Orca Security
Integrationsversion: 8.0
Orca Security-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| UI-Stammknoten | String | https://{ui instance} | Ja | UI-Root der Orca Security-Instanz. |
| API-Stamm | String | https://{api instance} | Ja | API-Stammverzeichnis der Orca Security-Instanz. |
| API-Schlüssel | String | – | Ja | API-Schlüssel des Orca Security-Instanzkontos. Wenn sowohl der Parameter „API-Schlüssel“ als auch der Parameter „API-Token“ angegeben werden, wird der Parameter „API-Token“ verwendet. |
| API-Token | String | – | Ja | API-Token des Kontos der Orca Security-Instanz. Wenn sowohl der Parameter „API-Schlüssel“ als auch der Parameter „API-Token“ angegeben werden, wird der Parameter „API-Token“ verwendet. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Orca Security-SIEM-Server gültig ist. |
API-Schlüssel generieren
- Rufen Sie Einstellungen > Integrationen > Orca API auf.
- Klicken Sie auf Schlüssel verwalten und dann auf Neuen Schlüssel generieren.
- Kopieren Sie den generierten Schlüssel und fügen Sie ihn in Google SecOps ein.
Anwendungsbereiche
- Aufnahmebenachrichtigungen.
- Informationen zu Assets oder Sicherheitslücken abrufen.
- Benachrichtigungen priorisieren
- Compliance im Blick behalten
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Ping
Testen Sie die Verbindung zu Orca Security mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Orca Security server with the provided connection parameters!“ (Die Verbindung zum Orca Security-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn nicht erfolgreich: „Verbindung zum Orca Security-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Benachrichtigung ändern
Aktualisieren Sie eine Benachrichtigung in Orca Security.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die ID der zu aktualisierenden Benachrichtigung an. |
| Warnung bestätigen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion der Bestätigungsvorgang für die Benachrichtigung gestartet. |
| Status „Zurückstellen“ | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Schlummerstatus für die Benachrichtigung an. |
| Tage mit Schlummerfunktion | String | 1 | Nein | Geben Sie an, wie viele Tage die Benachrichtigung pausiert werden soll. Dieser Parameter ist erforderlich, wenn der Parameter „Snooze State“ auf „Snooze“ gesetzt ist. Wenn nichts angegeben wird, wird die Benachrichtigung für einen Tag pausiert. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Status an, der für die Benachrichtigung festgelegt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully updated alert with ID "{id}" in Orca Security.“ (Die Benachrichtigung mit der ID „{id}“ wurde in Orca Security aktualisiert.) Wenn der Fehler „requested to set same configuration“ (Anfrage zum Festlegen derselben Konfiguration) gemeldet wird (is_success=true): „Alert with ID "{id}" already has status "{status}" in Orca Security.“ (Die Benachrichtigung mit der ID „{id}“ hat in Orca Security bereits den Status „{status}“.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Benachrichtigung aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Benachrichtigung aktualisieren‘. Grund: {error}.“ Wenn für den Parameter „Snooze State“ (Schlummerstatus) die Option „Select One“ (Eine auswählen) ausgewählt ist: „Error executing action ‚Update Alert‘“ (Fehler beim Ausführen der Aktion „Update Alert“). Grund: „Snooze Day“ muss angegeben werden.“ Wenn für den Parameter „Snooze State“ oder „Status“ die Option „Select One“ ausgewählt ist und der Parameter „Verify Alert“ nicht aktiviert ist: „Error executing action ‚Update Alert‘.“ Grund: Mindestens einer der folgenden Parameter muss angegeben werden: „Status“, „Verify Alert“, „Snooze Alert“. |
Allgemein |
Benachrichtigung kommentieren
Fügen Sie einer Benachrichtigung in Orca Security einen Kommentar hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die ID der Benachrichtigung an, der durch die Aktion ein Kommentar hinzugefügt werden soll. |
| Kommentar | String | – | Ja | Geben Sie den Kommentar an, der der Benachrichtigung hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully added a comment to alert with ID "{id}" in Orca Security.“ (Es wurde erfolgreich ein Kommentar zur Benachrichtigung mit der ID „{id}“ in Orca Security hinzugefügt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Kommentar zur Benachrichtigung hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn ein Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Kommentar zur Benachrichtigung hinzufügen‘. Grund: {error}.“ |
