Orca Security
Versi integrasi: 8.0
Mengonfigurasi integrasi Orca Security di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root UI | String | https://{ui instance} | Ya | Root UI instance Orca Security. |
| Root API | String | https://{api instance} | Ya | Root API instance Orca Security. |
| Kunci API | String | T/A | Ya | Kunci API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Token API | String | T/A | Ya | Token API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server SIEM Orca Security valid. |
Cara membuat kunci API
- Buka Settings-> Integrations-> Orca API.
- Klik Kelola Kunci, lalu klik Buat kunci baru.
- Salin dan tempel kunci yang dihasilkan ke Google SecOps.
Kasus Penggunaan
- Peringatan penyerapan.
- Mengambil informasi tentang aset atau kerentanan.
- Menyeleksi pemberitahuan.
- Memantau kepatuhan.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Ping
Uji konektivitas ke Orca Security dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Dijalankan pada
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Orca Security server with the provided connection parameters!" (Berhasil terhubung ke server Orca Security dengan parameter koneksi yang diberikan.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Orca Security! Error adalah {0}".format(exception.stacktrace) |
Umum |
Perbarui Notifikasi
Memperbarui pemberitahuan di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu diperbarui. |
| Verifikasi Pemberitahuan | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan ini akan memulai proses verifikasi untuk pemberitahuan. |
| Status Tunda | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status tunda untuk notifikasi. |
| Hari Tunda | String | 1 | Tidak | Tentukan jumlah hari peringatan harus ditunda. Parameter ini wajib diisi, jika parameter "Status Tunda" ditetapkan ke "Tunda". Jika tidak ada yang diberikan, tindakan akan menunda notifikasi selama 1 hari. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status yang akan ditetapkan untuk notifikasi. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully updated alert with ID "{id}" in Orca Security." (Pemberitahuan dengan ID "{id}" berhasil diperbarui di Orca Security.) Jika error "requested to set same configuration" dilaporkan (is_success=true): "Alert with ID "{id}" already has status "{status}" in Orca Security." (Peringatan dengan ID "{id}" sudah memiliki status "{status}" di Orca Security.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)" Jika error lain dilaporkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: {error}." Jika "Pilih Satu" dipilih untuk parameter "Status Tunda": "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: "Hari Tunda" harus diberikan." Jika "Pilih Satu" dipilih untuk parameter "Status Tunda" atau "Status", dan parameter "Verifikasi Pemberitahuan" tidak diaktifkan: "Error saat menjalankan tindakan "Perbarui Pemberitahuan". Alasan: setidaknya salah satu parameter berikut harus diberikan: "Status", "Verifikasi Pemberitahuan", "Tunda Pemberitahuan". |
Umum |
Tambahkan Komentar ke Notifikasi
Menambahkan komentar ke notifikasi di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID pemberitahuan | String | T/A | Ya | Tentukan ID pemberitahuan yang perlu ditambahkan komentar untuk tindakan. |
| Komentar | String | T/A | Ya | Tentukan komentar yang perlu ditambahkan ke notifikasi. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully added a comment to alert with ID "{id}" in Orca Security." (Berhasil menambahkan komentar ke pemberitahuan dengan ID "{id}" di Orca Security.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya: "Error saat menjalankan tindakan "Tambahkan Komentar ke Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)" Jika error dilaporkan: "Error saat menjalankan tindakan "Tambahkan Komentar ke Pemberitahuan". Alasan: {error}." |
Umum |
Mendapatkan Detail Aset
Deskripsi
Mengambil informasi tentang aset dari Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID aset | CSV | T/A | Ya | Tentukan daftar ID aset yang dipisahkan koma yang detailnya ingin Anda tampilkan. |
| Mengembalikan Informasi Kerentanan | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan menampilkan kerentanan yang terkait dengan aset. |
| Tingkat Keparahan Terendah untuk Kerentanan | DDL | Berbahaya Nilai yang Mungkin:
|
Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil kerentanan. |
| Jumlah Maksimum Kerentanan yang Akan Diambil | Bilangan bulat | 50 | Tidak | Tentukan jumlah kerentanan yang akan ditampilkan per aset. Maksimum: 100 |
| Buat Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight untuk setiap aset yang diperkaya. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu aset (is_success=true): "Berhasil memperkaya aset berikut menggunakan informasi dari Orca Security: {asset id}" Jika data tidak tersedia untuk satu aset (is_success=true): "Tindakan tidak dapat memperkaya aset berikut menggunakan informasi dari Orca Security: {ID aset}" Jika data tidak tersedia untuk semua aset (is_success=false): "Tidak ada aset yang disediakan yang di-enrich." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Detail Aset". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Aset Kolom Tabel:
|
Umum |
Mendapatkan Info Kepatuhan
Dapatkan informasi tentang kepatuhan berdasarkan framework yang dipilih di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama Framework | CSV | T/A | Tidak | Tentukan daftar nama framework yang dipisahkan koma yang detail kepatuhannya ingin Anda ambil. Jika tidak ada yang diberikan, tindakan akan menampilkan informasi tentang semua framework yang dipilih. |
