Segurança do Orca
Versão da integração: 8.0
Configurar a integração da Orca Security no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da interface | String | https://{ui instance} | Sim | Raiz da interface da instância do Orca Security. |
| Raiz da API | String | https://{api instance} | Sim | Raiz da API da instância do Orca Security. |
| Chave de API | String | N/A | Sim | Chave de API da conta da instância do Orca Security. Se os parâmetros "Chave de API" e "Token de API" forem fornecidos, o parâmetro "Token de API" será usado. |
| Token da API | String | N/A | Sim | Token de API da conta da instância do Orca Security. Se os parâmetros "Chave de API" e "Token de API" forem fornecidos, o parâmetro "Token de API" será usado. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor SIEM da Orca Security é válido. |
Como gerar uma chave de API
- Acesse Configurações > Integrações > API Orca.
- Clique em Gerenciar chaves e em Gerar uma nova chave.
- Copie e cole a chave gerada no Google SecOps.
Casos de uso
- Ingerir alertas.
- Buscar informações sobre recursos ou vulnerabilidades.
- Triar alertas.
- Monitorar a conformidade.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Ping
Teste a conectividade com o Orca Security usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Data de execução
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão concluída com o servidor da Orca Security usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor da Orca Security! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar alerta
Atualize um alerta no Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta que precisa ser atualizado. |
| Verificar alerta | Caixa de seleção | Desmarcado | Não | Se ativada, a ação inicia o processo de verificação do alerta. |
| Estado de suspensão | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique o estado de adiamento do alerta. |
| Dias de soneca | String | 1 | Não | Especifique por quantos dias o alerta precisa ser adiado. Esse parâmetro é obrigatório se o parâmetro "Estado de adiamento" estiver definido como "Adiar". Se nada for fornecido, a ação vai adiar o alerta por um dia. |
| Status | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique o status a ser definido para o alerta. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Alerta com ID "{id}" atualizado com sucesso na Orca Security." Se o erro "requested to set same configuration" for informado (is_success=true): "O alerta com o ID "{id}" já tem o status "{status}" na Orca Security." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar alerta". Motivo: {0}''.format(error.Stacktrace)" Se outro erro for informado: "Erro ao executar a ação "Atualizar alerta". Motivo: {error}." Se "Selecionar um" estiver selecionado para o parâmetro "Estado de adiamento": "Erro ao executar a ação "Atualizar alerta". Motivo: "É necessário informar o dia de adiamento". Se "Selecionar um" estiver selecionado para o parâmetro "Estado de adiamento" ou "Status", e o parâmetro "Verificar alerta" não estiver ativado: "Erro ao executar a ação "Atualizar alerta". Motivo: é necessário informar pelo menos um dos seguintes parâmetros: "Status", "Verificar alerta", "Adiar alerta". |
Geral |
Adicionar comentário ao alerta
Adicione um comentário ao alerta na Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta em que a ação precisa adicionar um comentário. |
| Comentário | String | N/A | Sim | Especifique o comentário que precisa ser adicionado ao alerta. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Um comentário foi adicionado ao alerta com ID "{id}" na Orca Security." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {0}''.format(error.Stacktrace)" Se um erro for informado: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {error}." |
Geral |
Acessar detalhes do recurso
Descrição
Recupere informações sobre recursos do Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Códigos do recurso | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de IDs de recursos para os quais você quer retornar detalhes. |
| Retornar informações de vulnerabilidades | Caixa de seleção | Selecionado | Não | Se ativada, a ação vai retornar vulnerabilidades relacionadas ao recurso. |
| Gravidade mínima para vulnerabilidades | DDL | Perigoso Valores possíveis:
|
Não | A menor gravidade que precisa ser usada para buscar vulnerabilidades. |
| Número máximo de vulnerabilidades a serem buscadas | Número inteiro | 50 | Não | Especifique o número de vulnerabilidades a serem retornadas por recurso. Máximo: 100 |
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight para cada recurso enriquecido. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um recurso (is_success=true): "Enriquecemos os seguintes recursos usando informações da Orca Security: {ID do recurso}" Se os dados não estiverem disponíveis para um recurso (is_success=true): "Não foi possível enriquecer os seguintes recursos usando informações da Orca Security: {ID do recurso}" Se os dados não estiverem disponíveis para todos os recursos (is_success=false): "Nenhum dos recursos fornecidos foi enriquecido." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber detalhes do recurso". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela:Detalhes do recurso Colunas da tabela:
|
Geral |
Receber informações de compliance
Receba informações sobre conformidade com base nas estruturas selecionadas na Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nomes de frameworks | CSV | N/A | Não | Especifique uma lista separada por vírgulas de nomes dos frameworks para os quais você quer recuperar detalhes de compliance. Se nada for fornecido, a ação vai retornar informações sobre todas as estruturas selecionadas. |
| Número máximo de frameworks a serem retornados | Número inteiro | 50 | Não | Especifique o número de frameworks a serem retornados. |
