Palo Alto Cortex XDR

Integrationsversion: 15.0

Palo Alto Cortex XDR für die Verwendung mit Google Security Operations konfigurieren

Anmeldedaten

So erhalten Sie Ihren Cortex XDR-API-Schlüssel:

Gehen Sie zu Einstellungen.
Wählen Sie + Neuer Schlüssel aus.
Wählen Sie den Typ des zu generierenden API-Schlüssels aus (Erweitert Nur).
Geben Sie optional einen Kommentar an, der den Zweck des API-Schlüssels beschreibt.
Wählen Sie die gewünschte Zugriffsebene für diesen Schlüssel aus.
Generieren Sie den API-Schlüssel.
Kopieren Sie den API-Schlüssel und klicken Sie auf Fertig.

So erhalten Sie Ihre Cortex XDR API-Schlüssel-ID:

Rufen Sie die Tabelle API-Schlüssel > Spalte „ID“ auf.
Notieren Sie sich die entsprechende ID. Dieser Wert stellt das Token x-xdr-auth-id:{key_id} dar.

Palo Alto Cortex XDR-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
API-Stamm	String	https://api-{fqdn}	Ja	Palo Alto Networks Cortex XDR API-Stamm. Hinweis:Der FQDN steht für einen eindeutigen Host- und Domainnamen, der jedem Mandanten zugeordnet ist. Wenn Sie den API-Schlüssel und die Schlüssel-ID generieren, wird Ihnen ein individueller FQDN zugewiesen.
API-Schlüssel	Passwort	–	Ja	Eine eindeutige Kennung, die als „Authorization:{key}“-Header für die Authentifizierung von API-Aufrufen verwendet wird. Je nach Sicherheitsstufe können Sie einen erweiterten API-Schlüssel über Ihre Cortex XDR-App generieren.
API-Schlüssel-ID	Ganzzahl	3	Ja	Ein eindeutiges Token, das zur Authentifizierung des API-Schlüssels verwendet wird. Der Header, der beim Ausführen eines API-Aufrufs verwendet wird, lautet „x-xdr-auth-id:{key_id}“.
SSL überprüfen	Kästchen	Deaktiviert	Ja	Option zum Überprüfen der SSL/TLS-Verbindung.

Aktionen

Ping

Konnektivität zu Palo Alto Networks Cortex XDR testen

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_connected	Wahr/falsch	is_connected:False

JSON-Ergebnis

N/A

Abfrage

Rufen Sie die Daten eines bestimmten Vorfalls ab, einschließlich Benachrichtigungen und wichtiger Artefakte.

Parameter

Parameter	Typ	Standardwert	Beschreibung
Vorfall-ID	String	–	Die ID des Vorfalls, für den Sie Daten abrufen möchten.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
incident_alerts_count	–	–

JSON-Ergebnis

{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Vorfall beheben

XDR-Vorfälle mit einem Grund für das Schließen schließen

Parameter

Parameter	Typ	Standardwert	Beschreibung
Vorfall-ID	String	–	Die ID des zu aktualisierenden Vorfalls.
Status	Liste	UNDER_INVESTIGATION	Der Vorfallstatus wurde aktualisiert.
Kommentar klären	String	–	Ein beschreibender Kommentar, in dem die Änderung des Vorfalls erläutert wird.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Vorfall aktualisieren

Die Möglichkeit, einen bestimmten XDR-Vorfall als „In Untersuchung“ festzulegen, ihn bestimmten benannten Nutzern zuzuweisen usw.

Parameter

Parameter	Typ	Standardwert	Beschreibung
Vorfall-ID	String	–	Die ID des zu aktualisierenden Vorfalls.
Name des zugewiesenen Nutzers	String	–	Der aktualisierte vollständige Name des zugewiesenen Mitarbeiters.
Schweregrad	Liste	Niedrig	Vom Administrator definierter Wichtigkeitsgrad.
Status	Liste	UNDER_INVESTIGATION	Der Vorfallstatus wurde aktualisiert.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Entitäten anreichern

Google SecOps-Host- und IP-Entitäten mit Informationen aus Palo Alto Networks Cortex XDR anreichern.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Domain	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
endpoint_name	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
endpoint_type	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
ip	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
endpoint_version	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
install_date	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
installation_package	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
is_isolated	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
group_name	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Alias	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
active_directory	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
endpoint_status	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Endpunkt-ID	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
content_version	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
os_type	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
last_seen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
first_seen	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Nutzer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Endpunkt-Agent-Bericht abrufen

Rufen Sie den Agent-Bericht für einen Endpunkt ab.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Endpunkt isolieren

Aktionseingaben

Für die Aktion Endpunkt isolieren sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Agent ID`	Optional. Eine durch Kommas getrennte Liste der zu isolierenden Agent-IDs. Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Agent ID

Optional.

