Orca Security
Versão da integração: 8.0
Configure a integração do Orca Security no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da IU | String | https://{ui instance} | Sim | Raiz da IU da instância do Orca Security. |
| Raiz da API | String | https://{api instance} | Sim | Raiz da API da instância do Orca Security. |
| Chave de API | String | N/A | Sim | Chave da API da conta da instância do Orca Security. Se forem fornecidos os parâmetros "Chave da API" e "Token da API", é usado o parâmetro "Token da API". |
| Chave da API | String | N/A | Sim | Token da API da conta da instância do Orca Security. Se forem fornecidos os parâmetros "Chave da API" e "Token da API", é usado o parâmetro "Token da API". |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor SIEM da Orca Security é válido. |
Como gerar uma chave da API
- Aceda a Definições-> Integrações-> API Orca.
- Clique em Gerir chaves e, de seguida, em Gerar uma nova chave.
- Copie e cole a chave gerada no Google SecOps.
Exemplos de utilização
- Alertas de carregamento.
- Obtenha informações sobre recursos ou vulnerabilidades.
- Triagem de alertas.
- Acompanhe a conformidade.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Tchim-tchim
Teste a conetividade ao Orca Security com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
É apresentado em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação estabelecida com êxito ao servidor do Orca Security com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor de segurança do Orca! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar alerta
Atualize um alerta no Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta que tem de ser atualizado. |
| Validar alerta | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação inicia o processo de validação do alerta. |
| Estado de suspensão | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado de suspensão do alerta. |
| Dias de suspensão | String | 1 | Não | Especifique o número de dias durante os quais o alerta tem de ser adiado. Este parâmetro é obrigatório se o parâmetro "Snooze State" estiver definido como "Snooze". Se não for fornecido nada, a ação adia o alerta durante 1 dia. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado a definir para o alerta. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "Successfully updated alert with ID "{id}" in Orca Security." (Alerta atualizado com êxito com o ID "{id}" no Orca Security.) Se for comunicado o erro "requested to set same configuration" (is_success=true): "O alerta com o ID "{id}" já tem o estado "{status}" no Orca Security." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar alerta". Motivo: {0}''.format(error.Stacktrace)" Se for comunicado outro erro: "Erro ao executar a ação "Atualizar alerta". Motivo: {error}." Se "Selecionar uma" estiver selecionado para o parâmetro "Estado de suspensão": "Erro ao executar a ação "Atualizar alerta". Motivo: tem de indicar o "Dia de adiamento". Se "Selecionar uma" estiver selecionado para o parâmetro "Estado de adiamento" ou "Estado" e o parâmetro "Validar alerta" não estiver ativado: "Erro ao executar a ação "Atualizar alerta". Motivo: tem de fornecer, pelo menos, um dos seguintes parâmetros: "Status", "Verify Alert", "Snooze Alert". |
Geral |
Adicionar comentário ao alerta
Adicione um comentário ao alerta no Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta ao qual a ação tem de adicionar um comentário. |
| Comentário | String | N/A | Sim | Especifique o comentário que tem de ser adicionado ao alerta. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "Foi adicionado um comentário com êxito ao alerta com o ID "{id}" no Orca Security." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {0}''.format(error.Stacktrace)" Se for comunicado um erro: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {error}." |
Geral |
Obtenha detalhes do recurso
Descrição
Recupere informações sobre recursos da Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs dos recursos | CSV | N/A | Sim | Especifique uma lista de IDs de recursos separados por vírgulas para os quais quer devolver detalhes. |
| Devolva informações de vulnerabilidades | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação devolve vulnerabilidades relacionadas com o recurso. |
| Gravidade mais baixa para vulnerabilidades | LDD | Perigoso Valores possíveis:
|
Não | A gravidade mais baixa que tem de ser usada para obter vulnerabilidades. |
| Máximo de vulnerabilidades a obter | Número inteiro | 50 | Não | Especifique o número de vulnerabilidades a devolver por recurso. Máximo: 100 |
| Crie estatísticas | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística para cada recurso enriquecido. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um recurso (is_success=true): "Enriqueceu com êxito os seguintes recursos com informações da Orca Security: {asset id}" Se os dados não estiverem disponíveis para um recurso (is_success=true): "Não foi possível enriquecer os seguintes recursos com informações da Orca Security: {asset id}" Se os dados não estiverem disponíveis para todos os recursos (is_success=false): "Nenhum dos recursos fornecidos foi enriquecido." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter detalhes do recurso". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: detalhes do recurso Colunas da tabela:
|
Geral |
Receba informações de conformidade
Receba informações sobre a conformidade com base nas estruturas selecionadas no Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes das frameworks | CSV | N/A | Não | Especifique uma lista separada por vírgulas dos nomes das frameworks para as quais quer obter detalhes de conformidade. Se não for fornecido nada, a ação devolve informações sobre todas as frameworks selecionadas. |
| Max Frameworks To Return | Número inteiro | 50 | Não | Especifique o número de frameworks a devolver. |
