Orca Security
整合版本:8.0
在 Google Security Operations 中設定 Orca Security 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| UI 根目錄 | 字串 | https://{ui instance} | 是 | Orca Security 執行個體的 UI 根目錄。 |
| API 根層級 | 字串 | https://{api instance} | 是 | Orca Security 執行個體的 API 根層級。 |
| API 金鑰 | 字串 | 不適用 | 是 | Orca Security 執行個體帳戶的 API 金鑰。 如果同時提供「API 金鑰」和「API 權杖」參數,系統會使用「API 權杖」參數。 |
| API 權杖 | 字串 | 不適用 | 是 | Orca Security 執行個體帳戶的 API 權杖。 如果同時提供「API 金鑰」和「API 權杖」參數,系統會使用「API 權杖」參數。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,請確認連線至 Orca Security SIEM 伺服器的 SSL 憑證有效。 |
如何產生 API 金鑰
- 依序前往「設定」->「整合」->「Orca API」。
- 按一下「管理金鑰」,然後點選「產生新金鑰」。
- 複製產生的金鑰,然後貼到 Google SecOps。
應用實例
- 導入警示。
- 擷取資產或安全漏洞的相關資訊。
- 分類警報。
- 追蹤法規遵循情形。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Orca Security 的連線。
參數
不適用
執行日期
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Orca Security server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Orca Security 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the Orca Security server! Error is {0}".format(exception.stacktrace) |
一般 |
更新警告內容
更新 Orca Security 中的快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定要更新的快訊 ID。 |
| 驗證快訊 | 核取方塊 | 已取消勾選 | 否 | 啟用後,這項動作會啟動快訊的驗證程序。 |
| 延後狀態 | DDL | 請選取一項 可能的值:
|
否 | 指定快訊的暫緩狀態。 |
| 延後天數 | 字串 | 1 | 否 | 指定要暫緩通知警報的天數。 如果「暫緩狀態」參數設為「暫緩」,則必須使用這項參數。 如果未提供任何內容,系統會將快訊延後 1 天。 |
| 狀態 | DDL | 請選取一項 可能的值:
|
否 | 指定要為快訊設定的狀態。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"id": "ss",
"type": "Alert",
"data": {
"AlertId": {
"value": "263534"
},
"AlertSource": {
"value": "Orca Scan"
},
"AlertType": {
"value": "cc"
},
"AssetData": {
"value": {
"asset_name": "Armor-test/CE",
"asset_type": "cisource",
"asset_vpcs": [],
"asset_state": "enabled",
"account_name": "Armn",
"asset_category": "CI Source",
"cloud_provider": "shiftleft",
"cloud_vendor_id": "fbn",
"asset_tags_info_list": [
"retest_tag|maybe"
],
"custom_tags_info_list": [],
"cluster_type": null,
"vm_id": null,
"asset_labels": null,
"resource_group_name": null,
"cluster_name": "An"
}
},
"Category": {
"value": "Vulnerabilities"
},
"ClosedReason": {
"value": "user moved to done"
},
"ClosedTime": {
"value": "2025-09-23T10:10:59+00:00"
},
"CommentsCount": {
"value": 0
},
"CreatedAt": {
"value": "2025-09-23T00:22:07+00:00"
},
"CveFixAvailable": {
"value": true
},
"CveIds": {
"value": [
"CVE"
]
},
"CveOpen": {
"value": {
"CVE-2025-41249": {
"detected": "23.09.2025"
}
}
},
"Description": {
"value": "cc"
},
"Details": {
"value": "cc"
},
"IsLive": {
"value": true
},
"Labels": {
"value": [
"fix_available"
]
},
"LastSeen": {
"value": "2025-09-23T10:23:59+00:00"
},
"LastUpdated": {
"value": "2025-09-23T11:36:35+00:00"
},
"MaxCvssScore": {
"value": 7.5
},
"Name": {
"value": "orca-1263534"
},
"OrcaScore": {
"value": 3.1
},
"PrevUserDefinedStatus": {
"value": "snoozed"
},
"Recommendation": {
"value": "Pc"
},
"RelatedCompliances": {
"value": []
},
"RemediationCli": {
"value": []
},
"RemediationConsole": {
"value": []
},
"RiskFindings": {
"value": {
"cves": {
"fixable": 1,
"top_cves": [
{
"cve_id": "cc",
"fixable": true,
"cvss_score": 7.5,
"first_seen": "2025-09-23T00:22:12+00:00",
"cvss_source": "CNA v3",
"cvss_vector": "c",
"exploitable": false,
"cvss_severity": "HIGH",
"patched_version": "6.2.11",
"cvss_source_link": "cc"
}
],
"total_cves": 1,
"exploitable": 0,
"count_by_cvss_severity": {
"HIGH": 1
}
},
"package": {
"target": "./jobs/job-scheduler/pom.xml",