Allgemein |
Asset-Details abrufen
Beschreibung
Informationen zu Assets von Orca Security abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Inhalts-IDs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Asset-IDs an, für die Sie Details zurückgeben möchten. |
| Informationen zu Sicherheitslücken zurückgeben | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, gibt die Aktion Schwachstellen zurück, die mit dem Asset zusammenhängen. |
| Niedrigster Schweregrad für Sicherheitslücken | DDL | Gesundheitsgefährdend Mögliche Werte:
|
Nein | Der niedrigste Schweregrad, der zum Abrufen von Sicherheitslücken verwendet werden muss. |
| Maximale Anzahl abzurufender Sicherheitslücken | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der Sicherheitslücken an, die pro Asset zurückgegeben werden sollen. Maximum: 100 |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird für jedes angereicherte Asset ein Insight erstellt. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für ein Asset verfügbar sind (is_success=true): „Die folgenden Assets wurden mit Informationen von Orca Security angereichert: {asset id}“ Wenn für ein Asset keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Assets nicht mit Informationen von Orca Security anreichern: {asset id}“ Wenn für nicht alle Assets Daten verfügbar sind (is_success=false): „None of the provided assets were enriched.“ (Keines der bereitgestellten Assets wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Asset-Details abrufen‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: Asset Details Tabellenspalten:
|
Allgemein |
Compliance-Informationen abrufen
Informationen zur Compliance basierend auf ausgewählten Frameworks in Orca Security abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Framework-Namen | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der Namen der Frameworks an, für die Sie Compliance-Details abrufen möchten. Wenn nichts angegeben wird, gibt die Aktion Informationen zu allen ausgewählten Frameworks zurück. |
| Maximale Anzahl zurückzugebender Frameworks | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Frameworks an. |
| Insight erstellen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit Informationen zur Compliance erstellt. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully returned information about compliance in Orca Security.“ (Informationen zur Compliance in Orca Security wurden erfolgreich zurückgegeben.) Wenn ein Framework nicht gefunden wird (is_success=true): „Informationen aus den folgenden Frameworks wurden in Orca Security nicht gefunden. Bitte überprüfen Sie die Rechtschreibung.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Compliance-Informationen abrufen‘. Grund: {0}''.format(error.Stacktrace) Wenn nicht alle Frameworks gefunden werden (is_success=false): „Error executing action ‚Get Compliance Info‘.“ Grund: Keines der angegebenen Frameworks wurde in Orca Security gefunden. Bitte überprüfen Sie die Rechtschreibung. |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Compliance-Details Tabellenspalten:
|
Allgemein |
Assets scannen
Assets in Orca Security scannen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Inhalts-IDs | String | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Asset-IDs an, für die Sie Details zurückgeben möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für ein Asset verfügbar sind (is_success=true): „Die folgenden Assets wurden in Orca Security gescannt: {asset name}“. Wenn für ein Asset keine Daten verfügbar sind oder das Asset nicht gefunden wird (is_success=true): „Die Aktion konnte die folgenden Assets nicht mit Orca Security scannen: {asset name}“ Wenn für nicht alle Assets Daten verfügbar sind (is_success=false): „Keines der bereitgestellten Assets wurde gescannt.“ Asynchrone Nachricht: „Ausstehende Assets: {asset names}“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Assets scannen‘. Grund: {0}''.format(error.Stacktrace) Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Assets scannen‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Ausstehende Assets: {assets that are still in progress}. Bitte erhöhen Sie das Zeitlimit in der IDE.“ |
Allgemein |
Details zu Sicherheitslücken abrufen
Beschreibung