Eine durch Kommas getrennte Liste der zu isolierenden Agent-IDs.

Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Endpunkt isolieren

Isolation eines Endpunkts aufheben

Aktionseingaben

Für die Aktion Unisolate Endpoint sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Agent ID`	Optional. Eine durch Kommas getrennte Liste der Agenten-IDs, deren Isolation aufgehoben werden soll. Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Agent ID

Optional.

Eine durch Kommas getrennte Liste der Agenten-IDs, deren Isolation aufgehoben werden soll.

Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

IP-Adresse
Hostname

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Hashes zur Sperrliste hinzufügen

Mit dieser Aktion können Sie nicht aufgeführte Dateien einer bestimmten Sperrliste hinzufügen.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Pflichtfeld	Beschreibung
Kommentar	String	–	Nein	Geben Sie einen zusätzlichen Kommentar mit weiteren Informationen zur Aktion an.
Vorfall-ID	String	–	Nein	Geben Sie die Vorfall-ID an, auf die sich die hinzugefügten Hashes beziehen.

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabenachricht*	Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Für erfolgreich hinzugefügte Entitäten: „Die folgenden Entitäten wurden der Sperrliste hinzugefügt: “ +successful_entities_list Für nicht erfolgreiche Entitäten: „Die folgenden Entitäten konnten der Blockierliste nicht hinzugefügt werden: “+unsuccessful_entities_list. Wenn ein Hash des nicht unterstützten Typs angegeben wird (is_success=true): Die folgenden Hashes werden nicht unterstützt: {unsupported hashes} Wenn alle Hashes des nicht unterstützten Typs angegeben werden (is_success=false): Keiner der angegebenen Hashes wird unterstützt. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: "Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

Für erfolgreich hinzugefügte Entitäten: „Die folgenden Entitäten wurden der Sperrliste hinzugefügt: “ +successful_entities_list

Für nicht erfolgreiche Entitäten: „Die folgenden Entitäten konnten der Blockierliste nicht hinzugefügt werden: “+unsuccessful_entities_list.

Wenn ein Hash des nicht unterstützten Typs angegeben wird (is_success=true):

Die folgenden Hashes werden nicht unterstützt: {unsupported hashes}

Wenn alle Hashes des nicht unterstützten Typs angegeben werden (is_success=false): Keiner der angegebenen Hashes wird unterstützt.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
"Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)

Allgemein

Kommentar zu Vorfall hinzufügen

Verwenden Sie die Aktion Kommentar zum Vorfall hinzufügen, um einem Vorfall in Palo Alto Cortex XDR einen Kommentar hinzuzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Add Comment To Incident sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Incident ID`	Erforderlich. Die ID der zu aktualisierenden Verkehrsbehinderung.
`Comment`	Erforderlich. Der Kommentar, der dem Vorfall hinzugefügt werden soll.

Incident ID

Erforderlich.

Die ID der zu aktualisierenden Verkehrsbehinderung.

Comment

Erforderlich.

Der Kommentar, der dem Vorfall hinzugefügt werden soll.

Aktionsausgaben

Die Aktion Kommentar zum Vorfall hinzufügen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle im Fall-Repository	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Nicht verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis	Verfügbar

Ausgabenachrichten

Die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.`	Die Aktion wurde ausgeführt.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

Die Aktion wurde ausgeführt.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Details zu Vorfällen abrufen

Mit der Aktion Get Incident Details (Vorfalldetails abrufen) können Sie Informationen zu einem Vorfall in Palo Alto Cortex XDR abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Incident Details (Details zu Vorfall abrufen) sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Incident ID`	Erforderlich. Die ID des Vorfalls, der zurückgegeben werden soll.
`Lowest Alert Severity`	Optional. Der niedrigste Schweregrad, der für eine Benachrichtigung erforderlich ist, damit sie berücksichtigt wird. Folgende Werte sind möglich: `Critical` `High` `Medium` `Low` Der Standardwert ist `High`.
`Max Alerts To Return`	Optional. Die maximale Anzahl der zurückzugebenden Benachrichtigungen. Der Höchstwert ist `1000`. Der Standardwert ist `50`.

