Orca Security
Versión de integración: 8.0
Configura la integración de Orca Security en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la IU | String | https://{ui instance} | Sí | Es la raíz de la IU de la instancia de Orca Security. |
| Raíz de la API | String | https://{api instance} | Sí | Es la raíz de la API de la instancia de Orca Security. |
| Clave de API | String | N/A | Sí | Es la clave de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usa el parámetro "Token de API". |
| Token de API | String | N/A | Sí | Es el token de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usa el parámetro "Token de API". |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor SIEM de Orca Security sea válido. |
Cómo generar una clave de API
- Ve a Settings-> Integrations-> Orca API.
- Haz clic en Administrar claves y, luego, en Generar una clave nueva.
- Copia y pega la clave generada en Google SecOps.
Casos de uso
- Ingiere alertas.
- Recupera información sobre recursos o vulnerabilidades.
- Clasificar alertas
- Hacer un seguimiento del cumplimiento
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Ping
Prueba la conectividad con Orca Security con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Orca Security server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se realiza correctamente, se mostrará el mensaje "No se pudo establecer la conexión con el servidor de Orca Security". Error is {0}".format(exception.stacktrace) |
General |
Actualizar alerta
Actualiza una alerta en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que se debe actualizar. |
| Verificar alerta | Casilla de verificación | Desmarcado | No | Si está habilitada, la acción inicia el proceso de verificación de la alerta. |
| Estado de posposición | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el estado de posposición de la alerta. |
| Días de repetición de alarma | String | 1 | No | Especifica la cantidad de días que se debe posponer la alerta. Este parámetro es obligatorio si el parámetro "Estado de posponer" se establece en "Posponer". Si no se proporciona nada, la acción pospone la alerta durante 1 día. |
| Estado | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el estado que se establecerá para la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se actualizó correctamente la alerta con el ID "{id}" en Orca Security". Si se informa el error "Se solicitó establecer la misma configuración" (is_success=true): "La alerta con el ID "{id}" ya tiene el estado "{status}" en Orca Security". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Update Alert". Reason: {0}''.format(error.Stacktrace)" Si se informa otro error: "Error al ejecutar la acción "Actualizar alerta"". Motivo: {error}". Si se selecciona "Select One" para el parámetro "Snooze State", se mostrará el mensaje "Error executing action "Update Alert"". Motivo: Se debe proporcionar el "Día de posponer". Si se selecciona "Select One" para el parámetro "Snooze State" o "Status", y el parámetro "Verify Alert" no está habilitado, se mostrará el siguiente mensaje: "Error executing action "Update Alert". Motivo: Se debe proporcionar al menos uno de los siguientes parámetros: "Estado", "Alerta de verificación" o "Posponer alerta". |
General |
Agregar comentario a la alerta
Agrega un comentario a la alerta en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta a la que la acción debe agregar un comentario. |
| Comentario | String | N/A | Sí | Especifica el comentario que se debe agregar a la alerta. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se agregó correctamente un comentario a la alerta con el ID "{id}" en Orca Security". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Add Comment To Alert". Reason: {0}''.format(error.Stacktrace)" Si se informa un error: "Error al ejecutar la acción "Agregar comentario a la alerta". Motivo: {error}". |
General |
Obtén detalles del recurso
Descripción
Recupera información sobre los activos de Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de activos | CSV | N/A | Sí | Especifica una lista separada por comas de los IDs de los recursos para los que deseas devolver detalles. |
| Devuelve información sobre vulnerabilidades | Casilla de verificación | Marcado | No | Si está habilitada, la acción devuelve vulnerabilidades relacionadas con el activo. |
| La gravedad más baja para las vulnerabilidades | DDL | Peligroso Valores posibles:
|
No | Es el nivel de gravedad más bajo que se debe usar para recuperar vulnerabilidades. |
| Cantidad máxima de vulnerabilidades para recuperar | Número entero | 50 | No | Especifica la cantidad de vulnerabilidades que se devolverán por activo. Máximo: 100 |
| Crear estadística | Casilla de verificación | Marcado | No | Si se habilita, la acción crea una estadística para cada recurso enriquecido. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un activo (is_success=true): "Se enriquecieron correctamente los siguientes activos con información de Orca Security: {ID del activo}" Si los datos no están disponibles para un recurso (is_success=true): "La acción no pudo enriquecer los siguientes recursos con información de Orca Security: {ID del recurso}" Si los datos no están disponibles para todos los recursos (is_success=false): "No se enriqueció ninguno de los recursos proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Asset Details". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: Detalles del activo Columnas de la tabla:
|
General |
Obtener información de cumplimiento
Obtén información sobre el cumplimiento en función de los marcos seleccionados en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombres de los frameworks | CSV | N/A | No | Especifica una lista separada por comas de los nombres de los frameworks para los que deseas recuperar detalles de cumplimiento. Si no se proporciona nada, la acción devuelve información sobre todos los frameworks seleccionados. |
| Cantidad máxima de frameworks que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de frameworks que se devolverán. |
