Orca Security
集成版本:8.0
在 Google Security Operations 中配置 Orca Security 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 界面根 | 字符串 | https://{ui instance} | 是 | Orca Security 实例的界面根目录。 |
| API 根 | 字符串 | https://{api instance} | 是 | Orca Security 实例的 API 根。 |
| API 密钥 | 字符串 | 不适用 | 是 | Orca Security 实例账号的 API 密钥。 如果同时提供了“API 密钥”和“API 令牌”参数,则系统会使用“API 令牌”参数。 |
| API 令牌 | 字符串 | 不适用 | 是 | Orca Security 实例账号的 API 令牌。 如果同时提供了“API 密钥”和“API 令牌”参数,则系统会使用“API 令牌”参数。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 Orca Security SIEM 服务器的连接所用的 SSL 证书是否有效。 |
如何生成 API 密钥
- 依次前往设置 -> 集成 -> Orca API。
- 点击管理密钥,然后点击生成新密钥。
- 复制生成的密钥并将其粘贴到 Google SecOps 中。
使用场景
- 提取提醒。
- 提取有关资产或漏洞的信息。
- 对提醒进行分类。
- 跟踪合规性。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
Ping
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Orca Security 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the Orca Security server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果未成功:“Failed to connect to the Orca Security server! 错误为 {0}".format(exception.stacktrace) |
常规 |
更新提醒
更新 Orca Security 中的提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定需要更新的提醒的 ID。 |
| 验证提醒 | 复选框 | 尚未核查 | 否 | 如果启用,该操作会启动相应提醒的验证流程。 |
| 延后状态 | DDL | 选择一项 可能的值:
|
否 | 指定提醒的“稍后提醒”状态。 |
| 延后天数 | 字符串 | 1 | 否 | 指定需要将提醒设为延迟的天数。 如果“Snooze State”(打盹状态)参数设置为“Snooze”(打盹),则此参数为必需参数。 如果未提供任何内容,该操作会将相应提醒延迟 1 天。 |
| 状态 | DDL | 选择一项 可能的值:
|
否 | 指定要为提醒设置的状态。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“已在 Orca Security 中成功更新 ID 为 "{id}" 的提醒。” 如果报告了“请求设置相同配置”错误 (is_success=true):“Orca Security 中 ID 为 "{id}" 的提醒已具有 "{status}" 状态。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Update Alert". 原因:{0}''.format(error.Stacktrace)" 如果报告了其他错误:“Error executing action "Update Alert". 原因:{error}。” 如果为“Snooze State”形参选择了“Select One”:“Error executing action "Update Alert". 原因:需要提供“休假天数”。 如果为“Snooze State”(暂停状态)或“Status”(状态)参数选择了“Select One”(选择一个),但未启用“Verify Alert”(验证提醒)参数:“Error executing action "Update Alert"”(执行“更新提醒”操作时出错)。原因:必须提供以下至少一个参数:“Status”“Verify Alert”“Snooze Alert”。 |
常规 |
向提醒添加评论
在 Orca Security 中向提醒添加评论。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定需要为哪个提醒添加评论的操作的 ID。 |
| 评论 | 字符串 | 不适用 | 是 | 指定需要添加到提醒中的注释。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“已成功在 Orca Security 中为 ID 为 "{id}" 的提醒添加了评论。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Add Comment To Alert". 原因:{0}''.format(error.Stacktrace)" 如果报告了错误:“执行操作‘向提醒添加评论’时出错。”原因:{error}。” |
常规 |
获取资产详情
说明
从 Orca Security 检索有关资产的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 资产 ID | CSV | 不适用 | 是 | 指定要返回详细信息的资产 ID 的英文逗号分隔列表。 |
| 返回漏洞信息 | 复选框 | 勾选 | 否 | 如果启用,该操作会返回与相应资产相关的漏洞。 |
| 漏洞的最低严重程度 | DDL | 有害 可能的值:
|
否 | 用于提取漏洞的最低严重程度。 |
| 要提取的漏洞数量上限 | 整数 | 50 | 否 | 指定每个资产要返回的漏洞数量。 最大值:100 |
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会为每个丰富型素材资源创建数据洞见。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果一个资产有数据 (is_success=true):“已使用来自 Orca Security 的信息成功扩充以下资产:{资产 ID}” 如果某个资产没有数据 (is_success=true):“无法使用来自 Orca Security 的信息丰富以下资产:{asset id}” 如果并非所有素材资源都有数据 (is_success=false):“未扩充任何提供的素材资源。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Get Asset Details".”原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:素材资源详情表格列:
|
常规 |
获取合规性信息
在 Orca Security 中,根据所选框架获取有关合规性的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 框架名称 | CSV | 不适用 | 否 | 指定要检索合规性详细信息的框架名称的英文逗号分隔列表。 如果未提供任何内容,该操作会返回有关所有选定框架的信息。 |
