Palo Alto Cortex XDR

Versione integrazione: 15.0

Configura Palo Alto Cortex XDR per l'utilizzo con Google Security Operations

Credenziali

Per ottenere la chiave API di Cortex XDR:

Vai a > Impostazioni.
Seleziona + Nuova chiave.
Scegli il tipo di chiave API da generare (Avanzata solo).
(Facoltativo) Fornisci un commento che descriva lo scopo della chiave API.
Seleziona il livello di accesso desiderato per questa chiave.
Genera la chiave API.
Copia la chiave API e poi fai clic su Fine.

Per ottenere l'ID chiave API di Cortex XDR:

Vai alla tabella Chiavi API > colonna ID.
Prendi nota del numero ID corrispondente. Questo valore rappresenta il token x-xdr-auth-id:{key_id}.

Configurare l'integrazione di Palo Alto Cortex XDR in Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Root API	Stringa	https://api-{fqdn}	Sì	Root API di Palo Alto Networks Cortex XDR. Nota:il nome di dominio completo rappresenta un nome host e di dominio univoco associato a ogni tenant. Quando generi la chiave API e l'ID chiave, ti viene assegnato un FQDN individuale.
Chiave API	Password	N/D	Sì	Un identificatore univoco utilizzato come intestazione "Authorization:{key}" richiesta per l'autenticazione delle chiamate API. A seconda del livello di sicurezza, puoi generare la chiave API avanzata dall'app Cortex XDR.
ID chiave API	Numero intero	3	Sì	Un token univoco utilizzato per autenticare la chiave API. L'intestazione utilizzata quando viene eseguita una chiamata API è "x-xdr-auth-id:{key_id}".
Verifica SSL	Casella di controllo	Deselezionata	Sì	Opzione per verificare la connessione SSL/TLS.

Azioni

Dindin

Testa la connettività a Palo Alto Networks Cortex XDR.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_connected	Vero/Falso	is_connected:False

Risultato JSON

N/A

Query

Recupera i dati di un incidente specifico, inclusi avvisi e artefatti chiave.

Parametri

Parametro	Tipo	Valore predefinito	Descrizione
ID incidente	Stringa	N/D	L'ID dell'incidente per cui vuoi recuperare i dati.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
incident_alerts_count	N/D	N/D

Risultato JSON

{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Risolvere un incidente

La possibilità di chiudere gli incidenti XDR con un motivo di chiusura.

Parametri

Parametro	Tipo	Valore predefinito	Descrizione
ID incidente	Stringa	N/D	L'ID dell'incidente da aggiornare.
Stato	Elenco	UNDER_INVESTIGATION	Stato dell'incidente aggiornato.
Risolvi commento	Stringa	N/D	Commento descrittivo che spiega la modifica dell'incidente.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

N/A

Aggiornare un incidente

La possibilità di impostare un incidente XDR specifico come oggetto di indagine, assegnarlo a utenti nominati e così via.

Parametri

Parametro	Tipo	Valore predefinito	Descrizione
ID incidente	Stringa	N/D	L'ID dell'incidente da aggiornare.
Nome utente assegnato	Stringa	N/D	Il nome completo aggiornato dell'assegnatario dell'incidente.
Gravità	Elenco	Bassa	Gravità definita dall'amministratore.
Stato	Elenco	UNDER_INVESTIGATION	Stato dell'incidente aggiornato.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

N/A

Arricchisci entità

Arricchisci le entità host e IP di Google SecOps in base alle informazioni di Palo Alto Networks Cortex XDR.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

Nome campo di arricchimento	Logica: quando applicarla
dominio	Restituisce se esiste nel risultato JSON
endpoint_name	Restituisce se esiste nel risultato JSON
endpoint_type	Restituisce se esiste nel risultato JSON
ip	Restituisce se esiste nel risultato JSON
endpoint_version	Restituisce se esiste nel risultato JSON
install_date	Restituisce se esiste nel risultato JSON
installation_package	Restituisce se esiste nel risultato JSON
is_isolated	Restituisce se esiste nel risultato JSON
group_name	Restituisce se esiste nel risultato JSON
alias	Restituisce se esiste nel risultato JSON
active_directory	Restituisce se esiste nel risultato JSON
endpoint_status	Restituisce se esiste nel risultato JSON
endpoint_id (ID endpoint)	Restituisce se esiste nel risultato JSON
content_version	Restituisce se esiste nel risultato JSON
os_type	Restituisce se esiste nel risultato JSON
last_seen	Restituisce se esiste nel risultato JSON
first_seen	Restituisce se esiste nel risultato JSON
utenti	Restituisce se esiste nel risultato JSON

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Ottenere il report dell'agente endpoint

Recupera il report dell'agente per un endpoint.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

N/A

Isola endpoint

Isola un endpoint.