Incident ID

Erforderlich.

Die ID des Vorfalls, der zurückgegeben werden soll.

Lowest Alert Severity

Optional.

Der niedrigste Schweregrad, der für eine Benachrichtigung erforderlich ist, damit sie berücksichtigt wird.

Folgende Werte sind möglich:

Critical
High
Medium
Low

Der Standardwert ist High.

Max Alerts To Return

Optional.

Die maximale Anzahl der zurückzugebenden Benachrichtigungen.

Der Höchstwert ist 1000.

Der Standardwert ist 50.

Aktionsausgaben

Die Aktion Get Incident Details (Details zu Vorfällen abrufen) gibt Folgendes aus:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle im Fall-Repository	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Incident Details (Vorfalldetails abrufen) empfangen werden:

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}

Ausgabenachrichten

Die Aktion Get Incident Details (Details zu Vorfällen abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.`	Die Aktion wurde ausgeführt.
`Error executing action "Get Incident Details". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

Die Aktion wurde ausgeführt.

Error executing action "Get Incident Details". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Incident Details (Vorfalldetails abrufen) verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

XQL-Suche ausführen

Mit der Aktion XQL-Suche ausführen können Sie Informationen mit XQL in Palo Alto Cortex XDR abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion XQL-Suche ausführen sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Query`	Erforderlich. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie `limit` nicht als Teil der Anfrage an. Mit der Aktion wird dieser Wert aus `Max Results To Return` abgerufen.
`Time Frame`	Optional. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie `limit` nicht als Teil der Anfrage an. Mit der Aktion wird dieser Wert aus `Max Results To Return` abgerufen. Folgende Werte sind möglich: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` Der Standardwert ist `Last Hour`.
`Start Time`	Optional. Die Startzeit für die Ergebnisse im ISO 8601-Format. Wenn `Custom` für `Time Frame` ausgewählt ist, ist dieser Parameter erforderlich.
`End Time`	Optional. Die Endzeit für die Ergebnisse im ISO 8601-Format. Wenn `Custom` für `Time Frame` ausgewählt ist und kein Wert angegeben wird, wird für die Aktion die aktuelle Uhrzeit verwendet.
`Max Results To Return`	Optional. Die Aktion hängt `limit` an die angegebene Abfrage an. Der Höchstwert ist `1000`. Der Standardwert ist `50`.

Aktionsausgaben

Die Aktion XQL-Suche ausführen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle im Fall-Repository	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis	Verfügbar

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion XQL-Suche ausführen empfangen werden:

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}

Ausgabenachrichten

Die Aktion XQL-Suche ausführen kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully returned results for the query QUERY in Palo Alto XDR.` `No results were found for the query QUERY in Palo Alto XDR.` `Waiting for the search job to finish…`	Die Aktion wurde ausgeführt.
`Error executing action "Execute XQL Search". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

Die Aktion wurde ausgeführt.

Error executing action "Execute XQL Search". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion XQL-Suche ausführen verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Scan-Endpunkt

Mit der Aktion Scan Endpoint (Endpunkt scannen) können Sie Endpunkte in Palo Alto Cortex XDR scannen.

Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:

IP Address
Hostname

Aktionseingaben

Für die Aktion Scan Endpoint sind die folgenden Parameter erforderlich:

Parameter Beschreibung

Parameter	Beschreibung
`Incident ID`	Optional. Die ID des Vorfalls, dem die Scanaktivität zugeordnet werden soll, damit die Ergebnisse in der Vorfall-Zeitachse angezeigt werden.
`Agent ID`	Optional. Eine durch Kommas getrennte Liste von Agent-IDs, die in den Scan aufgenommen werden sollen. Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Incident ID

Optional.

Die ID des Vorfalls, dem die Scanaktivität zugeordnet werden soll, damit die Ergebnisse in der Vorfall-Zeitachse angezeigt werden.

