Orca Security
Versione integrazione: 8.0
Configura l'integrazione di Orca Security in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root UI | Stringa | https://{ui instance} | Sì | Radice dell'UI dell'istanza Orca Security. |
| Root API | Stringa | https://{api instance} | Sì | Radice API dell'istanza di Orca Security. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Token API | Stringa | N/D | Sì | Token API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server SIEM di Orca Security sia valido. |
Come generare la chiave API
- Vai a Impostazioni > Integrazioni > API Orca.
- Fai clic su Gestisci chiavi e poi su Genera una nuova chiave.
- Copia e incolla la chiave generata in Google SecOps.
Casi d'uso
- Ingloba gli avvisi.
- Recupera informazioni su asset o vulnerabilità.
- Triage degli avvisi.
- Monitorare la conformità.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Dindin
Verifica la connettività a Orca Security con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Pubblica su
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Connessione al server Orca Security riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server di Orca Security. Error is {0}".format(exception.stacktrace) |
Generale |
Aggiorna avviso
Aggiorna un avviso in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Stringa | N/D | Sì | Specifica l'ID dell'avviso da aggiornare. |
| Verifica avviso | Casella di controllo | Deselezionata | No | Se abilitata, l'azione avvia la procedura di verifica per l'avviso. |
| Stato posticipo | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato di posticipo per l'avviso. |
| Giorni di posticipo | Stringa | 1 | No | Specifica il numero di giorni per cui l'avviso deve essere posticipato. Questo parametro è obbligatorio se il parametro "Stato posticipo" è impostato su "Posticipa". Se non viene fornito nulla, l'azione posticipa l'avviso di 1 giorno. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato da impostare per l'avviso. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Avviso con ID "{id}" aggiornato correttamente in Orca Security". Se viene segnalato l'errore "requested to set same configuration" (is_success=true): "Alert with ID "{id}" already has status "{status}" in Orca Security." (Avviso con ID "{id}" ha già lo stato "{status}" in Orca Security.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: {0}''.format(error.Stacktrace)" Se viene segnalato un altro errore: "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: {error}." Se per il parametro "Stato posticipo" è selezionata l'opzione "Seleziona uno": "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: "Snooze Day" deve essere fornito. Se è selezionata l'opzione "Seleziona uno" per il parametro "Stato di sospensione" o "Stato" e il parametro "Verifica avviso" non è attivato: "Errore durante l'esecuzione dell'azione "Aggiorna avviso". Motivo: è necessario fornire almeno uno dei seguenti parametri: "Stato", "Verifica avviso", "Posticipa avviso". |
Generale |
Aggiungi commento all'avviso
Aggiungi un commento all'avviso in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID avviso | Stringa | N/D | Sì | Specifica l'ID dell'avviso a cui l'azione deve aggiungere un commento. |
| Commento | Stringa | N/D | Sì | Specifica il commento da aggiungere all'avviso. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Commento aggiunto correttamente all'avviso con ID "{id}" in Orca Security". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'avviso". Motivo: {0}''.format(error.Stacktrace)" Se viene segnalato un errore: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'avviso". Motivo: {error}." |
Generale |
Recupera dettagli asset
Descrizione
Recupera informazioni sugli asset da Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risorse | CSV | N/D | Sì | Specifica un elenco separato da virgole di ID risorsa per i quali vuoi restituire i dettagli. |
| Restituisci informazioni sulle vulnerabilità | Casella di controllo | Selezionata | No | Se abilitata, l'azione restituisce le vulnerabilità correlate all'asset. |
| Gravità minima per le vulnerabilità | DDL | Pericolosa Valori possibili:
|
No | La gravità minima da utilizzare per recuperare le vulnerabilità. |
| Numero massimo di vulnerabilità da recuperare | Numero intero | 50 | No | Specifica il numero di vulnerabilità da restituire per asset. Massimo: 100 |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se abilitata, l'azione crea un approfondimento per ogni asset arricchito. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un asset (is_success=true): "I seguenti asset sono stati arricchiti correttamente utilizzando le informazioni di Orca Security: {asset id}" Se i dati non sono disponibili per un asset (is_success=true): "L'azione non è riuscita ad arricchire i seguenti asset utilizzando le informazioni di Orca Security: {asset id}" Se i dati non sono disponibili per tutti gli asset (is_success=false): "Nessuno degli asset forniti è stato arricchito." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli asset". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: Dettagli asset Colonne della tabella:
|
Generale |
Ottenere informazioni sulla conformità
Ottieni informazioni sulla conformità in base ai framework selezionati in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nomi dei framework | CSV | N/D | No | Specifica un elenco separato da virgole dei nomi dei framework per i quali vuoi recuperare i dettagli di conformità. Se non viene fornito nulla, l'azione restituisce informazioni su tutti i framework selezionati. |
| Numero massimo di framework da restituire | Numero intero | 50 | No | Specifica il numero di framework da restituire. |
| Crea approfondimento | Casella di controllo | Selezionata | Sì | Se attivata, l'azione crea un approfondimento contenente informazioni sulla conformità. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Informazioni sulla conformità restituite correttamente in Orca Security". Se non viene trovato un framework (is_success=true): "Le informazioni dei seguenti framework non sono state trovate in Orca Security. Controlla l'ortografia." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni informazioni sulla conformità". Motivo: {0}''.format(error.Stacktrace)" Se non vengono trovati tutti i framework (is_success=false): "Error executing action "Get Compliance Info". Motivo: nessuno dei framework forniti è stato trovato in Orca Security. Controlla l'ortografia. |
Generale |
| Tabella Bacheca casi | Nome tabella:Dettagli conformità Colonne della tabella:
|
Generale |
Scansione degli asset
Esegui la scansione degli asset in Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID risorse | Stringa | N/D | Sì | Specifica un elenco separato da virgole di ID risorsa per i quali vuoi restituire i dettagli. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un asset (is_success=true): "Scansione riuscita dei seguenti asset in Orca Security: {asset name}". Se i dati non sono disponibili per un asset o l'asset non viene trovato (is_success=true): "L'azione non è riuscita a eseguire la scansione dei seguenti asset utilizzando Orca Security: {asset name}" Se i dati non sono disponibili per tutti gli asset (is_success=false): "Nessuno degli asset forniti è stato scansionato." Messaggio asincrono: "Asset in attesa: {asset names}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Scansiona asset". Motivo: {0}''.format(error.Stacktrace)" Se si è verificato un timeout: "Errore durante l'esecuzione dell'azione "Scansiona asset". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Asset in attesa: {assets that are still in progress}. Aumenta il timeout nell'IDE." |
Generale |
Recuperare i dettagli della vulnerabilità
Descrizione
Recupera informazioni sulle vulnerabilità da Orca Security.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID CVE | CSV | N/D | No | Specifica un elenco separato da virgole di CVE da arricchire. |
| Crea approfondimento | Casella di controllo | Selezionata | No | Se abilitata, l'azione crea un insight per ogni vulnerabilità arricchita. La creazione di insight non è influenzata dal filtro che può essere applicato con il parametro "Campi da restituire". |
| Numero massimo di asset da restituire | Numero intero | 50 | No | Specifica quanti asset correlati alla CVE restituire. Massimo: 10.000 |
| Campi da restituire | CSV | N/D | No | Specifica un elenco separato da virgole dei campi da restituire. Se le vulnerabilità non hanno campi specifici da restituire, i valori di questi campi vengono impostati su null. Nota:questo parametro controlla l'oggetto JSON, così come è stato compresso. Esempio: "object": {"id": 123} -> object_id è la chiave. |
| Output | DDL | JSON Valori possibili:
|
No | Specifica il tipo di output per l'azione. Se è selezionato "JSON", l'azione restituisce un risultato JSON normale. Se è selezionato "CSV", l'azione crea un file nella cartella di esecuzione dell'azione e il risultato JSON contiene un percorso a quel file. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per una vulnerabilità (is_success=true): "Le seguenti vulnerabilità sono state arricchite correttamente utilizzando le informazioni di Orca Security: {cve id}" Se i dati non sono disponibili per una vulnerabilità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti vulnerabilità utilizzando le informazioni di Orca Security: {id cve}" Se i dati non sono disponibili per tutte le vulnerabilità (is_success=false): "Nessuna delle vulnerabilità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera dettagli vulnerabilità". Motivo: {0}''.format(error.Stacktrace)" |
Generale |
| Tabella Bacheca casi | Nome tabella: Dettagli vulnerabilità Colonne della tabella:
|
Generale |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Orca Security - Alerts Connector
Descrizione
Recupera informazioni sugli avvisi di Orca Security.
Configura Orca Security - Alerts Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | asset_type_string | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern di espressione regolare da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https:/:8501 | Sì | Radice API dell'istanza di Orca Security. |
| Chiave API | Stringa | N/D | Sì | Chiave API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Token API | Stringa | N/D | Sì | Token API dell'account dell'istanza di Orca Security. Se vengono forniti entrambi i parametri "Chiave API" e "Token API", viene utilizzato il parametro "Token API". |
| Filtro per categoria | CSV | N/D | No | Un elenco separato da virgole di nomi di categorie da utilizzare durante l'importazione degli avvisi. Nota:questo parametro è sensibile alle maiuscole. |
| Priorità minima di recupero | Stringa | N/D | No | La gravità minima da utilizzare per recuperare gli avvisi. Valori possibili: Compromesso, Compromissione imminente, Pericoloso, Informativo Se non viene specificato nulla, il connettore acquisisce gli avvisi con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli avvisi. |
| Numero massimo di avvisi da recuperare | Numero intero | 100 | No | Numero di avvisi da elaborare per un'iterazione del connettore. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Deselezionata | Sì | Se abilitate, le liste dinamiche vengono utilizzate come lista nera. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Orca Security sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
| Filtro tipo di avviso | CSV | N/D | No | Tipo di avvisi da importare. Questo filtro funziona con il
parametro AlertType_value nella risposta. Esempio:
aws_s3_bucket_accessible_to_unmonitored_account |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.