| Jumlah Maksimum Framework yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah framework yang akan ditampilkan. |
| Buat Insight | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan ini akan membuat insight yang berisi informasi tentang kepatuhan. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil menampilkan informasi tentang kepatuhan di Orca Security." Jika satu framework tidak ditemukan (is_success=true): "Informasi dari framework berikut tidak ditemukan di Orca Security. Periksa ejaan." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Info Kepatuhan". Alasan: {0}''.format(error.Stacktrace)" Jika semua framework tidak ditemukan (is_success=false): "Error executing action "Get Compliance Info". Alasan: tidak ada framework yang diberikan ditemukan di Orca Security. Periksa ejaan. |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Kepatuhan Kolom Tabel:
|
Umum |
Aset Pemindaian
Memindai aset di Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID aset | String | T/A | Ya | Tentukan daftar ID aset yang dipisahkan koma yang detailnya ingin Anda tampilkan. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu aset (is_success=true): "Berhasil memindai aset berikut di Orca Security: {nama aset}". Jika data tidak tersedia untuk satu aset atau aset tidak ditemukan (is_success=true): "Tindakan tidak dapat memindai aset berikut menggunakan Orca Security: {nama aset}" Jika data tidak tersedia untuk semua aset (is_success=false): "Tidak ada aset yang disediakan yang dipindai." Pesan asinkron: "Aset yang menunggu keputusan: {asset names}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Pindai Aset". Alasan: {0}''.format(error.Stacktrace)" Jika mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Pindai Aset". Alasan: tindakan mengalami waktu tunggu habis selama eksekusi. Aset tertunda: {assets that are still in progress}. Harap tingkatkan waktu tunggu di IDE." |
Umum |
Mendapatkan Detail Kerentanan
Deskripsi
Mengambil informasi tentang kerentanan dari Orca Security.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID CVE | CSV | T/A | Tidak | Tentukan daftar CVE yang dipisahkan koma yang perlu dilengkapi. |
| Buat Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight untuk setiap kerentanan yang diperkaya. Pembuatan insight tidak terpengaruh oleh pemfilteran yang dapat dilakukan dengan parameter "Kolom yang Akan Ditampilkan". |
| Jumlah Maksimum Aset yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah aset terkait CVE yang akan ditampilkan. Maksimum: 10000 |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan daftar kolom yang dipisahkan koma yang perlu ditampilkan. Jika kerentanan tidak memiliki kolom tertentu untuk ditampilkan, nilai kolom tersebut akan ditetapkan ke null. Catatan: Parameter ini memeriksa objek JSON, saat diratakan. Contoh: "object": {"id": 123} -> object_id adalah kuncinya. |
| Output | DDL | JSON Nilai yang Mungkin:
|
Tidak | Tentukan jenis output untuk tindakan. Jika "JSON" dipilih, tindakan akan menampilkan Hasil JSON reguler. Jika "CSV" dipilih, tindakan akan membuat file di folder eksekusi tindakan dan hasil JSON berisi jalur ke file tersebut. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu kerentanan (is_success=true): "Berhasil memperkaya kerentanan berikut menggunakan informasi dari Orca Security: {cve id}" Jika data tidak tersedia untuk satu kerentanan (is_success=true): "Tindakan tidak dapat memperkaya kerentanan berikut menggunakan informasi dari Orca Security: {cve id}" Jika data tidak tersedia untuk semua kerentanan (is_success=false): "Tidak ada kerentanan yang disediakan yang di-enrich." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Get Vulnerability Details". Alasan: {0}''.format(error.Stacktrace)" |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Kerentanan Kolom Tabel:
|
Umum |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Orca Security - Alerts Connector
Deskripsi
Tarik informasi tentang pemberitahuan dari Orca Security.
Mengonfigurasi Orca Security - Alerts Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | asset_type_string | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https:/:8501 | Ya | Root API instance Orca Security. |
| Kunci API | String | T/A | Ya | Kunci API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Token API | String | T/A | Ya | Token API akun instance Orca Security. Jika parameter "Kunci API" dan "Token API" diberikan, parameter "Token API" akan digunakan. |
| Filter Kategori | CSV | T/A | Tidak | Daftar nama kategori yang dipisahkan koma yang harus digunakan selama penyerapan pemberitahuan. Catatan: Parameter ini peka huruf besar/kecil. |
| Prioritas Terendah yang Akan Diambil | String | T/A | Tidak | Tingkat keparahan terendah yang perlu digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: Disusupi, Segera disusupi, Berbahaya, Informasi Jika tidak ada yang ditentukan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat untuk mengambil pemberitahuan. |
| Jumlah Maksimum Pemberitahuan yang Akan Diambil | Bilangan bulat | 100 | Tidak | Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Orca Security valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
| Filter Jenis Pemberitahuan | CSV | T/A | Tidak | Jenis pemberitahuan yang perlu diproses. Filter ini berfungsi dengan parameter
AlertType_value dalam respons. Contoh:
aws_s3_bucket_accessible_to_unmonitored_account |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.