Agent ID

Optional.

Eine durch Kommas getrennte Liste von Agent-IDs, die in den Scan aufgenommen werden sollen.

Dieser Parameter funktioniert in Verbindung mit den bereitgestellten Einheiten.

Aktionsausgaben

Die Aktion Endpunkt scannen bietet die folgenden Ausgaben:

Ausgabetyp der Aktion	Verfügbarkeit
Anhang im Fall-Repository	Nicht verfügbar
Link zum Fall‑Repository	Nicht verfügbar
Tabelle im Fall-Repository	Nicht verfügbar
Anreicherungstabelle	Nicht verfügbar
JSON-Ergebnis	Verfügbar
Ausgabenachrichten	Verfügbar
Scriptergebnis	Verfügbar

Ausgabenachrichten

Die Aktion Scan Endpoint kann die folgenden Ausgabemeldungen zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Ausgabemeldung	Nachrichtenbeschreibung
`Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for all of the provided endpoints in Palo Alto XDR.`	Die Aktion wurde ausgeführt.
`Error executing action "Scan Endpoint". Reason: ERROR_REASON`	Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for all of the provided endpoints in Palo Alto XDR.

Die Aktion wurde ausgeführt.

Error executing action "Scan Endpoint". Reason:
      ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Scan Endpoint empfangen werden:

[
   {
      "Entity": "192.168.1.10",
      "EntityResult": {
         "endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
         "endpoint_name": "PLACEHOLDER-SERVER-NAME",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "endpoint_status": "CONNECTED",
         "os_type": "AGENT_OS_WINDOWS",
         "os_version": "10.0.yyyy",
         "ip": [
            "192.168.1.10"
         ],
         "ipv6": [],
         "public_ip": "203.0.113.45",
         "users": [],
         "domain": "WORKGROUP",
         "alias": "",
         "first_seen": 1680000000000,
         "last_seen": 1760000000000,
         "content_version": "YYYY-ZZZZZ",
         "installation_package": "PLACEHOLDER-PACKAGE",
         "active_directory": [],
         "install_date": 1680000000000,
         "endpoint_version": "X.Y.Z.W",
         "is_isolated": "AGENT_UNISOLATED",
         "isolated_date": null,
         "group_name": [
            "PLACEHOLDER-GROUP"
         ],
         "operational_status": "PROTECTED",
         "operational_status_description": "[]",
         "operational_status_details": [],
         "scan_status": "SCAN_STATUS_PENDING",
         "content_release_timestamp": 1760000000000,
         "last_content_update_time": 1760000000000,
         "operating_system": "Windows Server PLACEHOLDER",
         "mac_address": [
            "00:1A:2B:3C:4D:5E"
         ],
         "assigned_prevention_policy": "PLACEHOLDER-POLICY",
         "assigned_extensions_policy": "Windows Default",
         "token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
         "tags": {
            "server_tags": [
               "PLACEHOLDER-TAG"
            ],
            "endpoint_tags": []
         },
         "content_status": "UP_TO_DATE"
      }
   }
]

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Scan Endpoint verwendet wird:

Name des Scriptergebnisses	Wert
`is_success`	`True` oder `False`

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Palo Alto Cortex XDR-Connector

Mit diesem Connector können Sie Vorfälle aus Palo Alto Cortex XDR abrufen.