| Criar insight | Caixa de seleção | Selecionado | Sim | Se ativada, a ação cria um insight com informações sobre compliance. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Informações sobre conformidade retornadas com sucesso na Orca Security". Se um framework não for encontrado (is_success=true): "As informações dos seguintes frameworks não foram encontradas na Orca Security. Verifique a ortografia." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber informações de compliance". Motivo: {0}''.format(error.Stacktrace)" Se todos os frameworks não forem encontrados (is_success=false): "Erro ao executar a ação "Get Compliance Info". Motivo: nenhum dos frameworks fornecidos foi encontrado no Orca Security. Verifique a ortografia. |
Geral |
| Tabela do painel de casos | Nome da tabela:Detalhes de compliance Colunas da tabela:
|
Geral |
Verificar recursos
Verificar recursos no Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Códigos do recurso | String | N/A | Sim | Especifique uma lista separada por vírgulas de IDs de recursos para os quais você quer retornar detalhes. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para um recurso (is_success=true): "Os seguintes recursos foram verificados com sucesso no Orca Security: {nome do recurso}". Se os dados não estiverem disponíveis para um recurso ou se o recurso não for encontrado (is_success=true): "A ação não conseguiu verificar os seguintes recursos usando o Orca Security: {nome do recurso}" Se os dados não estiverem disponíveis para todos os recursos (is_success=false): "Nenhum dos recursos fornecidos foi verificado." Mensagem assíncrona: "Recursos pendentes: {asset names}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Verificar recursos". Motivo: {0}''.format(error.Stacktrace)" Se você encontrar um tempo limite: "Erro ao executar a ação "Verificar recursos". Motivo: a ação atingiu o tempo limite durante a execução. Recursos pendentes: {recursos que ainda estão em andamento}. Aumente o tempo limite no ambiente de desenvolvimento integrado." |
Geral |
Conferir detalhes da vulnerabilidade
Descrição
Recupere informações sobre vulnerabilidades da Orca Security.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de CVE | CSV | N/A | Não | Especifique uma lista separada por vírgulas de CVEs que precisam ser enriquecidas. |
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight para cada vulnerabilidade enriquecida. A criação de insights não é afetada pela filtragem que pode ser feita com o parâmetro "Campos a serem retornados". |
| Número máximo de recursos a serem retornados | Número inteiro | 50 | Não | Especifique quantos recursos relacionados à CVE serão retornados. Máximo: 10.000 |
| Campos a serem retornados | CSV | N/A | Não | Especifique uma lista separada por vírgulas de campos que precisam ser retornados. Se as vulnerabilidades não tiverem campos específicos para retornar, os valores desses campos serão definidos como nulos. Observação:esse parâmetro verifica o objeto JSON, já que ele foi simplificado. Exemplo: "object": {"id": 123} -> object_id é a chave. |
| Saída | DDL | JSON Valores possíveis:
|
Não | Especifique o tipo de saída da ação. Se "JSON" estiver selecionado, a ação vai retornar um resultado JSON normal. Se "CSV" estiver selecionado, a ação vai criar um arquivo na pasta de execução da ação, e o resultado JSON vai conter um caminho para esse arquivo. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma vulnerabilidade (is_success=true): "Enriquecemos as seguintes vulnerabilidades usando informações da Orca Security: {cve id}" Se os dados não estiverem disponíveis para uma vulnerabilidade (is_success=true): "Não foi possível enriquecer as seguintes vulnerabilidades usando informações da Orca Security: {cve id}" Se os dados não estiverem disponíveis para todas as vulnerabilidades (is_success=false): "Nenhuma das vulnerabilidades fornecidas foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber detalhes da vulnerabilidade". Motivo: {0}''.format(error.Stacktrace)" |
Geral |
| Tabela do painel de casos | Nome da tabela:Detalhes da vulnerabilidade Colunas da tabela:
|
Geral |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Orca Security: conector de alertas
Descrição
Extrai informações sobre alertas do Orca Security.
Configurar o conector de alertas da Orca Security no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | asset_type_string | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de expressão regular a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de expressão regular. Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https:/:8501 | Sim | Raiz da API da instância do Orca Security. |
| Chave de API | String | N/A | Sim | Chave de API da conta da instância do Orca Security. Se os parâmetros "Chave de API" e "Token de API" forem fornecidos, o parâmetro "Token de API" será usado. |
| Token da API | String | N/A | Sim | Token de API da conta da instância do Orca Security. Se os parâmetros "Chave de API" e "Token de API" forem fornecidos, o parâmetro "Token de API" será usado. |
| Filtro de categoria | CSV | N/A | Não | Uma lista separada por vírgulas de nomes de categorias que devem ser usadas durante a ingestão dos alertas. Observação:esse parâmetro diferencia maiúsculas de minúsculas. |
| Menor prioridade a ser buscada | String | N/A | Não | A gravidade mínima que precisa ser usada para buscar alertas. Valores possíveis: "Comprometido", "Comprometimento iminente", "Perigoso" e "Informativo". Se nada for especificado, o conector vai ingerir alertas de todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar alertas. |
| Número máximo de alertas a serem buscados | Número inteiro | 100 | Não | Número de alertas a serem processados por iteração de conector. |
| Usar lista dinâmica como lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, as listas dinâmicas serão usadas como uma lista de bloqueio. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor da Orca Security é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
| Filtro por tipo de alerta | CSV | N/A | Não | Tipo de alertas que precisam ser ingeridos. Esse filtro funciona com o
parâmetro AlertType_value na resposta. Exemplo:
aws_s3_bucket_accessible_to_unmonitored_account |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.