Informationen zu Sicherheitslücken von Orca Security abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| CVE-IDs | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der CVEs an, die angereichert werden müssen. |
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird für jede angereicherte Sicherheitslücke eine Statistik erstellt. Die Erstellung von Statistiken wird nicht durch die Filterung beeinflusst, die mit dem Parameter „Fields To Return“ (Zurückzugebende Felder) vorgenommen werden kann. |
| Maximale Anzahl zurückzugebender Assets | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Assets im Zusammenhang mit dem CVE zurückgegeben werden sollen. Maximum: 10.000 |
| Zurückzugebende Felder | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der Felder an, die zurückgegeben werden müssen. Wenn für Schwachstellen keine bestimmten Felder zurückgegeben werden, werden die entsprechenden Feldwerte auf „null“ gesetzt. Hinweis:Bei diesem Parameter wird das JSON-Objekt geprüft, wie es vereinfacht wurde. Beispiel: „object“: {„id“: 123} –> „object_id“ ist der Schlüssel. |
| Ausgabe | DDL | JSON Mögliche Werte:
|
Nein | Geben Sie den Typ der Ausgabe für die Aktion an. Wenn „JSON“ ausgewählt ist, gibt die Aktion ein reguläres JSON-Ergebnis zurück. Wenn „CSV“ ausgewählt ist, wird durch die Aktion eine Datei im Ordner für die Ausführung der Aktion erstellt und das JSON-Ergebnis enthält einen Pfad zu dieser Datei. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Sicherheitslücke verfügbar sind (is_success=true): „Die folgenden Sicherheitslücken wurden mit Informationen von Orca Security angereichert: {cve id}“ Wenn für eine Sicherheitslücke keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Sicherheitslücken nicht mit Informationen von Orca Security anreichern: {cve id}“ Wenn keine Daten für alle Sicherheitslücken verfügbar sind (is_success=false): „None of the provided vulnerabilities were enriched.“ (Keine der bereitgestellten Sicherheitslücken wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Vulnerability Details‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Details zur Sicherheitslücke Tabellenspalten:
|
Allgemein |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Orca Security – Alerts Connector
Beschreibung
Informationen zu Warnungen von Orca Security abrufen
Orca Security – Alerts Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | asset_type_string | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein Muster für einen regulären Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Ermöglicht dem Nutzer, das Feld „Umgebung“ mit der Logik regulärer Ausdrücke zu bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https:/:8501 | Ja | API-Stammverzeichnis der Orca Security-Instanz. |
| API-Schlüssel | String | – | Ja | API-Schlüssel des Orca Security-Instanzkontos. Wenn sowohl der Parameter „API-Schlüssel“ als auch der Parameter „API-Token“ angegeben werden, wird der Parameter „API-Token“ verwendet. |
| API-Token | String | – | Ja | API-Token des Kontos der Orca Security-Instanz. Wenn sowohl der Parameter „API-Schlüssel“ als auch der Parameter „API-Token“ angegeben werden, wird der Parameter „API-Token“ verwendet. |
| Kategoriefilter | CSV | – | Nein | Eine durch Kommas getrennte Liste von Kategorienamen, die beim Erfassen der Benachrichtigungen verwendet werden sollen. Hinweis:Bei diesem Parameter wird zwischen Groß- und Kleinschreibung unterschieden. |
| Niedrigste Priorität für Abruf | String | – | Nein | Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet werden muss. Mögliche Werte: Compromised, Imminent compromise, Hazardous, Informational Wenn nichts angegeben ist, werden Warnungen mit allen Schweregraden aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| Max. Anzahl der abzurufenden Benachrichtigungen | Ganzzahl | 100 | Nein | Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. |
| Dynamische Liste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, werden dynamische Listen als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Orca Security-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
| Filter für Benachrichtigungstyp | CSV | – | Nein | Der Typ der Warnungen, die aufgenommen werden müssen. Dieser Filter funktioniert mit dem Parameter AlertType_value in der Antwort. Beispiel: aws_s3_bucket_accessible_to_unmonitored_account |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten