Orca Security
통합 버전: 8.0
Google Security Operations에서 Orca Security 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| UI 루트 | 문자열 | https://{ui instance} | 예 | Orca Security 인스턴스의 UI 루트입니다. |
| API 루트 | 문자열 | https://{api instance} | 예 | Orca Security 인스턴스의 API 루트입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | Orca Security 인스턴스 계정의 API 키입니다. 'API 키' 및 'API 토큰' 매개변수가 모두 제공되면 'API 토큰' 매개변수가 사용됩니다. |
| API 토큰 | 문자열 | 해당 사항 없음 | 예 | Orca Security 인스턴스 계정의 API 토큰입니다. 'API 키' 및 'API 토큰' 매개변수가 모두 제공되면 'API 토큰' 매개변수가 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Orca Security SIEM 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
API 키를 생성하는 방법
- 설정-> 통합-> Orca API로 이동합니다.
- 키 관리를 클릭한 후 새 키 생성을 클릭합니다.
- 생성된 키를 복사하여 Google SecOps에 붙여넣습니다.
사용 사례
- 알림을 수집합니다.
- 애셋 또는 취약점에 관한 정보를 가져옵니다.
- 알림 분류
- 규정 준수 추적
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Orca Security에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Orca Security 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Orca Security 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
알림 업데이트
Orca Security에서 알림을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 알림의 ID를 지정합니다. |
| 알림 확인 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업이 알림의 확인 프로세스를 시작합니다. |
| 다시 알림 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 알림의 일시중지 상태를 지정합니다. |
| 다시 알림 일수 | 문자열 | 1 | 아니요 | 알림을 일시중지할 일수를 지정합니다. '일시중지 상태' 매개변수가 '일시중지'로 설정된 경우 이 매개변수는 필수입니다. 아무것도 제공되지 않으면 작업은 알림을 1일 동안 일시중지합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 알림에 설정할 상태를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Orca Security에서 ID가 '{id}'인 알림을 업데이트했습니다.' '동일한 구성을 설정하도록 요청됨' 오류가 보고된 경우 (is_success=true): 'ID가 '{id}'인 알림의 상태가 Orca Security에서 이미 '{status}'입니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 업데이트' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 기타 오류가 보고된 경우: "Error executing action "Update Alert". 이유: {error}' '스누즈 상태' 매개변수에 '하나 선택'이 선택된 경우: ''알림 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '스누즈 요일'이 제공되어야 합니다." '스누즈 상태' 또는 '상태' 매개변수에 '하나 선택'이 선택되어 있고 '알림 확인' 매개변수가 사용 설정되어 있지 않은 경우: ''알림 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 'Status', 'Verify Alert', 'Snooze Alert' 매개변수 중 하나 이상을 제공해야 합니다. |
일반 |
알림에 댓글 추가
Orca Security의 알림에 댓글을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 작업에서 댓글을 추가해야 하는 알림의 ID를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 알림에 추가해야 하는 댓글을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Orca Security에서 ID가 '{id}'인 알림에 의견을 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림에 의견 추가' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 오류가 보고된 경우: "Error executing action "Add Comment To Alert". 이유: {error}' |
일반 |
애셋 세부정보 가져오기
설명
Orca Security에서 애셋에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 저작물 ID | CSV | 해당 사항 없음 | 예 | 세부정보를 반환할 애셋 ID를 쉼표로 구분한 목록을 지정합니다. |
| 취약점 정보 반환 | 체크박스 | 선택 | 아니요 | 사용 설정하면 이 작업이 애셋과 관련된 취약점을 반환합니다. |
| 취약점의 가장 낮은 심각도 | DDL | 위험 가능한 값은 다음과 같습니다.
|
아니요 | 취약점을 가져오는 데 사용해야 하는 가장 낮은 심각도입니다. |
| 가져올 최대 취약점 수 | 정수 | 50 | 아니요 | 애셋당 반환할 취약점 수를 지정합니다. 최대: 100 |
| 통계 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 보강된 애셋마다 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 애셋에 데이터를 사용할 수 있는 경우 (is_success=true): 'Orca Security: {asset id}의 정보를 사용하여 다음 애셋을 성공적으로 보강했습니다.' 하나의 애셋에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Orca Security: {asset id}의 정보를 사용하여 다음 애셋을 보강할 수 없습니다.' 일부 애셋에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 애셋이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''애셋 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 애셋 세부정보 표 열:
|
일반 |
규정 준수 정보 가져오기
Orca Security에서 선택한 프레임워크에 따라 규정 준수에 관한 정보를 확인하세요.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 프레임워크 이름 | CSV | 해당 사항 없음 | 아니요 | 규정 준수 세부정보를 가져올 프레임워크 이름을 쉼표로 구분하여 지정합니다. 아무것도 제공되지 않으면 작업에서 선택된 모든 프레임워크에 관한 정보를 반환합니다. |
| 반환할 최대 프레임워크 수 | 정수 | 50 | 아니요 | 반환할 프레임워크 수를 지정합니다. |
| 통계 만들기 | 체크박스 | 선택 | 예 | 사용 설정하면 작업에서 규정 준수에 관한 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Orca Security에서 규정 준수에 관한 정보를 반환했습니다.' 프레임워크를 하나 찾을 수 없는 경우 (is_success=true): 'Orca Security에서 다음 프레임워크의 정보를 찾을 수 없습니다. 철자를 확인하세요." 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''규정 준수 정보 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 모든 프레임워크를 찾을 수 없는 경우 (is_success=false): '규정 준수 정보 가져오기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 제공된 프레임워크가 Orca Security에 없습니다. 맞춤법을 확인하세요. |
일반 |
| 케이스 월 테이블 | 표 이름: 규정 준수 세부정보 테이블 열:
|
일반 |
애셋 스캔
Orca Security에서 애셋을 스캔합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 저작물 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 반환할 애셋 ID를 쉼표로 구분한 목록을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 애셋에 데이터를 사용할 수 있는 경우 (is_success=true): 'Orca Security: {애셋 이름}에서 다음 애셋을 성공적으로 스캔했습니다.' 하나의 애셋에 데이터를 사용할 수 없거나 애셋을 찾을 수 없는 경우 (is_success=true): '작업이 Orca Security: {asset name}를 사용하여 다음 애셋을 스캔할 수 없습니다.' 일부 애셋에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 애셋이 스캔되지 않았습니다.' 비동기 메시지: '대기 중인 애셋: {애셋 이름}' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''애셋 스캔' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 제한 시간이 초과된 경우: ''애셋 스캔' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 애셋: {아직 진행 중인 애셋}. IDE에서 제한 시간을 늘리세요.' |
일반 |
취약점 세부정보 가져오기
설명
Orca Security에서 취약점에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| CVE ID | CSV | 해당 사항 없음 | 아니요 | 강화해야 하는 CVE를 쉼표로 구분된 목록으로 지정합니다. |
| 통계 만들기 | 체크박스 | 선택 | 아니요 | 사용 설정하면 작업에서 보강된 취약점마다 통계를 만듭니다. '반환할 필드' 매개변수를 사용하여 필터링해도 통계 생성에는 영향을 미치지 않습니다. |
| 반환할 최대 애셋 수 | 정수 | 50 | 아니요 | CVE와 관련된 애셋을 몇 개 반환할지 지정합니다. 최대: 10000 |
| 반환할 필드 | CSV | 해당 사항 없음 | 아니요 | 반환해야 하는 필드의 쉼표로 구분된 목록을 지정합니다. 취약점에 반환할 특정 필드가 없는 경우 이러한 필드 값은 null로 설정됩니다. 참고: 이 매개변수는 평면화된 JSON 객체를 확인합니다. 예: 'object': {'id': 123} -> object_id가 키입니다. |
| 출력 | DDL | JSON 가능한 값은 다음과 같습니다.
|
아니요 | 작업의 출력 유형을 지정합니다. 'JSON'을 선택하면 작업에서 일반 JSON 결과를 반환합니다. 'CSV'를 선택하면 작업이 작업 실행 폴더에 파일을 만들고 JSON 결과에 해당 파일의 경로가 포함됩니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 취약점에 데이터를 사용할 수 있는 경우 (is_success=true): 'Orca Security: {cve id}의 정보를 사용하여 다음 취약점을 성공적으로 보강했습니다.' 하나의 취약점에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Orca Security: {cve id}의 정보를 사용하여 다음 취약점을 보강할 수 없습니다.' 일부 취약점에 데이터를 사용할 수 없는 경우 (is_success=false): '제공된 취약점이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''취약점 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' |
일반 |
| 케이스 월 테이블 | 표 이름: 취약점 세부정보 테이블 열:
|
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Orca Security - 알림 커넥터
설명
Orca Security에서 알림에 관한 정보를 가져옵니다.
Google SecOps에서 Orca Security - Alerts Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | asset_type_string | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https:/:8501 | 예 | Orca Security 인스턴스의 API 루트입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 예 | Orca Security 인스턴스 계정의 API 키입니다. 'API 키' 및 'API 토큰' 매개변수가 모두 제공되면 'API 토큰' 매개변수가 사용됩니다. |
| API 토큰 | 문자열 | 해당 사항 없음 | 예 | Orca Security 인스턴스 계정의 API 토큰입니다. 'API 키' 및 'API 토큰' 매개변수가 모두 제공되면 'API 토큰' 매개변수가 사용됩니다. |
| 카테고리 필터 | CSV | 해당 사항 없음 | 아니요 | 알림을 수집하는 동안 사용해야 하는 쉼표로 구분된 카테고리 이름 목록입니다. 참고: 이 매개변수는 대소문자를 구분합니다. |
| 가져올 가장 낮은 우선순위 | 문자열 | 해당 사항 없음 | 아니요 | 알림을 가져오는 데 사용해야 하는 가장 낮은 심각도입니다. 가능한 값: Compromised, Imminent compromise, Hazardous, Informational 아무것도 지정하지 않으면 커넥터가 모든 심각도의 알림을 수집합니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 알림을 가져올 위치로부터의 시간입니다. |
| 가져올 최대 알림 수 | 정수 | 100 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. |
| 동적 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Orca Security 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
| 알림 유형 필터 | CSV | 해당 사항 없음 | 아니요 | 수집해야 하는 알림 유형입니다. 이 필터는 응답의 AlertType_value 매개변수와 함께 작동합니다. 예를 들면 aws_s3_bucket_accessible_to_unmonitored_account입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.