Orca Security
Version de l'intégration : 8.0
Configurer l'intégration Orca Security dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'UI | Chaîne | https://{ui instance} | Oui | Racine de l'UI de l'instance Orca Security. |
| Racine de l'API | Chaîne | https://{api instance} | Oui | Racine de l'API de l'instance Orca Security. |
| Clé API | Chaîne | N/A | Oui | Clé API du compte d'instance Orca Security. Si les paramètres "Clé API" et "Jeton API" sont fournis, le paramètre "Jeton API" est utilisé. |
| Jeton d'API | Chaîne | N/A | Oui | Jeton d'API du compte d'instance Orca Security. Si les paramètres "Clé API" et "Jeton API" sont fournis, le paramètre "Jeton API" est utilisé. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur SIEM Orca Security est valide. |
Générer une clé API
- Accédez à Settings > Integrations > Orca API (Paramètres > Intégrations > API Orca).
- Cliquez sur Gérer les clés, puis sur Générer une clé.
- Copiez et collez la clé générée dans Google SecOps.
Cas d'utilisation
- Alertes d'ingestion.
- Récupérer des informations sur les composants ou les failles
- Trier les alertes.
- Suivez la conformité.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ping
Testez la connectivité à Orca Security avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Date d'exécution
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Orca Security établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Orca Security. Error is {0}".format(exception.stacktrace) |
Général |
Mettre à jour l'alerte
Mettez à jour une alerte dans Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | N/A | Oui | Spécifiez l'ID de l'alerte à modifier. |
| Valider l'alerte | Case à cocher | Décochée | Non | Si cette option est activée, l'action lance le processus de validation de l'alerte. |
| État de mise en veille | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez l'état de répétition de l'alerte. |
| Jours de mise en veille | Chaîne | 1 | Non | Indiquez le nombre de jours pendant lesquels l'alerte doit être mise en veille. Ce paramètre est obligatoire si le paramètre "État de mise en veille" est défini sur "Mise en veille". Si aucune durée n'est indiquée, l'alerte est mise en veille pendant un jour. |
| État | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez l'état à définir pour l'alerte. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "L'alerte avec l'ID {id} a été mise à jour dans Orca Security." Si l'erreur "requested to set same configuration" (demande de définition de la même configuration) est signalée (is_success=true) : "L'alerte avec l'ID "{id}" a déjà l'état "{status}" dans Orca Security." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte". Raison : {0}''.format(error.Stacktrace)" Si une autre erreur est signalée : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte". Motif : {error}." Si l'option "Sélectionner une option" est sélectionnée pour le paramètre "État de mise en veille" : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte". Motif : "Le jour de report doit être indiqué." Si l'option "Sélectionner une valeur" est sélectionnée pour le paramètre "État de veille" ou "État", et que le paramètre "Valider l'alerte" n'est pas activé : "Erreur lors de l'exécution de l'action "Mettre à jour l'alerte". Motif : au moins l'un des paramètres suivants doit être fourni : "Status", "Verify Alert" ou "Snooze Alert". |
Général |
Ajouter un commentaire à une alerte
Ajoutez un commentaire à une alerte dans Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'alerte | Chaîne | N/A | Oui | Spécifiez l'ID de l'alerte à laquelle un commentaire doit être ajouté. |
| Commentaire | Chaîne | N/A | Oui | Spécifiez le commentaire à ajouter à l'alerte. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Commentaire ajouté à l'alerte avec l'ID "{id}" dans Orca Security." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'alerte". Raison : {0}''.format(error.Stacktrace)" Si une erreur est signalée : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'alerte". Motif : {error}." |
Général |
Obtenir les détails d'un composant
Description
Récupérez des informations sur les composants d'Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'éléments | CSV | N/A | Oui | Spécifiez une liste d'ID d'éléments séparés par une virgule pour lesquels vous souhaitez renvoyer des détails. |
| Renvoi d'informations sur les failles | Case à cocher | Cochée | Non | Si cette option est activée, l'action renvoie les failles liées au composant. |
| Gravité la plus faible pour les failles | LDD | Dangereux Valeurs possibles :
|
Non | Niveau de gravité le plus bas à utiliser pour récupérer les failles. |
| Nombre maximal de failles à récupérer | Integer | 50 | Non | Spécifiez le nombre de failles à renvoyer par composant. Maximum : 100 |
| Créer un insight | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée un insight pour chaque composant enrichi. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un seul composant (is_success=true) : "Les composants suivants ont été enrichis avec succès à l'aide des informations d'Orca Security : {asset id}" Si les données ne sont pas disponibles pour un élément (is_success=true) : "L'action n'a pas pu enrichir les éléments suivants à l'aide des informations d'Orca Security : {asset id}" Si les données ne sont pas disponibles pour tous les composants (is_success=false) : "Aucun des composants fournis n'a été enrichi." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir les détails de l'asset". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : "Détails du composant" Colonnes de la table :
|
Général |
Obtenir des informations sur la conformité
Obtenez des informations sur la conformité en fonction des frameworks sélectionnés dans Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Noms des frameworks | CSV | N/A | Non | Spécifiez une liste de noms de frameworks séparés par une virgule pour lesquels vous souhaitez récupérer des informations sur la conformité. Si aucune valeur n'est fournie, l'action renvoie des informations sur tous les frameworks sélectionnés. |
| Nombre maximal de frameworks à renvoyer | Integer | 50 | Non | Spécifiez le nombre de frameworks à renvoyer. |