| Crear estadística | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción crea una estadística que contiene información sobre el cumplimiento. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se devolvió correctamente la información sobre el cumplimiento en Orca Security". Si no se encuentra un framework (is_success=true): "No se encontró información de los siguientes frameworks en Orca Security. Revisa la ortografía". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Get Compliance Info". Reason: {0}''.format(error.Stacktrace)" Si no se encuentran todos los frameworks (is_success=false): "Error al ejecutar la acción "Get Compliance Info". Motivo: No se encontró ninguno de los marcos proporcionados en Orca Security. Revisa la ortografía. |
General |
| Tabla del muro de casos | Nombre de la tabla: Detalles de cumplimiento Columnas de la tabla:
|
General |
Analiza recursos
Analiza los recursos en Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de activos | String | N/A | Sí | Especifica una lista separada por comas de los IDs de los recursos para los que deseas devolver detalles. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para un activo (is_success=true): "Se analizaron correctamente los siguientes activos en Orca Security: {nombre del activo}". Si los datos no están disponibles para un activo o no se encuentra el activo (is_success=true): "La acción no pudo analizar los siguientes activos con Orca Security: {nombre del activo}" Si los datos no están disponibles para todos los recursos (is_success=false): "No se analizó ninguno de los recursos proporcionados". Mensaje asíncrono: "Activos pendientes: {nombres de activos}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Scan Assets". Reason: {0}''.format(error.Stacktrace)" Si se agotó el tiempo de espera: "Error al ejecutar la acción "Analizar recursos"". Motivo: La acción agotó el tiempo de espera durante la ejecución. Recursos pendientes: {recursos que aún están en curso}. Aumenta el tiempo de espera en el IDE". |
General |
Obtén detalles de la vulnerabilidad
Descripción
Recupera información sobre vulnerabilidades de Orca Security.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de CVE | CSV | N/A | No | Especifica una lista separada por comas de los CVE que se deben enriquecer. |
| Crear estadística | Casilla de verificación | Marcado | No | Si se habilita, la acción crea una estadística para cada vulnerabilidad enriquecida. La creación de estadísticas no se ve afectada por el filtrado que se puede realizar con el parámetro "Fields To Return". |
| Cantidad máxima de recursos que se devolverán | Número entero | 50 | No | Especifica la cantidad de recursos relacionados con el CVE que se deben devolver. Máximo: 10,000 |
| Campos que se devolverán | CSV | N/A | No | Especifica una lista de campos separados por comas que se deben devolver. Si las vulnerabilidades no tienen campos específicos para devolver, los valores de esos campos se establecen como nulos. Nota: Este parámetro verifica el objeto JSON, ya que se aplanó. Ejemplo: "object": {"id": 123} -> object_id es la clave. |
| Salida | DDL | JSON Valores posibles:
|
No | Especifica el tipo de resultado de la acción. Si se selecciona "JSON", la acción devuelve un resultado JSON normal. Si se selecciona "CSV", la acción crea un archivo en la carpeta de ejecución de la acción y el resultado JSON contiene una ruta de acceso a ese archivo. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una vulnerabilidad (is_success=true): "Se enriquecieron correctamente las siguientes vulnerabilidades con información de Orca Security: {cve id}" Si los datos no están disponibles para una vulnerabilidad (is_success=true): "Action wasn't able to enrich the following vulnerabilities using information from Orca Security: {cve id}" Si los datos no están disponibles para todas las vulnerabilidades (is_success=false): "No se enriqueció ninguna de las vulnerabilidades proporcionadas". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener detalles de vulnerabilidad". Reason: {0}''.format(error.Stacktrace)" |
General |
| Tabla del muro de casos | Nombre de la tabla: Detalles de la vulnerabilidad Columnas de la tabla:
|
General |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Orca Security: conector de alertas
Descripción
Extrae información sobre las alertas de Orca Security.
Configura el conector de alertas de Orca Security en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | asset_type_string | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno con lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https:/:8501 | Sí | Es la raíz de la API de la instancia de Orca Security. |
| Clave de API | String | N/A | Sí | Es la clave de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usa el parámetro "Token de API". |
| Token de API | String | N/A | Sí | Es el token de API de la cuenta de instancia de Orca Security. Si se proporcionan los parámetros "Clave de API" y "Token de API", se usa el parámetro "Token de API". |
| Filtro de categoría | CSV | N/A | No | Es una lista separada por comas de los nombres de categorías que se deben usar durante la transferencia de las alertas. Nota: Este parámetro distingue mayúsculas de minúsculas. |
| Prioridad más baja para recuperar | String | N/A | No | Es la gravedad más baja que se debe usar para recuperar alertas. Valores posibles: Compromised, Imminent compromise, Hazardous, Informational Si no se especifica nada, el conector ingiere alertas con todos los niveles de gravedad. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperarán las alertas. |
| Cantidad máxima de alertas para recuperar | Número entero | 100 | No | Cantidad de alertas que se procesarán en cada iteración del conector. |
| Usar la lista dinámica como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, las listas dinámicas se usan como una lista negra. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Orca Security sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
| Filtro de tipo de alerta | CSV | N/A | No | Es el tipo de alertas que se deben transferir. Este filtro funciona con el parámetro AlertType_value en la respuesta. Ejemplo: aws_s3_bucket_accessible_to_unmonitored_account |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.