Orca Security
Versión de la integración: 8.0
Configurar la integración de Orca Security en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la interfaz de usuario | Cadena | https://{ui instance} | Sí | Raíz de la interfaz de usuario de la instancia de Orca Security. |
| Raíz de la API | Cadena | https://{api instance} | Sí | Raíz de la API de la instancia de Orca Security. |
| Clave de API | Cadena | N/A | Sí | Clave de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usará el parámetro "Token de API". |
| Token de API | Cadena | N/A | Sí | Token de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usará el parámetro "Token de API". |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor SIEM de Orca Security sea válido. |
Cómo generar una clave de API
- Ve a Ajustes > Integraciones > API de Orca.
- Haz clic en Gestionar claves y, a continuación, en Generar una clave.
- Copia y pega la clave generada en Google SecOps.
Casos prácticos
- Alertas de ingestión.
- Obtener información sobre recursos o vulnerabilidades.
- Triaje de alertas.
- Monitorizar el cumplimiento.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Ping
Prueba la conectividad con Orca Security con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Orca Security server with the provided connection parameters!" ("Se ha conectado correctamente al servidor de Orca Security con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor de Orca Security. Error: {0}".format(exception.stacktrace) |
General |
Actualizar alerta
Actualizar una alerta en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Verificar alerta | Casilla | Desmarcada | No | Si está habilitada, la acción inicia el proceso de verificación de la alerta. |
| Estado de posposición | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica el estado de posposición de la alerta. |
| Días de repetición | Cadena | 1 | No | Especifica el número de días que quieres posponer la alerta. Este parámetro es obligatorio si el parámetro "Snooze State" (Estado de la alarma pospuesta) tiene el valor "Snooze" (Pospuesta). Si no se indica nada, la acción pospone la alerta durante 1 día. |
| Estado | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica el estado que quieres asignar a la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha actualizado correctamente la alerta con el ID "{id}" en Orca Security." Si se informa del error "requested to set same configuration" (is_success=true): "Alert with ID "{id}" already has status "{status}" in Orca Security." ("La alerta con ID "{id}" ya tiene el estado "{status}" en Orca Security"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Update Alert". Motivo: {0}''.format(error.Stacktrace)" Si se informa de otro error: "Error al ejecutar la acción "Actualizar alerta". Motivo: {error}." Si se selecciona "Seleccionar uno" en el parámetro "Estado de la alarma": "Error al ejecutar la acción "Actualizar alerta". Motivo: debe proporcionar el valor "Snooze Day". Si se selecciona "Seleccionar uno" en el parámetro "Estado de la alerta" o "Estado" y el parámetro "Verificar alerta" no está habilitado: "Error al ejecutar la acción "Actualizar alerta". Motivo: debe proporcionar al menos uno de los siguientes parámetros: "Status", "Verify Alert" o "Snooze Alert". |
General |
Add Comment To Alert
Añade un comentario a una alerta en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | Cadena | N/A | Sí | Especifica el ID de la alerta a la que se debe añadir un comentario. |
| Comentario | Cadena | N/A | Sí | Especifica el comentario que se debe añadir a la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha añadido correctamente un comentario a la alerta con el ID "{id}" en Orca Security". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir comentario a alerta". Motivo: {0}''.format(error.Stacktrace)" Si se informa de un error: "Error al ejecutar la acción "Añadir comentario a alerta". Motivo: {error}." |
General |
Obtener detalles del recurso
Descripción
Recupera información sobre los recursos de Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de recursos | CSV | N/A | Sí | Especifique una lista de IDs de recursos separados por comas de los que quiera obtener información. |
| Devuelve información sobre vulnerabilidades | Casilla | Marcada | No | Si está habilitada, la acción devuelve vulnerabilidades relacionadas con el recurso. |
| Gravedad más baja de las vulnerabilidades | DDL | Peligroso Valores posibles:
|
No | La gravedad más baja que se debe usar para obtener vulnerabilidades. |
| Número máximo de vulnerabilidades que se van a obtener | Entero | 50 | No | Especifica el número de vulnerabilidades que se deben devolver por recurso. Máximo: 100 |
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística para cada recurso enriquecido. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un recurso (is_success=true): "Se han enriquecido correctamente los siguientes recursos con información de Orca Security: {asset id}" ("Successfully enriched the following assets using information from Orca Security: {asset id}") Si no hay datos disponibles para un recurso (is_success=true): "Action wasn't able to enrich the following assets using information from Orca Security: {asset id}" ("La acción no ha podido enriquecer los siguientes recursos con información de Orca Security: {asset id}") Si los datos no están disponibles para todos los recursos (is_success=false): "None of the provided assets were enriched." ("No se ha enriquecido ninguno de los recursos proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Asset Details". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: Detalles del recurso Columnas de la tabla:
|
General |
Obtener información sobre el cumplimiento
Obtén información sobre el cumplimiento en función de los frameworks seleccionados en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de los frameworks | CSV | N/A | No | Especifica una lista separada por comas de los nombres de los frameworks de los que quieras obtener los detalles de cumplimiento. Si no se proporciona nada, la acción devuelve información sobre todos los frameworks seleccionados. |
| Número máximo de frameworks que se devolverán | Entero | 50 | No | Especifica el número de frameworks que se van a devolver. |