Input azione

L'azione Isolate Endpoint richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Agent ID`	Facoltativo. Un elenco separato da virgole di ID agent da isolare. Questo parametro funziona in combinazione con le entità fornite.

Agent ID

Facoltativo.

Un elenco separato da virgole di ID agent da isolare.

Questo parametro funziona in combinazione con le entità fornite.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

N/A

Unisolate Endpoint

Separa un endpoint.

Input azione

L'azione Unisolate Endpoint richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Agent ID`	Facoltativo. Un elenco separato da virgole di ID agente da isolare. Questo parametro funziona in combinazione con le entità fornite.

Agent ID

Facoltativo.

Un elenco separato da virgole di ID agente da isolare.

Questo parametro funziona in combinazione con le entità fornite.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

Indirizzo IP
Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

N/A

Aggiungere hash all'elenco bloccati

Utilizza questa azione per aggiungere file non elencati a una lista bloccata specificata.

Parametri

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Commento	Stringa	N/D	No	Fornisci un commento aggiuntivo che rappresenti informazioni aggiuntive sull'azione
ID incidente	Stringa	N/D	No	Specifica l'ID incidente a cui sono correlati gli hash aggiunti

Run On

Questa azione viene eseguita sull'entità Filehash

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
is_success	Vero/Falso	is_success:False

Risultato JSON

{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}

Bacheca casi

Tipo di risultato	Valore/Descrizione	Tipo
Messaggio di output*	L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Per le entità aggiunte correttamente : "Le seguenti entità sono state aggiunte correttamente all'elenco bloccato: " +successful_entities_list Per le entità non riuscite: "Impossibile aggiungere le seguenti entità all'elenco bloccati: "+unsuccessful_entities_list. Se viene fornito un hash del tipo non supportato (is_success=true): I seguenti hash non sono supportati: {unsupported hashes} Se vengono forniti tutti gli hash del tipo non supportato (is_success=false): nessuno degli hash forniti è supportato. L'azione deve non riuscire e interrompere l'esecuzione di un playbook: "Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)	Generale

Tipo di risultato

Valore/Descrizione

Tipo

Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Per le entità aggiunte correttamente : "Le seguenti entità sono state aggiunte correttamente all'elenco bloccato: " +successful_entities_list

Per le entità non riuscite: "Impossibile aggiungere le seguenti entità all'elenco bloccati: "+unsuccessful_entities_list.

Se viene fornito un hash del tipo non supportato (is_success=true):

I seguenti hash non sono supportati: {unsupported hashes}

Se vengono forniti tutti gli hash del tipo non supportato (is_success=false): nessuno degli hash forniti è supportato.

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
"Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)

Generale

Aggiungi commento all'incidente

Utilizza l'azione Aggiungi commento all'incidente per aggiungere un commento a un incidente in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi commento all'incidente richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Incident ID`	Obbligatorio. L'ID dell'incidente da aggiornare.
`Comment`	Obbligatorio. Il commento da aggiungere all'incidente.

Incident ID

Obbligatorio.

L'ID dell'incidente da aggiornare.

Comment

Obbligatorio.

Il commento da aggiungere all'incidente.

Output dell'azione

L'azione Aggiungi commento all'incidente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca casi	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Non disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Aggiungi commento all'incidente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.`	L'azione è riuscita.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

L'azione è riuscita.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'incidente:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Recupera dettagli incidente

Utilizza l'azione Ottieni dettagli incidente per recuperare informazioni su un incidente in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni dettagli incidente richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Incident ID`	Obbligatorio. L'ID dell'incidente da restituire.
`Lowest Alert Severity`	Facoltativo. La gravità minima dell'avviso richiesta per l'inclusione di un avviso. I valori possibili sono: `Critical` `High` `Medium` `Low` Il valore predefinito è `High`.
`Max Alerts To Return`	Facoltativo. Il numero massimo di avvisi da restituire. Il valore massimo è `1000`. Il valore predefinito è `50`.

Incident ID

Obbligatorio.

L'ID dell'incidente da restituire.

Lowest Alert Severity

Facoltativo.

La gravità minima dell'avviso richiesta per l'inclusione di un avviso.

I valori possibili sono:

Critical
High
Medium
Low

Il valore predefinito è High.

Max Alerts To Return

Facoltativo.

Il numero massimo di avvisi da restituire.

Il valore massimo è 1000.

Il valore predefinito è 50.