"origin_url": "https://example.com",
"package_id": "org.sp",
"package_name": "cc",
"installed_version": "5.3.22"
}
}
},
"RiskLevel": {
"value": "low"
},
"RiskLevelTime": {
"value": "2025-09-23T00:22:07+00:00"
},
"RuleId": {
"value": "r81a3c225f3"
},
"RuleSource": {
"value": "Orca"
},
"RuleType": {
"value": "vulnerability"
},
"Score": {
"value": 3
},
"ScoreVector": {
"value": {
"AlertBaseScore": {
"score": 3.15,
"Features": [
{
"score": 0.0,
"value": "None",
"weight": 0.5,
"category": "Attack Impact",
"display_name": "Mitre Category",
"effect_level": 0,
"impact_level": 0.0
}
],
"display_name": "Alert Base Score"
}
}
},
"Severity": {
"value": "hazardous"
},
"Source": {
"value": "./jobs/job-scheduler/pom.xml"
},
"Status": {
"value": "open"
},
"StatusTime": {
"value": "2025-09-23T11:36:35+00:00"
},
"Title": {
"value": "ccs"
},
"UserDefinedStatus": {
"value": "open"
},
"VerificationStatus": {
"value": "scan_failed"
},
"cluster_unique_id": {
"value": "cc"
},
"GroupUniqueId": {
"value": "cc"
},
"last_sync": {
"value": "2025-09-23T10:44:43+00:00"
}
},
"name": "orca-1263534",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"last_seen": "2025-09-23T10:27:42+00:00"
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「Successfully updated alert with ID "{id}" in Orca Security.」(已在 Orca Security 中成功更新 ID 為「{id}」的快訊)。 如果系統回報「要求設定相同設定」錯誤 (is_success=true):「Alert with ID "{id}" already has status "{status}" in Orca Security.」(ID 為「{id}」的快訊在 Orca Security 中已處於「{status}」狀態)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『更新快訊』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果系統回報其他錯誤:「Error executing action "Update Alert". 原因:{error}。」 如果為「暫緩狀態」參數選取「選取一項」:「執行『更新快訊』動作時發生錯誤。原因:「暫緩日期」為必填欄位。 如果為「暫緩狀態」或「狀態」參數選取「選取一項」,且未啟用「驗證快訊」參數:「執行『更新快訊』動作時發生錯誤。原因:至少須提供下列其中一項參數:「狀態」、「驗證快訊」、「暫緩快訊」。 |
一般 |
新增快訊註解
在 Orca Security 中為快訊新增註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 快訊 ID | 字串 | 不適用 | 是 | 指定需要新增註解的快訊 ID。 |
| 註解 | 字串 | 不適用 | 是 | 指定要新增至快訊的註解。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"unique_id": 315478535,
"user_email": "tip.labops@siemplify.co",
"user_name": "John Doe",
"alert_id": "orca-264",
"asset_unique_id": "AwsIamRole_570398916848_e739eb76-1d18-7e74-d3d4-42dc68c8ece4",
"create_time": "2022-03-28T14:06:10+00:00",
"type": "comment",
"details": {
"description": "Added comment",
"comment": "asd"
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「Successfully added a comment to alert with ID "{id}" in Orca Security.」(已成功在 Orca Security 中,為 ID 為「{id}」的快訊新增註解)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤 (例如憑證有誤、無法連線至伺服器等):「Error executing action "Add Comment To Alert". Reason: {0}''.format(error.Stacktrace)" 如果系統回報錯誤:「Error executing action "Add Comment To Alert". 原因:{error}。」 |
一般 |
取得資產詳細資料
說明
從 Orca Security 擷取資產相關資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 資產 ID | CSV | 不適用 | 是 | 指定要傳回詳細資料的資產 ID 清單 (以半形逗號分隔)。 |
| 傳回安全漏洞資訊 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會傳回與資產相關的安全性弱點。 |
| 安全漏洞的最低嚴重性 | DDL | 有害 可能的值:
|
否 | 用於擷取安全漏洞的最低嚴重程度。 |
| 要擷取的安全漏洞數量上限 | 整數 | 50 | 否 | 指定每個資產要傳回的安全漏洞數量。 上限:100 |
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會為每個經過擴充的素材資源建立洞察資料。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"status": "success",
"data": [
{
"id": "cc",
"type": "cc",
"data": {
"Category": {
"value": "Storage"
},
"ConsoleUrlLink": {
"value": "helo"
},
"CreationTime": {
"value": "2025-09-23T16:24:59+00:00"
},
"Exposure": {
