restituite correttamente in Orca Security). Se non viene trovato un framework (is_success=true): "Le informazioni dei seguenti framework non sono state trovate in Orca Security. Controlla l'ortografia." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni informazioni sulla conformità". Motivo: {0}''.format(error.Stacktrace)" Se non vengono trovati tutti i framework (is_success=false): "Error executing action "Get Compliance Info". Motivo: nessuno dei framework forniti è stato trovato in Orca Security. Controlla l'ortografia. |
Generale |
| Tabella Bacheca casi | Nome tabella:Dettagli conformità Colonne della tabella:
|
Generale |
Scansione degli asset
Esegui la scansione degli asset in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risorse | Stringa | N/D | Sì | Specifica un elenco separato da virgole di ID asset per i quali vuoi restituire i dettagli. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un asset (is_success=true): "Scansione riuscita dei seguenti asset in Orca Security: {asset name}". Se i dati non sono disponibili per un asset o l'asset non viene trovato (is_success=true): "L'azione non è riuscita a eseguire la scansione dei seguenti asset utilizzando Orca Security: {asset name}" Se i dati non sono disponibili per tutti gli asset (is_success=false): "Nessuno degli asset forniti è stato scansionato." Messaggio asincrono: "Asset in attesa: {asset names}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Scansiona asset". Motivo: {0}''.format(error.Stacktrace)" Se si è verificato un timeout: "Errore durante l'esecuzione dell'azione "Scansiona asset". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Asset in attesa: {assets that are still in progress}. Aumenta il timeout nell'IDE." |
Generale |
Visualizzare i dettagli della vulnerabilità
Descrizione
Recupera informazioni sulle vulnerabilità da Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID CVE | CSV | N/D | No | Specifica un elenco separato da virgole di CVE da arricchire. |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se abilitata, l'azione crea un insight per ogni vulnerabilità arricchita. La creazione di insight non è influenzata dal filtro che può essere applicato con il parametro "Campi da restituire". |
| Numero massimo di asset da restituire | Numero intero | 50 | No | Specifica quanti asset correlati alla CVE restituire. Massimo: 10.000 |
| Campi da restituire | CSV | N/D | No | Specifica un elenco separato da virgole dei campi da restituire. Se le vulnerabilità non hanno campi specifici da restituire, i valori di questi campi vengono impostati su null. Nota:questo parametro controlla l'oggetto JSON, così come è stato compresso. Esempio: "object": {"id": 123} -> object_id è la chiave. |
| Output | DDL | JSON Valori possibili:
|
No | Specifica il tipo di output per l'azione. Se è selezionato "JSON", l'azione restituisce un risultato JSON normale. Se è selezionato "CSV", l'azione crea un file nella cartella di esecuzione dell'azione e il risultato JSON contiene un percorso a quel file. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per una vulnerabilità (is_success=true): "Le seguenti vulnerabilità sono state arricchite correttamente utilizzando le informazioni di Orca Security: {cve id}" Se i dati non sono disponibili per una vulnerabilità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti vulnerabilità utilizzando le informazioni di Orca Security: {id cve}" Se i dati non sono disponibili per tutte le vulnerabilità (is_success=false): "Nessuna delle vulnerabilità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli vulnerabilità". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
| Tabella Bacheca casi | Nome tabella: Dettagli vulnerabilità Colonne della tabella:
|
Generale |
Connettori
Per saperne di più su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Orca Security - Alerts Connector
Descrizione
Recupera informazioni sugli avvisi di Orca Security.
Configura il connettore di avvisi di Orca Security in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | asset_type_string | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern di espressione regolare da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Radice API | Stringa | https:/:8501 | Sì | Radice API dell'istanza di Orca Security. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Token API | Stringa | N/D | Sì | Token API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Filtro per categoria | CSV | N/D | No | Un elenco separato da virgole di nomi di categorie da utilizzare durante l'importazione degli avvisi. Nota:questo parametro è sensibile alle maiuscole. |
| Priorità minima di recupero | Stringa | N/D | No | La gravità minima da utilizzare per recuperare gli avvisi. Valori possibili: Compromesso, Compromissione imminente, Pericoloso, Informativo Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli avvisi. |
| Numero massimo di avvisi da recuperare | Numero intero | 100 | No | Numero di avvisi da elaborare per un'iterazione del connettore. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Deselezionata | Sì | Se abilitate, le liste dinamiche vengono utilizzate come lista nera. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Orca Security sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
| Filtro tipo di avviso | CSV | N/D | No | Tipo di avvisi da importare. Questo filtro funziona con il
parametro AlertType_value nella risposta. Esempio:
aws_s3_bucket_accessible_to_unmonitored_account |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.