| Créer un insight | Case à cocher | Cochée | Oui | Si cette option est activée, l'action crée un insight contenant des informations sur la conformité. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Informations sur la conformité renvoyées avec succès dans Orca Security." Si un framework est introuvable (is_success=true) : "Les informations des frameworks suivants sont introuvables dans Orca Security. Veuillez vérifier l'orthographe." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir des informations sur la conformité". Raison : {0}''.format(error.Stacktrace)" Si tous les frameworks ne sont pas trouvés (is_success=false) : "Erreur lors de l'exécution de l'action "Obtenir des informations sur la conformité". Motif : aucun des frameworks fournis n'a été trouvé dans Orca Security. Veuillez vérifier l'orthographe. |
Général |
| Tableau du mur des cas | Nom du tableau : "Compliance Details" (Détails de conformité) Colonnes du tableau :
|
Général |
Analyser les composants
Analysez les composants dans Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID d'éléments | Chaîne | N/A | Oui | Spécifiez une liste d'ID d'éléments séparés par une virgule pour lesquels vous souhaitez renvoyer des détails. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour un seul composant (is_success=true) : "Les composants suivants ont été analysés avec succès dans Orca Security : {nom du composant}". Si les données ne sont pas disponibles pour un composant ou si le composant est introuvable (is_success=true) : "L'action n'a pas pu analyser les composants suivants à l'aide d'Orca Security : {nom du composant}" Si les données ne sont pas disponibles pour tous les composants (is_success=false) : "Aucun des composants fournis n'a été analysé." Message asynchrone : "Éléments en attente : {noms des éléments}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Analyser les composants". Raison : {0}''.format(error.Stacktrace)" Si vous avez rencontré un délai d'attente : "Erreur lors de l'exécution de l'action "Analyser les composants". Motif : l'action a expiré lors de l'exécution. Composants en attente : {assets that are still in progress}. Veuillez augmenter le délai avant expiration dans l'IDE." |
Général |
Obtenir les détails d'une faille
Description
Récupérez des informations sur les failles d'Orca Security.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de CVE | CSV | N/A | Non | Spécifiez une liste de CVE à enrichir, séparées par une virgule. |
| Créer un insight | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée un insight pour chaque faille enrichie. La création d'insights n'est pas affectée par le filtrage qui peut être effectué avec le paramètre "Champs à renvoyer". |
| Nombre maximal de composants à renvoyer | Integer | 50 | Non | Spécifiez le nombre de composants associés à la CVE à renvoyer. Maximum : 10 000 |
| Champs à renvoyer | CSV | N/A | Non | Spécifiez une liste de champs à renvoyer, séparés par une virgule. Si les failles ne comportent pas de champs spécifiques à renvoyer, les valeurs de ces champs sont définies sur "null". Remarque : Ce paramètre vérifie l'objet JSON tel qu'il a été aplati. Exemple : "object": {"id": 123} -> object_id est la clé. |
| Sortie | LDD | JSON Valeurs possibles :
|
Non | Spécifiez le type de sortie de l'action. Si "JSON" est sélectionné, l'action renvoie un résultat JSON standard. Si "CSV" est sélectionné, l'action crée un fichier dans le dossier d'exécution de l'action et le résultat JSON contient un chemin d'accès à ce fichier. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une faille (is_success=true) : "Les failles suivantes ont été enrichies avec succès à l'aide des informations d'Orca Security : {cve id}" Si les données ne sont pas disponibles pour une vulnérabilité (is_success=true) : "L'action n'a pas pu enrichir les vulnérabilités suivantes à l'aide des informations d'Orca Security : {cve id}" Si les données ne sont pas disponibles pour toutes les failles (is_success=false) : "Aucune des failles fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur), le message suivant s'affiche : "Erreur lors de l'exécution de l'action "Obtenir les détails de la faille". Raison : {0}''.format(error.Stacktrace)" |
Général |
| Tableau du mur des cas | Nom de la table : "Détails de la faille" Colonnes du tableau :
|
Général |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Connecteur d'alertes Orca Security
Description
Extrayez des informations sur les alertes d'Orca Security.
Configurer le connecteur d'alertes Orca Security dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | asset_type_string | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "Environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https:/:8501 | Oui | Racine de l'API de l'instance Orca Security. |
| Clé API | Chaîne | N/A | Oui | Clé API du compte d'instance Orca Security. Si les paramètres "Clé API" et "Jeton API" sont fournis, le paramètre "Jeton API" est utilisé. |
| Jeton d'API | Chaîne | N/A | Oui | Jeton d'API du compte d'instance Orca Security. Si les paramètres "Clé API" et "Jeton API" sont fournis, le paramètre "Jeton API" est utilisé. |
| Filtre par catégorie | CSV | N/A | Non | Liste de noms de catégories séparés par une virgule, à utiliser lors de l'ingestion des alertes. Remarque : Ce paramètre est sensible à la casse. |
| Priorité de récupération la plus basse | Chaîne | N/A | Non | Gravité minimale à utiliser pour récupérer les alertes. Valeurs possibles : "Compromis", "Compromission imminente", "Dangereux", "Informationnel" Si rien n'est spécifié, le connecteur ingère les alertes de tous les niveaux de gravité. |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alertes à récupérer | Integer | 100 | Non | Nombre d'alertes à traiter par itération de connecteur. |
| Utiliser une liste dynamique comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, les listes dynamiques sont utilisées comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Orca Security est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
| Filtre "Type d'alerte" | CSV | N/A | Non | Type d'alertes à ingérer. Ce filtre fonctionne avec le paramètre AlertType_value dans la réponse. Exemple : aws_s3_bucket_accessible_to_unmonitored_account |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.