Connector-Eingaben

Für den Palo Alto Cortex XDR Connector sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Product Field Name`	Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist `Product Name`.
`Event Field Name`	Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist `event_type`.
`Environment Field Name`	Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist `""`.
`Environment Regex Pattern`	Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld `Environment Field Name` angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten. Verwenden Sie den Standardwert `.*`, um den erforderlichen Rohwert `Environment Field Name` abzurufen. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
`Script Timeout (Seconds)`	Optional. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist `180`.
`Api Root`	Erforderlich. Der API-Root der Palo Alto XDR-Instanz.
`Api Key`	Erforderlich. Der Palo Alto XDR API-Schlüssel, der für die Authentifizierung verwendet wird.
`Api Key ID`	Erforderlich. Die ID, die dem Palo Alto XDR API-Schlüssel zugeordnet ist.
`Status Filter`	Optional. Eine durch Kommas getrennte Liste der zu erfassenden Benachrichtigungsstatus. Folgende Werte sind möglich: `New` `Under Investigation` `Resolved` Der Standardwert ist `New,Under Investigation`.
`Split Incident Alerts`	Optional. Wenn diese Option ausgewählt ist, trennt der Connector einzelne Benachrichtigungen innerhalb eines einzelnen Vorfalls in separate SOAR-Benachrichtigungen auf. Standardmäßig deaktiviert.
`Lowest Alert Severity To Fetch`	Optional. Der niedrigste Schweregrad von Benachrichtigungen, die abgerufen werden sollen. `Lowest Incident SmartScore To Fetch` fungiert als Masterfilter. Wenn der Wert eines übergeordneten Vorfalls den Grenzwert erreicht, werden alle zugehörigen Benachrichtigungen unabhängig von dieser Einstellung verarbeitet. Folgende Werte sind möglich: `Low` `Medium` `High` `Critical` Wenn kein Wert angegeben ist, werden Benachrichtigungen mit allen Schweregraden aufgenommen.
`Lowest Incident Severity To Fetch`	Optional. Die niedrigste Schweregradstufe der abzurufenden Vorfälle. Folgende Werte sind möglich: `Low` `Medium` `High` `Critical` Wenn kein Wert angegeben ist, werden Vorfälle mit allen Schweregraden aufgenommen.
`Lowest Incident SmartScore To Fetch`	Optional. Der niedrigste SmartScore (`0` bis `100`), der zum Abrufen eines Vorfalls erforderlich ist. Dieser Filter funktioniert unabhängig von `Lowest Incident Severity To Fetch`. Wenn ein Vorfall entweder den Schweregrad- oder den SmartScore-Grenzwert erreicht, wird er erfasst. Wenn kein Wert angegeben ist, wird der SmartScore-Filter ignoriert.
`Max Days Backwards`	Erforderlich. Die maximale Anzahl von Tagen in der Vergangenheit, nach denen bei der ersten Ausführung nach Vorfällen gesucht und diese abgerufen werden sollen. Der Standardwert ist `24`.
`Alerts Count Limit`	Erforderlich. Die maximale Anzahl von Vorfällen, die der Connector für jede Iteration verarbeitet. Der Höchstwert ist `100`. Der Standardwert ist `10`.
`Use dynamic list as a blocklist`	Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Sperrliste. Standardmäßig deaktiviert.
`Include Historical Artifacts`	Optional. Wenn diese Option ausgewählt ist, ruft der Connector bei der ersten Aufnahme alle Verlaufsartefakte ab, die mit einer Benachrichtigung verknüpft sind. Hinweis:Wenn Sie diese Option aktivieren, kann sich die Menge der während des ersten Laufs aufgenommenen Daten erhöhen.
`Artifacts To Ignore`	Optional. Eine durch Kommas getrennte Liste von Artefakten, die vom Erstellen von Google SecOps-Ereignissen ausgeschlossen werden sollen.
`Disable Overflow`	Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig aktiviert.
`Verify SSL`	Erforderlich. Wenn diese Option ausgewählt ist, validiert die Integration das SSL-Zertifikat beim Herstellen einer Verbindung zum Palo Alto Cortex XDR-Server. Standardmäßig aktiviert.
`Proxy Server Address`	Optional. Die Adresse des zu verwendenden Proxyservers.
`Proxy Username`	Optional. Der Proxy-Nutzername für die Authentifizierung.
`Proxy Password`	Optional. Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt keine Whitelist/Blacklist.

Der Connector unterstützt Proxys.

Jobs

Weitere Informationen zu Jobs finden Sie unter Neuen Job konfigurieren und Erweiterte Planung.

Palo Alto Cortex XDR – Vorfälle synchronisieren

Mit dem Job Palo Alto Cortex XDR – Sync Incidents (Palo Alto Cortex XDR – Vorfälle synchronisieren) können Sie Benachrichtigungen und Vorfälle zwischen Google SecOps und Palo Alto Networks Cortex XDR synchronisieren.

Dieser Job sorgt dafür, dass Incident-Status, Kommentare und zugewiesene Nutzer auf beiden Plattformen konsistent bleiben.