| Crear estadística | Casilla | Marcada | Sí | Si se habilita, la acción crea una estadística que contiene información sobre el cumplimiento. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha devuelto correctamente la información sobre el cumplimiento en Orca Security". Si no se encuentra un framework (is_success=true): "Information from the following frameworks wasn't found in Orca Security. Comprueba la ortografía". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Compliance Info". Motivo: {0}''.format(error.Stacktrace)" Si no se encuentran todos los frameworks (is_success=false): "Error al ejecutar la acción "Get Compliance Info". Motivo: no se ha encontrado ninguno de los frameworks proporcionados en Orca Security. Comprueba la ortografía. |
General |
| Tabla del panel de casos | Nombre de la tabla: Compliance Details Columnas de tabla:
|
General |
Analizar recursos
Analiza los recursos en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de recursos | Cadena | N/A | Sí | Especifique una lista de IDs de recursos separados por comas de los que quiera obtener información. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un recurso (is_success=true): "Se han analizado correctamente los siguientes recursos en Orca Security: {nombre del recurso}". Si no hay datos disponibles para un recurso o no se encuentra el recurso (is_success=true): "Action wasn't able to scan the following assets using in Orca Security: {asset name}" ("La acción no ha podido analizar los siguientes recursos con Orca Security: {nombre del recurso}") Si los datos no están disponibles para todos los recursos (is_success=false): "None of the provided assets were scanned." ("No se ha analizado ninguno de los recursos proporcionados"). Mensaje asíncrono: "Recursos pendientes: {asset names}" La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Analizar recursos". Motivo: {0}''.format(error.Stacktrace)" Si se ha agotado el tiempo de espera: "Error al ejecutar la acción "Analizar recursos". Motivo: la acción ha agotado el tiempo de espera durante la ejecución. Recursos pendientes: {assets that are still in progress}. Aumenta el tiempo de espera en el IDE". |
General |
Obtener detalles de vulnerabilidades
Descripción
Recupera información sobre vulnerabilidades de Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de CVE | CSV | N/A | No | Especifica una lista separada por comas de CVEs que deban enriquecerse. |
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística por cada vulnerabilidad enriquecida. La creación de estadísticas no se ve afectada por el filtrado que se puede hacer con el parámetro "Campos que se devuelven". |
| Número máximo de recursos que se devolverán | Entero | 50 | No | Especifica cuántos recursos relacionados con la CVE quieres devolver. Máximo: 10.000 |
| Campos que se van a devolver | CSV | N/A | No | Especifica una lista separada por comas de los campos que deben devolverse. Si las vulnerabilidades no tienen campos específicos que devolver, los valores de esos campos se definen como nulos. Nota: Este parámetro comprueba el objeto JSON tal como se ha acoplado. Ejemplo: "object": {"id": 123} -> object_id es la clave. |
| Salida | DDL | JSON Valores posibles:
|
No | Especifica el tipo de salida de la acción. Si se selecciona "JSON", la acción devuelve un resultado JSON normal. Si se selecciona "CSV", la acción crea un archivo en la carpeta de ejecución de la acción y el resultado JSON contiene una ruta a ese archivo. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una vulnerabilidad (is_success=true): "Se han enriquecido correctamente las siguientes vulnerabilidades con información de Orca Security: {cve id}" Si no hay datos disponibles para una vulnerabilidad (is_success=true): "Action wasn't able to enrich the following vulnerabilities using information from Orca Security: {cve id}" ("No se ha podido enriquecer la siguiente vulnerabilidad con información de Orca Security: {cve id}") Si no hay datos disponibles para todas las vulnerabilidades (is_success=false): "None of the provided vulnerabilities were enriched." ("No se ha enriquecido ninguna de las vulnerabilidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Obtener detalles de vulnerabilidad". Motivo: {0}''.format(error.Stacktrace)" |
General |
| Tabla del panel de casos | Nombre de la tabla: Detalles de la vulnerabilidad Columnas de tabla:
|
General |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Orca Security - Alerts Connector
Descripción
Extrae información sobre las alertas de Orca Security.
Configurar Orca Security - Alerts Connector en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | asset_type_string | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Un patrón de expresión regular que se aplica al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo de entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https:/:8501 | Sí | Raíz de la API de la instancia de Orca Security. |
| Clave de API | Cadena | N/A | Sí | Clave de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usará el parámetro "Token de API". |
| Token de API | Cadena | N/A | Sí | Token de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usará el parámetro "Token de API". |
| Filtro de categoría | CSV | N/A | No | Lista de nombres de categorías separados por comas que se deben usar durante la ingestión de las alertas. Nota: Este parámetro distingue entre mayúsculas y minúsculas. |
| Prioridad más baja para obtener | Cadena | N/A | No | La gravedad mínima que se debe usar para obtener alertas. Valores posibles: Compromised, Imminent compromise, Hazardous, Informational Si no se especifica nada, el conector ingiere alertas de todas las gravedades. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se deben obtener las alertas. |
| Número máximo de alertas que se van a obtener | Entero | 100 | No | Número de alertas que se procesarán por cada iteración del conector. |
| Usar una lista dinámica como lista negra | Casilla | Desmarcada | Sí | Si se habilita, las listas dinámicas se usan como listas negras. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Orca Security sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
| Filtro de tipo de alerta | CSV | N/A | No | Tipo de alertas que se deben ingerir. Este filtro funciona con el parámetro AlertType_value de la respuesta. Ejemplo:
aws_s3_bucket_accessible_to_unmonitored_account |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.