Output dell'azione

L'azione Ottieni dettagli incidente fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca casi	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Ottieni dettagli incidente:

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}

Messaggi di output

L'azione Get Incident Details può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.`	L'azione è riuscita.
`Error executing action "Get Incident Details". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

L'azione è riuscita.

Error executing action "Get Incident Details". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera dettagli incidente:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Esegui ricerca XQL

Utilizza l'azione Esegui ricerca XQL per recuperare informazioni utilizzando XQL in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui ricerca XQL richiede i seguenti parametri:

Parametro	Descrizione
`Query`	Obbligatorio. La query da eseguire in Palo Alto Cortex XDR. Non fornire `limit` come parte della query. L'azione recupera questo valore da `Max Results To Return`.
`Time Frame`	Facoltativo. La query da eseguire in Palo Alto Cortex XDR. Non fornire `limit` come parte della query. L'azione recupera questo valore da `Max Results To Return`. I valori possibili sono: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` Il valore predefinito è `Last Hour`.
`Start Time`	Facoltativo. L'ora di inizio dei risultati nel formato ISO 8601. Se `Custom` è selezionato per `Time Frame`, questo parametro è obbligatorio.
`End Time`	Facoltativo. L'ora di fine dei risultati in formato ISO 8601. Se `Custom` è selezionato per `Time Frame` e non viene fornito alcun valore, l'azione utilizza l'ora corrente.
`Max Results To Return`	Facoltativo. L'azione aggiunge `limit` alla query fornita. Il valore massimo è `1000`. Il valore predefinito è `50`.

Output dell'azione

L'azione Esegui ricerca XQL fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca casi	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Risultato JSON

L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Esegui ricerca XQL:

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}

Messaggi di output

L'azione Esegui ricerca XQL può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully returned results for the query QUERY in Palo Alto XDR.` `No results were found for the query QUERY in Palo Alto XDR.` `Waiting for the search job to finish…`	L'azione è riuscita.
`Error executing action "Execute XQL Search". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

L'azione è riuscita.

Error executing action "Execute XQL Search". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui ricerca XQL:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Endpoint di scansione

Utilizza l'azione Scansiona endpoint per scansionare gli endpoint in Palo Alto Cortex XDR.

Questa azione viene eseguita sulle seguenti entità Google SecOps:

IP Address
Hostname

Input azione

L'azione Endpoint di scansione richiede i seguenti parametri:

Parametro Descrizione

Parametro	Descrizione
`Incident ID`	Facoltativo. L'ID dell'incidente a cui associare l'attività di scansione, consentendo la visualizzazione dei risultati nella sequenza temporale dell'incidente.
`Agent ID`	Facoltativo. Un elenco separato da virgole di ID agente da includere nella scansione. Questo parametro funziona in combinazione con le entità fornite.

Incident ID

Facoltativo.

L'ID dell'incidente a cui associare l'attività di scansione, consentendo la visualizzazione dei risultati nella sequenza temporale dell'incidente.

Agent ID

Facoltativo.

Un elenco separato da virgole di ID agente da includere nella scansione.

Questo parametro funziona in combinazione con le entità fornite.

Output dell'azione

L'azione Scansione endpoint fornisce i seguenti output:

Tipo di output dell'azione	Disponibilità
Allegato della bacheca casi	Non disponibile
Link alla bacheca casi	Non disponibile
Tabella della bacheca casi	Non disponibile
Tabella di arricchimento	Non disponibile
Risultato JSON	Disponibile
Messaggi di output	Disponibile
Risultato dello script	Disponibile

Messaggi di output

L'azione Scansione endpoint può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Messaggio di output	Descrizione del messaggio
`Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for all of the provided endpoints in Palo Alto XDR.`	L'azione è riuscita.
`Error executing action "Scan Endpoint". Reason: ERROR_REASON`	L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali.

Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for all of the provided endpoints in Palo Alto XDR.

L'azione è riuscita.

Error executing action "Scan Endpoint". Reason:
      ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.