Jobverhalten

Der Job Palo Alto Cortex XDR – Sync Incidents (Palo Alto Cortex XDR – Vorfälle synchronisieren) ermöglicht die bidirektionale Synchronisierung durch die folgenden Mechanismen:

Synchronisierungsphasen: Der Job wird in zwei verschiedenen Phasen ausgeführt:
1. Überträgt Statusaktualisierungen von Google SecOps an Palo Alto Cortex XDR.
2. Ruft Änderungen von Palo Alto Cortex XDR ab, um Google SecOps zu aktualisieren.
Verarbeitungszeitraum: In der ersten Iteration werden die Fälle im Job basierend auf Max Hours Backwards verarbeitet. Bei nachfolgenden Ausführungen werden Aktualisierungen basierend auf dem Zeitstempel der letzten synchronisierten Benachrichtigung verarbeitet.
Fallidentifizierung: Der Job identifiziert relevante Fälle, indem er nach dem Palo Alto XDR Incident-Tag sucht.
Manuelle Zuordnung: Bei Fällen, die nicht vom Palo Alto Cortex XDR Connector stammen, müssen Sie die folgenden beiden Schritte ausführen:
1. Fügen Sie dem Fall das Tag Palo Alto XDR Incident hinzu.
2. Fügen Sie einen Incident_ID-Kontextwert mit der XDR-Vorgangs-ID hinzu.
Kommentarsynchronisierung: Der Job synchronisiert Kommentare zwischen den Plattformen anhand der folgenden Regeln:
- Kommentare aus XDR haben das Präfix Palo Alto XDR:.
- Kommentare aus Google SecOps haben das Präfix Google SecOps:.
- Kommentare zum Schließen von Anfragen werden in die Synchronisierung einbezogen, um konsistente Prüfpfade zu gewährleisten.
Schließungslogik und Fallbacks: Wenn ein Fall gelöst wird, ordnet der Job den Schließungsgrund dem entsprechenden Reason (Grund) und Root Cause (Ursache) in XDR zu. Wenn eine bestimmte Kombination in der XDR-Umgebung nicht gefunden wird, verwendet der Job eine allgemeine Fallback-Option, um sicherzustellen, dass der Vorfall erfolgreich geschlossen wird.
Nutzerzuweisung: Wenn die JSON-Datei für die Nutzerzuordnung konfiguriert ist, werden die zugewiesenen Nutzer synchronisiert. Wenn ein Nutzer in der Zuordnung nicht vorhanden ist, wird die Synchronisierung für diesen Nutzer übersprungen und protokolliert.
Kontextbezogene Benachrichtigungsdaten: Eine Liste der mit dem Vorfall verknüpften Benachrichtigungen wird für jeden Fall im Kontextwert XDR_ALERTS geführt.

Jobparameter

Für den Job Palo Alto XDR – Sync Incidents sind die folgenden Parameter erforderlich:

Parameter	Beschreibung
`Environment Name`	Erforderlich. Der Name der Umgebung, aus der Vorfälle synchronisiert werden sollen. Der Standardwert ist `Default Environment`.
`Api Root`	Erforderlich. Die Stamm-URL der Palo Alto Cortex XDR API.
`Api Key`	Erforderlich. Der API-Schlüssel, der für die Authentifizierung beim Palo Alto Cortex XDR-Server verwendet wird.
`Api Key ID`	Erforderlich. Die ID, die dem Palo Alto XDR API-Schlüssel zugeordnet ist.
`Max Hours Backwards`	Erforderlich. Die Anzahl der Stunden vor der aktuellen Zeit, in denen Vorfälle während der ersten Jobiteration synchronisiert werden sollen. Der Standardwert ist `24`.
`User Mapping JSON`	Optional. Ein JSON-Objekt, das verwendet wird, um Google SecOps-Anzeigenamen XDR-Nutzernamen zuzuordnen, um Fallzuweisungen zu synchronisieren. Verwenden Sie das folgende Format: `{ "Google SecOps Display Name": "XDR Username" }` Wenn kein Wert angegeben wird, wird die Nutzersynchronisierung übersprungen.
`Verify SSL`	Erforderlich. Wenn diese Option ausgewählt ist, validiert die Integration das SSL-Zertifikat beim Herstellen einer Verbindung zum Palo Alto Cortex XDR-Server. Standardmäßig aktiviert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten