Orca Security
統合バージョン: 8.0
Google Security Operations で Orca Security の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| UI ルート | 文字列 | https://{ui instance} | はい | Orca Security インスタンスの UI ルート。 |
| API ルート | 文字列 | https://{api instance} | はい | Orca Security インスタンスの API ルート。 |
| API キー | 文字列 | なし | はい | Orca Security インスタンス アカウントの API キー。 「API キー」と「API トークン」の両方のパラメータが指定されている場合は、「API トークン」パラメータが使用されます。 |
| API トークン | 文字列 | なし | はい | Orca Security インスタンス アカウントの API トークン。 「API キー」と「API トークン」の両方のパラメータが指定されている場合は、「API トークン」パラメータが使用されます。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Orca Security SIEM サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
API キーの生成方法
- [設定] -> [インテグレーション] -> [Orca API] に移動します。
- [キーを管理] をクリックし、[新しいキーを生成] をクリックします。
- 生成された鍵をコピーして Google SecOps に貼り付けます。
ユースケース
- アラートを取り込みます。
- アセットまたは脆弱性に関する情報を取得します。
- アラートをトリアージします。
- コンプライアンスを追跡する。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Orca Security への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Orca Security サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合: 「Orca Security サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
アラートを更新
Orca Security でアラートを更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 更新するアラートの ID を指定します。 |
| アラートを確認する | チェックボックス | オフ | いいえ | 有効にすると、アラートの検証プロセスが開始されます。 |
| スヌーズ状態 | DDL | 1 つ選択 有効な値:
|
いいえ | アラートのスヌーズ状態を指定します。 |
| スヌーズ日数 | 文字列 | 1 | いいえ | アラートをスヌーズする日数を指定します。 [Snooze State] パラメータが [Snooze] に設定されている場合、このパラメータは必須です。 何も指定しないと、アクションによってアラートが 1 日間スヌーズされます。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
いいえ | アラートに設定するステータスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Orca Security で ID "{id}" のアラートが正常に更新されました。」 「requested to set same configuration」エラーが報告された場合(is_success=true): 「Orca Security で ID "{id}" のアラートのステータスはすでに "{status}" です。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラートの更新」の実行エラー。理由: {0}「.format(error.Stacktrace)」 その他のエラーが報告された場合: 「アクション「アラートの更新」の実行エラー。理由: {error}。」 「スヌーズ状態」パラメータで「1 つ選択」が選択されている場合:「アクション「アラートの更新」の実行エラー。理由: 「スヌーズの日」を指定する必要があります。」 「スヌーズ状態」または「ステータス」パラメータで「1 つ選択」が選択され、「アラートの確認」パラメータが有効になっていない場合:「アクション「アラートの更新」の実行エラー。理由: 次のパラメータのいずれか 1 つ以上を指定する必要があります: 「Status」、「Verify Alert」、「Snooze Alert」。 |
全般 |
アラートにコメントを追加
Orca Security のアラートにコメントを追加します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | アクションでコメントを追加する必要があるアラートの ID を指定します。 |
| コメント | 文字列 | なし | はい | アラートに追加する必要があるコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Orca Security で ID "{id}" のアラートにコメントが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラートにコメントを追加」の実行エラー。理由: {0}「.format(error.Stacktrace)」 エラーが報告された場合: 「アクション「アラートにコメントを追加」の実行エラー。理由: {error}。」 |
全般 |
アセットの詳細を取得する
説明
Orca Security からアセットに関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アセット ID | CSV | なし | はい | 詳細を返すアセット ID のカンマ区切りのリストを指定します。 |
| 脆弱性情報を返す | チェックボックス | オン | いいえ | 有効にすると、アクションはアセットに関連する脆弱性を返します。 |
| 脆弱性の最も低い重大度 | DDL | 危険 有効な値:
|
いいえ | 脆弱性を取得するために使用する必要がある最も低い重大度。 |
| 取得する脆弱性の最大数 | Integer | 50 | いいえ | アセットごとに返される脆弱性の数を指定します。 最大値: 100 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、拡充されたアセットごとに分析情報が作成されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのアセットにデータが利用可能な場合(is_success=true): 「Orca Security の情報を使用して次のアセットを拡充しました: {アセット ID}」 1 つのアセットにデータが利用できない場合(is_success=true): 「Orca Security の情報を使用して次のアセットを拡充できませんでした: {アセット ID}」 すべてのアセットでデータが利用できない場合(is_success=false): 「指定されたアセットはいずれも拡充されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アセットの詳細を取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: アセットの詳細テーブル列:
|
全般 |
コンプライアンス情報を取得する
Orca Security で、選択したフレームワークに基づくコンプライアンスに関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| フレームワーク名 | CSV | なし | いいえ | コンプライアンスの詳細を取得するフレームワークの名前のカンマ区切りのリストを指定します。 何も指定しないと、アクションで選択したすべてのフレームワークに関する情報が返されます。 |
| 返される最大フレームワーク数 | Integer | 50 | いいえ | 返すフレームワークの数を指定します。 |
| インサイトの作成 | チェックボックス | オン | はい | 有効にすると、アクションによってコンプライアンスに関する情報を含む分析情報が作成されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 ステータス コード 200 が報告された場合(is_success=true): 「Orca Security でコンプライアンスに関する情報が正常に返されました。」 1 つのフレームワークが見つからない場合(is_success=true): 「次のフレームワークの情報が Orca Security で見つかりませんでした。スペルを確認してください。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「コンプライアンス情報の取得」の実行エラー。理由: {0}「.format(error.Stacktrace)」 すべてのフレームワークが見つからない場合(is_success=false): 「アクション「コンプライアンス情報の取得」の実行エラー。理由: 指定されたフレームワークが Orca Security で見つかりませんでした。スペルを確認してください。 |
全般 |
| Case Wall テーブル | テーブル名: コンプライアンスの詳細 テーブル列:
|
全般 |
アセットをスキャンする
Orca Security でアセットをスキャンする。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アセット ID | 文字列 | なし | はい | 詳細を返すアセット ID のカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのアセットにデータが利用可能な場合(is_success=true): 「Orca Security で次のアセットが正常にスキャンされました: {アセット名}」 1 つのアセットのデータが利用できない場合、またはアセットが見つからない場合(is_success=true): 「Orca Security で次のアセットをスキャンできませんでした: {アセット名}」 すべてのアセットでデータが利用できない場合(is_success=false): 「指定されたアセットはいずれもスキャンされませんでした。」 非同期メッセージ: 「保留中のアセット: {アセット名}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アセットのスキャン」の実行エラー。理由: {0}「.format(error.Stacktrace)」 タイムアウトが発生した場合: 「アクション「アセットをスキャン」の実行エラー。理由: アクションの実行中にタイムアウトしました。保留中のアセット: {まだ進行中のアセット}。IDE でタイムアウトを長くしてください。」 |
全般 |
脆弱性の詳細を取得する
説明
Orca Security から脆弱性に関する情報を取得します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| CVE ID | CSV | なし | いいえ | 拡充する必要がある CVE のカンマ区切りのリストを指定します。 |
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、拡充された脆弱性ごとに分析情報が作成されます。 分析情報の作成は、「返されるフィールド」パラメータで指定できるフィルタリングの影響を受けません。 |
| 返されるアセットの最大数 | Integer | 50 | いいえ | CVE に関連するアセットの数を指定します。 最大値: 10,000 |
| 返されるフィールド | CSV | なし | いいえ | 返す必要のあるフィールドのカンマ区切りのリストを指定します。 脆弱性に返す特定のフィールドがない場合、そのようなフィールドの値は null に設定されます。 注: このパラメータは、フラット化された JSON オブジェクトをチェックします。 例: "object": {"id": 123} -> object_id がキーです。 |
| 出力 | DDL | JSON 有効な値:
|
いいえ | アクションの出力のタイプを指定します。 [JSON] が選択されている場合、アクションは通常の JSON 結果を返します。 [CSV] を選択すると、アクションによってアクション実行フォルダにファイルが作成され、JSON 結果にそのファイルへのパスが含まれます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つの脆弱性にデータが利用可能な場合(is_success=true): 「Orca Security の情報を使用して、次の脆弱性を拡充しました: {cve id}」 1 つの脆弱性にデータが利用できない場合(is_success=true): 「Orca Security の情報を使用して次の脆弱性を拡充できませんでした: {cve id}」 すべての脆弱性でデータが利用可能でない場合(is_success=false):「指定された脆弱性はいずれも拡充されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合: 「アクション「脆弱性の詳細を取得」の実行エラー。理由: {0}「.format(error.Stacktrace)」 |
全般 |
| Case Wall テーブル | テーブル名: 脆弱性の詳細 テーブル列:
|
全般 |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Orca Security - アラート コネクタ
説明
Orca Security からアラートに関する情報を pull します。
Google SecOps で Orca Security - アラート コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | asset_type_string | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックを使用して環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https:/:8501 | はい | Orca Security インスタンスの API ルート。 |
| API キー | 文字列 | なし | はい | Orca Security インスタンス アカウントの API キー。 「API キー」と「API トークン」の両方のパラメータが指定されている場合は、「API トークン」パラメータが使用されます。 |
| API トークン | 文字列 | なし | はい | Orca Security インスタンス アカウントの API トークン。 「API キー」と「API トークン」の両方のパラメータが指定されている場合は、「API トークン」パラメータが使用されます。 |
| カテゴリ フィルタ | CSV | なし | いいえ | アラートの取り込み時に使用するカテゴリ名のカンマ区切りリスト。 注: このパラメータでは大文字と小文字が区別されます。 |
| 取得する最も低い優先度 | 文字列 | なし | いいえ | アラートの取得に使用する必要がある最も低い重大度。 指定できる値: Compromised、Imminent compromise、Hazardous、Informational 何も指定しないと、コネクタはすべての重大度のアラートを取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | アラートを取得した時点からの経過時間数。 |
| 取得するアラートの最大数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で処理するアラートの数。 |
| 動的リストを拒否リストとして使用する | チェックボックス | オフ | はい | 有効にすると、動的リストが拒否リストとして使用されます。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効になっている場合は、Orca Security サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
| アラートの種類のフィルタ | CSV | なし | いいえ | 取り込む必要のあるアラートのタイプ。このフィルタは、レスポンスの AlertType_value パラメータと連携して機能します。例: aws_s3_bucket_accessible_to_unmonitored_account |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。