Risultato JSON

L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Endpoint di scansione:

[
   {
      "Entity": "192.168.1.10",
      "EntityResult": {
         "endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
         "endpoint_name": "PLACEHOLDER-SERVER-NAME",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "endpoint_status": "CONNECTED",
         "os_type": "AGENT_OS_WINDOWS",
         "os_version": "10.0.yyyy",
         "ip": [
            "192.168.1.10"
         ],
         "ipv6": [],
         "public_ip": "203.0.113.45",
         "users": [],
         "domain": "WORKGROUP",
         "alias": "",
         "first_seen": 1680000000000,
         "last_seen": 1760000000000,
         "content_version": "YYYY-ZZZZZ",
         "installation_package": "PLACEHOLDER-PACKAGE",
         "active_directory": [],
         "install_date": 1680000000000,
         "endpoint_version": "X.Y.Z.W",
         "is_isolated": "AGENT_UNISOLATED",
         "isolated_date": null,
         "group_name": [
            "PLACEHOLDER-GROUP"
         ],
         "operational_status": "PROTECTED",
         "operational_status_description": "[]",
         "operational_status_details": [],
         "scan_status": "SCAN_STATUS_PENDING",
         "content_release_timestamp": 1760000000000,
         "last_content_update_time": 1760000000000,
         "operating_system": "Windows Server PLACEHOLDER",
         "mac_address": [
            "00:1A:2B:3C:4D:5E"
         ],
         "assigned_prevention_policy": "PLACEHOLDER-POLICY",
         "assigned_extensions_policy": "Windows Default",
         "token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
         "tags": {
            "server_tags": [
               "PLACEHOLDER-TAG"
            ],
            "endpoint_tags": []
         },
         "content_status": "UP_TO_DATE"
      }
   }
]

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Scansione endpoint:

Nome del risultato dello script	Valore
`is_success`	`True` o `False`

Connettori

Per scoprire di più sulla configurazione dei connettori in Google SecOps, consulta Importare i dati (connettori).

Connettore Palo Alto Cortex XDR

Utilizza questo connettore per estrarre gli incidenti da Palo Alto Cortex XDR.

Input del connettore

Il connettore Palo Alto Cortex XDR richiede i seguenti parametri:

Parametro	Descrizione
`Product Field Name`	Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è `Product Name`.
`Event Field Name`	Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è `event_type`.
`Environment Field Name`	Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è `""`.
`Environment Regex Pattern`	Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo `Environment Field Name`. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari. Utilizza il valore predefinito `.*` per recuperare il valore `Environment Field Name` non elaborato richiesto. Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
`Script Timeout (Seconds)`	Facoltativo. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è `180`.
`Api Root`	Obbligatorio. La radice dell'API dell'istanza Palo Alto XDR.
`Api Key`	Obbligatorio. La chiave API Palo Alto XDR utilizzata per l'autenticazione.
`Api Key ID`	Obbligatorio. L'ID associato alla chiave API Palo Alto XDR.
`Status Filter`	Facoltativo. Un elenco separato da virgole di stati di avviso da importare. I valori possibili sono: `New` `Under Investigation` `Resolved` Il valore predefinito è `New,Under Investigation`.
`Split Incident Alerts`	Facoltativo. Se selezionato, il connettore separa i singoli avvisi all'interno di un singolo incidente in avvisi SOAR distinti. Disabilitato per impostazione predefinita.
`Lowest Alert Severity To Fetch`	Facoltativo. Il livello di gravità più basso degli avvisi da recuperare. `Lowest Incident SmartScore To Fetch` funge da filtro principale. Se il punteggio di un incidente principale soddisfa la soglia, tutti gli avvisi associati vengono elaborati indipendentemente da questa impostazione. I valori possibili sono: `Low` `Medium` `High` `Critical` Se non viene fornito alcun valore, il connettore acquisisce gli avvisi con tutti i livelli di gravità.
`Lowest Incident Severity To Fetch`	Facoltativo. Il livello di gravità più basso degli incidenti da recuperare. I valori possibili sono: `Low` `Medium` `High` `Critical` Se non viene fornito alcun valore, il connettore acquisisce gli incidenti con tutti i livelli di gravità.
`Lowest Incident SmartScore To Fetch`	Facoltativo. Lo SmartScore più basso (da `0` a `100`) richiesto per recuperare un incidente. Questo filtro funziona indipendentemente da `Lowest Incident Severity To Fetch`. Se un incidente soddisfa la soglia di gravità o SmartScore, viene inserito. Se non viene fornito alcun valore, il filtro SmartScore viene ignorato.
`Max Days Backwards`	Obbligatorio. Il numero massimo di giorni nel passato in cui cercare e recuperare gli incidenti durante l'esecuzione iniziale. Il valore predefinito è `24`.
`Alerts Count Limit`	Obbligatorio. Il numero massimo di incidenti elaborati dal connettore per ogni iterazione. Il valore massimo è `100`. Il valore predefinito è `10`.
`Use dynamic list as a blocklist`	Obbligatorio. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Disabilitato per impostazione predefinita.
`Include Historical Artifacts`	Facoltativo. Se selezionato, il connettore recupera tutti gli artefatti storici associati a un avviso durante l'importazione iniziale. Nota:l'attivazione di questa opzione potrebbe aumentare il volume di dati importati durante la prima esecuzione.
`Artifacts To Ignore`	Facoltativo. Un elenco separato da virgole di artefatti da escludere dalla creazione di eventi Google SecOps.
`Disable Overflow`	Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Abilitato per impostazione predefinita.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Palo Alto Cortex XDR. Abilitato per impostazione predefinita.
`Proxy Server Address`	Facoltativo. L'indirizzo del server proxy da utilizzare.
`Proxy Username`	Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione.
`Proxy Password`	Facoltativo. La password del proxy per l'autenticazione.

Regole del connettore

Il connettore non supporta l'elenco consentito/bloccato.

Il connettore supporta il proxy.

Job

Per saperne di più sui job, vedi Configurare un nuovo job e Pianificazione avanzata.

Palo Alto Cortex XDR - Sync Incidents

Utilizza il job Palo Alto Cortex XDR - Sync Incidents per sincronizzare gli avvisi e gli incidenti tra Google SecOps e Palo Alto Networks Cortex XDR.

Questo job garantisce che gli stati degli incident, i commenti e gli assegnatari degli utenti rimangano coerenti su entrambe le piattaforme.

Comportamento del job

Il job Palo Alto Cortex XDR - Sync Incidents facilita la sincronizzazione bidirezionale tramite i seguenti meccanismi:

Fasi di sincronizzazione: il job viene eseguito in due fasi distinte:
1. Trasferisce gli aggiornamenti dello stato da Google SecOps a Palo Alto Cortex XDR.
2. Estrae le modifiche da Palo Alto Cortex XDR per aggiornare Google SecOps.
Finestra di elaborazione: nella prima iterazione, il job elabora i casi in base a Max Hours Backwards. Le esecuzioni successive elaborano gli aggiornamenti in base al timestamp dell'ultimo avviso sincronizzato.
Identificazione della richiesta: il job identifica le richieste pertinenti cercando il tag Palo Alto XDR Incident.
Mappatura manuale: per i casi che non hanno avuto origine dal connettore XDR Palo Alto Cortex, devi eseguire i due passaggi seguenti:
1. Aggiungi il tag Palo Alto XDR Incident alla richiesta.
2. Aggiungi un valore di contesto Incident_ID contenente l'ID incidente XDR.
Sincronizzazione dei commenti: il job sincronizza i commenti tra le piattaforme utilizzando le seguenti regole:
- I commenti provenienti da XDR sono preceduti da Palo Alto XDR:.
- I commenti provenienti da Google SecOps sono preceduti da Google SecOps:.
- I commenti di chiusura della richiesta vengono inclusi nella sincronizzazione per garantire audit trail coerenti.
Logica di chiusura e fallback: quando una richiesta viene risolta, il job mappa il motivo della chiusura con il motivo e la causa principale appropriati in XDR. Se una combinazione specifica non viene trovata nell'ambiente XDR, il job utilizza un'opzione di riserva generica per garantire la chiusura corretta dell'incidente.
Assegnazione utenti: se il file JSON User Mapping è configurato, il job sincronizza gli assegnatari. Se un utente non è presente nella mappatura, la sincronizzazione per quell'utente viene ignorata e registrata.
Dati di avviso contestuali: un elenco di avvisi associati all'incidente viene mantenuto nel valore di contesto XDR_ALERTS per ogni caso.

Parametri del job

Il job Palo Alto XDR - Sync Incidents richiede i seguenti parametri:

Parametro	Descrizione
`Environment Name`	Obbligatorio. Il nome dell'ambiente da cui sincronizzare gli incidenti. Il valore predefinito è `Default Environment`.
`Api Root`	Obbligatorio. L'URL radice dell'API Palo Alto Cortex XDR.
`Api Key`	Obbligatorio. La chiave API utilizzata per l'autenticazione con il server Palo Alto Cortex XDR.
`Api Key ID`	Obbligatorio. L'ID associato alla chiave API Palo Alto XDR.
`Max Hours Backwards`	Obbligatorio. Il numero di ore prima dell'ora attuale per sincronizzare gli incidenti durante l'iterazione iniziale del job. Il valore predefinito è `24`.
`User Mapping JSON`	Facoltativo. Un oggetto JSON utilizzato per mappare i nomi visualizzati di Google SecOps ai nomi utente XDR allo scopo di sincronizzare gli assegnatari dei casi. Utilizza il formato seguente: `{ "Google SecOps Display Name": "XDR Username" }` Se non viene fornito alcun valore, la sincronizzazione degli utenti viene ignorata.
`Verify SSL`	Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Palo Alto Cortex XDR. Abilitato per impostazione predefinita.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.