"value": "N/A"
},
"FirstSeen": {
"value": "2025-09-24T05:46:47+00:00"
},
"LastSeen": {
"value": "2025-09-24T15:13:16+00:00"
},
"Name": {
"value": "App Server"
},
"NewCategory": {
"value": "Data Storage"
},
"NewSubCategory": {
"value": "File System"
},
"Observations": {
"value": []
},
"OrcaScore": {
"value": 6.4
},
"Region": {
"value": "us-east-1"
},
"RelatedCompliances": {
"value": [
"abc",
"cc"
]
},
"RiskLevel": {
"value": "medium"
},
"Score": {
"value": 4
},
"State": {
"value": "in-use"
},
"SubCategory": {
"value": "Volume"
},
"Tags": {
"value": {
"Client": "aw",
"Name": "App Server",
"SnapLabsManaged": "true"
}
},
"Type": {
"value": "cc"
},
"UiUniqueField": {
"value": "vol-cc"
},
"Zones": {
"value": [
"us-east-1b"
]
},
"AssetUniqueId": {
"value": "cc"
},
"cluster_unique_id": {
"value": "cc"
},
"full_scan_time": {
"value": "2025-09-24T15:13:01+00:00"
},
"GroupUniqueId": {
"value": "cc"
}
},
"name": "App Server",
"group_unique_id": "cc",
"cluster_unique_id": "cc",
"asset_unique_id": "cc",
"last_seen": "2025-09-24T15:16:16+00:00"
}
],
"vulnerabilities": []
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果一項資產有可用資料 (is_success=true):「已使用 Orca Security 的資訊,成功擴充下列資產:{資產 ID}」 如果某項資產沒有資料 (is_success=true):「Action wasn't able to enrich the following assets using information from Orca Security: {asset id}」(Action 無法使用 Orca Security 的資訊擴充下列資產:{資產 ID}) 如果所有資產都沒有資料 (is_success=false):「None of the provided assets were enriched.」(提供的資產皆未經過擴充。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤):「Error executing action "Get Asset Details". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:資產詳細資料 表格欄:
|
一般 |
取得法規遵循資訊
在 Orca Security 中,根據所選架構取得法規遵循資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 架構名稱 | CSV | 不適用 | 否 | 指定要擷取法規遵循詳細資料的架構名稱清單 (以半形逗號分隔)。 如果未提供任何內容,動作會傳回所有選取架構的相關資訊。 |
| 要傳回的架構數量上限 | 整數 | 50 | 否 | 指定要傳回的架構數量。 |
| 建立洞察資料 | 核取方塊 | 已勾選 | 是 | 如果啟用,這項動作會建立洞察資料,內含法規遵循資訊。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
"frameworks": [
{
"display_name": "Orca Best Practices",
"id": "orca_best_practices",
"custom": false,
"description": "Orca Best Practices",
"active": true,
"avg_score_percent": 70,
"test_results": {
"FAIL": 121,
"PASS": 284
},
"categories": {
"total_count": 12,
"data": {
"Storage": {
"FAIL": 28,
"PASS": 35
},
"Database": {
"FAIL": 8,
"PASS": 94
},
"Monitoring": {
"FAIL": 20,
"PASS": 4
},
"Users and Access": {
"FAIL": 23,
"PASS": 11
},
"Network": {
"FAIL": 29,
"PASS": 96
},
"Messaging Service": {
"FAIL": 1,
"PASS": 11
},
"Serverless": {
"FAIL": 3,
"PASS": 13
},
"Vm": {
"FAIL": 6,
"PASS": 4
},
"Authentication": {
"FAIL": 4,
"PASS": 10
},
"Account": {
"PASS": 1
},
"ComputeServices": {
"FAIL": 1,
"PASS": 2
},
"Container": {
"PASS": 1
}
}
},
"top_accounts": [
{
"570398916848": {
"account_name": "alon-vendors",
"FAIL": 121,
"PASS": 284
}
}
]
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「已成功傳回 Orca Security 的法規遵循資訊。」 如果找不到任何架構 (is_success=true):「Orca Security 中找不到下列架構的資訊。請檢查拼字。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『取得法規遵循資訊』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果找不到所有架構 (is_success=false):「Error executing action "Get Compliance Info". 原因:Orca Security 中找不到任何提供的架構。請檢查拼字。 |
一般 |
| 案件總覽表格 | 表格名稱:法規遵循詳細資料 資料表資料欄:
|
一般 |
掃描資產
在 Orca Security 中掃描資產。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 資產 ID | 字串 | 不適用 | 是 | 指定要傳回詳細資料的資產 ID 清單 (以半形逗號分隔)。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"version": "0.1.0",
"scan_unique_id": "4f606aae-9e9b-4d01-aa29-797a06b6300e",
"asset_unique_ids": [
"i-080f6dfdeac0c7ffc"
],
"status": "done"
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某項資產有可用資料 (is_success=true):「Successfully scanned the following assets in Orca Security: {asset name}」(已成功掃描 Orca Security 中的下列資產:{資產名稱})。 如果某項資產沒有資料或找不到資產 (is_success=true):「Action wasn't able to scan the following assets using in Orca Security: {asset name}」(動作無法使用 Orca Security 掃描下列資產:{資產名稱}) 如果所有資產都沒有資料 (is_success=false):「None of the provided assets were scanned.」(未掃描任何提供的資產)。 非同步訊息:「待處理的資產:{資產名稱}」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Scan Assets"。Reason: {0}''.format(error.Stacktrace)" 如果發生逾時問題:「Error executing action "Scan Assets". 原因:動作在執行期間逾時。待處理的資產:{assets that are still in progress}。請在 IDE 中增加逾時時間。」 |
一般 |
取得安全漏洞詳細資料
說明
從 Orca Security 擷取有關安全漏洞的資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| CVE ID | CSV | 不適用 | 否 | 指定需要擴充的 CVE 清單 (以半形逗號分隔)。 |
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 啟用後,這項動作會為每個經過擴充的安全漏洞建立洞察資料。 使用「要傳回的欄位」參數進行篩選,不會影響洞察資料的建立。 |
| 要傳回的資產數量上限 | 整數 | 50 | 否 | 指定要傳回多少個與 CVE 相關的資產。 上限:10000 |
| 要傳回的欄位 | CSV | 不適用 | 否 | 指定要傳回的欄位清單 (以半形逗號分隔)。 如果安全性漏洞沒有要傳回的特定欄位,這些欄位值會設為空值。 注意:這個參數會檢查 JSON 物件,因為該物件已扁平化。 示例:「object」:{「id」: 123} -> object_id 是鍵。 |
| 輸出 | DDL | JSON 可能的值:
|
否 | 指定動作的輸出類型。 如果選取「JSON」,動作會傳回一般 JSON 結果。 如果選取「CSV」,動作會在動作執行資料夾中建立檔案,而 JSON 結果會包含該檔案的路徑。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"cve_id": "{cve_id}",
"results": [
{
"asset_auto_updates": "off",
"vm_asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"group_type_string": "VM",
"asset_regions_names": [
"N. Virginia"
],
"group_type": "asg",
"cluster_type": "asg",
"type": "cve",
"score": 4,
"vm_id": "i-07cb1901406d7f7a2",
"asset_name": "alon-test",
"context": "data",
"nvd": {
"cvss2_severity": "MEDIUM",
"cvss2_score": 5.0,
"cvss3_severity": "HIGH",
"cvss3_vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N",
"cvss3_score": 7.5,
"cvss2_vector": "AV:N/AC:L/Au:N/C:N/I:P/A:N"
},
"asset_distribution_version": "2 (2022.01.05)",
"asset_first_public_ips": [
"54.234.117.173"
],
"asset_first_private_ips": [
"10.0.85.56"
],
"group_name": "alon-test",
"level": 1,
"fix_available_state": "Yes",
"organization_name": "Partners",
"published": "2019-09-30T19:15:00+00:00",
"packages": [
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/vlan",
"non_os_package_paths": [
"/opt/cni/bin/vlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/ipvlan",
"non_os_package_paths": [
"/opt/cni/bin/ipvlan"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/firewall",
"non_os_package_paths": [
"/opt/cni/bin/firewall"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/tuning",
"non_os_package_paths": [
"/opt/cni/bin/tuning"
],
"patched_version": "1.13.1"
},
{
"installed_version": "1.12.13",
"package_name": "/opt/cni/bin/loopback",
"non_os_package_paths": [
"/opt/cni/bin/loopback"
],
"patched_version": "1.13.1"
}
],
"cloud_vendor_id": "570398916848",
"labels": [
"fix_available"
],
"asset_image_id": "ami-0d6c8b2a8562eba37",
"asset_num_public_dnss": 1,
"cve_id": "CVE-2019-16276",
"asset_state": "running",
"organization_id": "e739eb76-3d1a-4022-b5d0-360b10d44685",
"asset_availability_zones": [
"us-east-1b"
],
"asset_unique_id": "vm_570398916848_i-07cb1901406d7f7a2",
"asset_num_private_dnss": 1,
"asset_vendor_id": "i-07cb1901406d7f7a2",
"cvss3_score": 6.5,
"group_val": "nongroup",