| Crie estatísticas | Caixa de verificação | Marcado | Sim | Se estiver ativada, a ação cria uma estatística com informações sobre a conformidade. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "As informações sobre a conformidade no Orca Security foram devolvidas com êxito." Se não for encontrado um framework (is_success=true): "Não foram encontradas informações dos seguintes frameworks no Orca Security. Verifique a ortografia." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter informações de conformidade". Motivo: {0}''.format(error.Stacktrace)" Se não forem encontrados todos os frameworks (is_success=false): "Erro ao executar a ação "Get Compliance Info". Motivo: não foram encontradas nenhuma das estruturas fornecidas no Orca Security. Verifique a ortografia. |
Geral |
| Tabela de parede da caixa | Nome da tabela: detalhes de conformidade Colunas da tabela:
|
Geral |
Analise recursos
Analise recursos no Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs dos recursos | String | N/A | Sim | Especifique uma lista de IDs de recursos separados por vírgulas para os quais quer devolver detalhes. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para um recurso (is_success=true): "Os seguintes recursos foram analisados com êxito no Orca Security: {nome do recurso}". Se os dados não estiverem disponíveis para um recurso ou o recurso não for encontrado (is_success=true): "A ação não conseguiu analisar os seguintes recursos através do Orca Security: {asset name}" Se os dados não estiverem disponíveis para todos os recursos (is_success=false): "Nenhum dos recursos fornecidos foi analisado." Mensagem assíncrona: "Recursos pendentes: {asset names}" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Analisar recursos". Motivo: {0}''.format(error.Stacktrace)" Se tiver um limite de tempo: "Erro ao executar a ação "Analisar recursos". Motivo: a ação excedeu o limite de tempo durante a execução. Recursos pendentes: {assets that are still in progress}. Aumente o limite de tempo no IDE." |
Geral |
Obtenha detalhes da vulnerabilidade
Descrição
Obtenha informações sobre vulnerabilidades da Orca Security.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de CVE | CSV | N/A | Não | Especifique uma lista separada por vírgulas de CVEs que precisam de ser enriquecidas. |
| Crie estatísticas | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística para cada vulnerabilidade enriquecida. A criação de estatísticas não é afetada pela filtragem que pode ser feita com o parâmetro "Campos a devolver". |
| Max Assets To Return | Número inteiro | 50 | Não | Especifique quantos recursos relacionados com a CVE devem ser devolvidos. Máximo: 10 000 |
| Campos a devolver | CSV | N/A | Não | Especifique uma lista de campos separados por vírgulas que têm de ser devolvidos. Se as vulnerabilidades não tiverem campos específicos para devolver, os valores desses campos são definidos como nulos. Nota: este parâmetro verifica o objeto JSON, uma vez que foi reduzido. Exemplo: "object": {"id": 123} -> object_id é a chave. |
| Resultado | LDD | JSON Valores possíveis:
|
Não | Especifique o tipo de saída da ação. Se "JSON" estiver selecionado, a ação devolve um resultado JSON normal. Se "CSV" for selecionado, a ação cria um ficheiro na pasta de execução da ação e o resultado JSON contém um caminho para esse ficheiro. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma vulnerabilidade (is_success=true): "Enriquecimento bem-sucedido das seguintes vulnerabilidades com informações da Orca Security: {cve id}" Se os dados não estiverem disponíveis para uma vulnerabilidade (is_success=true): "Não foi possível enriquecer as seguintes vulnerabilidades com informações da Orca Security: {cve id}" Se os dados não estiverem disponíveis para todas as vulnerabilidades (is_success=false): "Nenhuma das vulnerabilidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter detalhes da vulnerabilidade". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
| Tabela de parede da caixa | Nome da tabela: detalhes da vulnerabilidade Colunas da tabela:
|
Geral |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Orca Security - Alerts Connector
Descrição
Extraia informações sobre alertas da Orca Security.
Configure o conetor de alertas do Orca Security no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | asset_type_string | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de expressões regulares. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https:/:8501 | Sim | Raiz da API da instância do Orca Security. |
| Chave de API | String | N/A | Sim | Chave da API da conta da instância do Orca Security. Se forem fornecidos os parâmetros "Chave da API" e "Token da API", é usado o parâmetro "Token da API". |
| Chave da API | String | N/A | Sim | Token da API da conta da instância do Orca Security. Se forem fornecidos os parâmetros "Chave da API" e "Token da API", é usado o parâmetro "Token da API". |
| Filtro de categoria | CSV | N/A | Não | Uma lista de nomes de categorias separados por vírgulas que devem ser usados durante o carregamento dos alertas. Nota: este parâmetro é sensível a maiúsculas e minúsculas. |
| Prioridade mais baixa para obter | String | N/A | Não | A gravidade mais baixa que tem de ser usada para obter alertas. Valores possíveis: Compromised, Imminent compromise, Hazardous, Informational Se não for especificado nada, o conector carrega alertas com todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter alertas. |
| Máximo de alertas a obter | Número inteiro | 100 | Não | Número de alertas a processar por iteração de conetor. |
| Use uma lista dinâmica como lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, as listas dinâmicas são usadas como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor da Orca Security é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
| Filtro de tipo de alerta | CSV | N/A | Não | Tipo dos alertas que têm de ser carregados. Este filtro funciona com o parâmetro AlertType_value na resposta. Exemplo:
aws_s3_bucket_accessible_to_unmonitored_account |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.