| 要返回的框架数量上限 | 整数 | 50 | 否 | 指定要返回的框架数量。 |
| 创建分析数据 | 复选框 | 勾选 | 是 | 如果启用,该操作会创建包含合规性相关信息的分析洞见。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“已成功返回 Orca Security 中的合规性信息。” 如果未找到某个框架(is_success=true):“Orca Security 中未找到以下框架的信息。请检查拼写。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Get Compliance Info"”(执行“获取合规性信息”操作时出错)。原因:{0}''.format(error.Stacktrace)" 如果未找到所有框架 (is_success=false):“执行操作‘获取合规性信息’时出错。”原因:在 Orca Security 中未找到任何提供的框架。请检查拼写。 |
常规 |
| “案例墙”表格 | 表格名称:合规性详情 表格列:
|
常规 |
扫描资产
在 Orca Security 中扫描资产。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 资产 ID | 字符串 | 不适用 | 是 | 指定要返回详细信息的资产 ID 的英文逗号分隔列表。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个资产有可用数据 (is_success=true):“已在 Orca Security 中成功扫描以下资产:{资产名称}”。 如果某个资产没有数据或找不到该资产 (is_success=true):“Action 无法使用 Orca Security 扫描以下资产:{asset name}” 如果并非所有资产都有数据 (is_success=false):“未扫描任何提供的资产。” 异步消息:“待处理的媒体资源:{asset names}” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Scan Assets". 原因:{0}''.format(error.Stacktrace)" 如果遇到超时问题:“执行操作‘扫描资源’时出错。原因:操作在执行期间超时。待处理的资产:{仍在处理中的资产}。请在 IDE 中增加超时时间。” |
常规 |
获取漏洞详情
说明
从 Orca Security 检索有关漏洞的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| CVE ID | CSV | 不适用 | 否 | 指定需要丰富信息的 CVE 的逗号分隔列表。 |
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会为每个经过丰富处理的漏洞创建数据洞见。 使用“要返回的字段”参数进行的过滤不会影响数据洞见的生成。 |
| 要返回的素材资源数量上限 | 整数 | 50 | 否 | 指定要返回多少与 CVE 相关的资产。 最大值:10000 |
| 要返回的字段 | CSV | 不适用 | 否 | 指定需要返回的字段的英文逗号分隔列表。 如果漏洞没有要返回的特定字段,则这些字段的值会设置为 null。 注意:此参数会检查扁平化后的 JSON 对象。 示例:“object”:{“id”: 123} -> object_id 是键。 |
| 输出 | DDL | JSON 可能的值:
|
否 | 指定操作的输出类型。 如果选择“JSON”,操作会返回常规 JSON 结果。 如果选择“CSV”,该操作会在操作执行文件夹中创建一个文件,并且 JSON 结果包含指向该文件的路径。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个漏洞有数据(is_success=true):“已使用来自 Orca Security 的信息成功丰富以下漏洞:{cve id}” 如果某个漏洞没有数据 (is_success=true):“Action 无法使用来自 Orca Security 的信息来丰富以下漏洞:{cve id}” 如果并非所有漏洞都有数据 (is_success=false):“未扩充任何提供的漏洞。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等),请检查是否显示以下消息:“Error executing action "Get Vulnerability Details"”(执行操作“获取漏洞详情”时出错)。原因:{0}''.format(error.Stacktrace)" |
常规 |
| “案例墙”表格 | 表格名称:漏洞详情 表格列:
|
常规 |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Orca Security - 提醒连接器
说明
从 Orca Security 拉取有关提醒的信息。
在 Google SecOps 中配置 Orca Security - Alerts 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | asset_type_string | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | “” | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户使用正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https:/:8501 | 是 | Orca Security 实例的 API 根。 |
| API 密钥 | 字符串 | 不适用 | 是 | Orca Security 实例账号的 API 密钥。 如果同时提供了“API 密钥”和“API 令牌”参数,则系统会使用“API 令牌”参数。 |
| API 令牌 | 字符串 | 不适用 | 是 | Orca Security 实例账号的 API 令牌。 如果同时提供了“API 密钥”和“API 令牌”参数,则系统会使用“API 令牌”参数。 |
| 类别过滤器 | CSV | 不适用 | 否 | 在提取提醒时应使用的类别名称的英文逗号分隔列表。 注意:此参数区分大小写。 |
| 最低提取优先级 | 字符串 | 不适用 | 否 | 用于提取提醒的最低严重程度。 可能的值:已遭入侵、即将遭入侵、危险、信息性 如果未指定任何内容,连接器会注入所有严重程度的提醒。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 要提取的提醒数量上限 | 整数 | 100 | 否 | 每次连接器迭代要处理的提醒数量。 |
| 将动态列表用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果已启用,请验证与 Orca Security 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 提醒类型过滤条件 | CSV | 不适用 | 否 | 需要提取的提醒的类型。此过滤条件适用于响应中的 AlertType_value 参数。示例:aws_s3_bucket_accessible_to_unmonitored_account |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。