"asset_type_string": "VM",
"asset_regions": [
"us-east-1"
],
"group_unique_id": "asg_570398916848_alon-test",
"cloud_account_id": "1b6a52d3-58ed-4879-af03-b99f252f532d",
"asset_num_private_ips": 1,
"account_name": "alon-vendors",
"asset_type": "vm",
"fix_available": true,
"cvss3_vector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N",
"cluster_unique_id": "asg_570398916848_alon-test",
"summary": "Go before 1.12.10 and 1.13.x before 1.13.1 allow HTTP Request Smuggling.",
"severity": "informational",
"cluster_name": "alon-test",
"asset_first_public_dnss": [
"ec2-54-234-117-173.compute-1.amazonaws.com"
],
"tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"asset_first_private_dnss": [
"ip-10-0-85-56.ec2.internal"
],
"cloud_provider": "aws",
"asset_vpcs": [
"vpc-07ef7f777429cfd82"
],
"source_link": "https://nvd.nist.gov/vuln/detail/CVE-2019-16276",
"asset_category": "VM",
"asset_distribution_major_version": "2",
"asset_tags_info_list": [
"aws:ec2launchtemplate:version|1",
"aws:autoscaling:groupName|alon-test",
"aws:ec2launchtemplate:id|lt-09b558a2361e6b988"
],
"cloud_provider_id": "570398916848",
"asset_num_public_ips": 1,
"asset_labels": [
"brute-force_attempts"
],
"asset_distribution_name": "Amazon",
"affected_packages": [
"/opt/cni/bin/vlan",
"/opt/cni/bin/ipvlan",
"/opt/cni/bin/firewall",
"/opt/cni/bin/tuning",
"/opt/cni/bin/loopback"
],
"asset_role_names": [
"ssh"
]
}
]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個安全漏洞有資料 (is_success=true):「Successfully enriched the following vulnerabilities using information from Orca Security: {cve id}」(已使用 Orca Security 的資訊,成功擴充下列安全漏洞:{cve id}) 如果某個安全漏洞沒有資料 (is_success=true):「Action wasn't able to enrich the following vulnerabilities using information from Orca Security: {cve id}」(Action 無法使用 Orca Security 的資訊,擴充下列安全漏洞:{cve id}) 如果並非所有安全漏洞都有資料 (is_success=false):「None of the provided vulnerabilities were enriched.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等),請按照下列步驟操作:「Error executing action "Get Vulnerability Details". Reason: {0}''.format(error.Stacktrace)" |
一般 |
| 案件總覽表格 | 資料表名稱:安全漏洞詳細資料 資料表資料欄:
|
一般 |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Orca Security - Alerts Connector
說明
從 Orca Security 提取有關快訊的資訊。
在 Google SecOps 中設定 Orca Security - Alerts Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | asset_type_string | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的規則運算式模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操作環境欄位。 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https:/:8501 | 是 | Orca Security 執行個體的 API 根層級。 |
| API 金鑰 | 字串 | 不適用 | 是 | Orca Security 執行個體帳戶的 API 金鑰。 如果同時提供「API 金鑰」和「API 權杖」參數,系統會使用「API 權杖」參數。 |
| API 權杖 | 字串 | 不適用 | 是 | Orca Security 執行個體帳戶的 API 權杖。 如果同時提供「API 金鑰」和「API 權杖」參數,系統會使用「API 權杖」參數。 |
| 類別篩選器 | CSV | 不適用 | 否 | 以半形逗號分隔的類別名稱清單,用於擷取快訊。 注意:這個參數會區分大小寫。 |
| 要擷取的最低優先順序 | 字串 | 不適用 | 否 | 用於擷取快訊的最低嚴重程度。 可能的值:遭入侵、即將遭入侵、危險、資訊 如未指定任何項目,連接器會擷取所有嚴重程度的快訊。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 要擷取的警告數上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的快訊數量。 |
| 將動態清單設為黑名單 | 核取方塊 | 已取消勾選 | 是 | 啟用後,動態清單會做為黑名單使用。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果已啟用,請確認連線至 Orca Security 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
| 快訊類型篩選器 | CSV | 不適用 | 否 | 需要擷取的快訊類型。這個篩選器會搭配回應中的 AlertType_value 參數運作。示例:
aws_s3_bucket_accessible_to_unmonitored_account |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。