Palo Alto Cortex XDR
Integrationsversion: 15.0
Palo Alto Cortex XDR für die Verwendung mit Google Security Operations konfigurieren
Anmeldedaten
So erhalten Sie Ihren Cortex XDR-API-Schlüssel:
- Gehen Sie zu > Einstellungen.
- Wählen Sie + Neuer Schlüssel aus.
- Wählen Sie den Typ des zu generierenden API-Schlüssels aus (Erweitert Nur).
- Geben Sie optional einen Kommentar an, der den Zweck des API-Schlüssels beschreibt.
- Wählen Sie die gewünschte Zugriffsebene für diesen Schlüssel aus.
- Generieren Sie den API-Schlüssel.
- Kopieren Sie den API-Schlüssel und klicken Sie auf Fertig.
So erhalten Sie Ihre Cortex XDR API-Schlüssel-ID:
- Rufen Sie die Tabelle API-Schlüssel > Spalte „ID“ auf.
- Notieren Sie sich die entsprechende ID. Dieser Wert stellt das Token x-xdr-auth-id:{key_id} dar.
Palo Alto Cortex XDR-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://api-{fqdn} | Ja | Palo Alto Networks Cortex XDR API-Stamm. Hinweis:Der FQDN steht für einen eindeutigen Host- und Domainnamen, der jedem Mandanten zugeordnet ist. Wenn Sie den API-Schlüssel und die Schlüssel-ID generieren, wird Ihnen ein individueller FQDN zugewiesen. |
| API-Schlüssel | Passwort | – | Ja | Eine eindeutige ID, die als „Authorization:{key}“-Header für die Authentifizierung von API-Aufrufen verwendet wird. Je nach Sicherheitsstufe können Sie einen erweiterten API-Schlüssel über Ihre Cortex XDR-App generieren. |
| API-Schlüssel-ID | Ganzzahl | 3 | Ja | Ein eindeutiges Token, das zur Authentifizierung des API-Schlüssels verwendet wird. Der Header, der beim Ausführen eines API-Aufrufs verwendet wird, lautet „x-xdr-auth-id:{key_id}“. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Option zum Überprüfen der SSL/TLS-Verbindung. |
Aktionen
Ping
Konnektivität zu Palo Alto Networks Cortex XDR testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_connected | Wahr/falsch | is_connected:False |
JSON-Ergebnis
N/A
Abfrage
Rufen Sie die Daten eines bestimmten Vorfalls ab, einschließlich Benachrichtigungen und wichtiger Artefakte.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des Vorfalls, für den Sie Daten abrufen möchten. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| incident_alerts_count | – | – |
JSON-Ergebnis
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Vorfall beheben
XDR-Vorfälle mit einem Grund für das Schließen schließen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des zu aktualisierenden Vorfalls. |
| Status | Liste | UNDER_INVESTIGATION | Der Vorfallstatus wurde aktualisiert. |
| Kommentar klären | String | – | Ein beschreibender Kommentar, in dem die Änderung des Vorfalls erläutert wird. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Vorfall aktualisieren
Die Möglichkeit, einen bestimmten XDR-Vorfall als „In Untersuchung“ festzulegen, ihn bestimmten benannten Nutzern zuzuweisen usw.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des zu aktualisierenden Vorfalls. |
| Name des zugewiesenen Nutzers | String | – | Der aktualisierte vollständige Name des zugewiesenen Mitarbeiters. |
| Schweregrad | Liste | Niedrig | Vom Administrator festgelegter Schweregrad. |
| Status | Liste | UNDER_INVESTIGATION | Der Vorfallstatus wurde aktualisiert. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitäten anreichern
Google SecOps-Host- und IP-Entitäten mit Informationen aus Palo Alto Networks Cortex XDR anreichern.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| endpoint_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| endpoint_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| endpoint_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| install_date | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| installation_package | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| is_isolated | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| group_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Alias | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| active_directory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| endpoint_status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Endpunkt-ID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| content_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| os_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| last_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| first_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Endpunkt-Agent-Bericht abrufen
Rufen Sie den Agent-Bericht für einen Endpunkt ab.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Endpunkt isolieren
Endpunkt isolieren
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Endpunkt isolieren
Endpunkt aus der Isolation entfernen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Hashes zur Sperrliste hinzufügen
Mit dieser Aktion können Sie nicht aufgeführte Dateien einer bestimmten Sperrliste hinzufügen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Nein | Geben Sie einen zusätzlichen Kommentar mit weiteren Informationen zur Aktion an. |
| Vorfall-ID | String | – | Nein | Geben Sie die Vorfall-ID an, auf die sich die hinzugefügten Hashes beziehen. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Für erfolgreich hinzugefügte Entitäten: „Die folgenden Entitäten wurden der Sperrliste hinzugefügt: “ +successful_entities_list Für nicht erfolgreiche Entitäten: „Die folgenden Entitäten konnten nicht der Sperrliste hinzugefügt werden: “+unsuccessful_entities_list. Wenn ein Hash des nicht unterstützten Typs angegeben wird (is_success=true): Die folgenden Hashes werden nicht unterstützt: {unsupported hashes} Wenn alle Hashes des nicht unterstützten Typs angegeben werden (is_success=false): Keiner der angegebenen Hashes wird unterstützt. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Kommentar zu Vorfall hinzufügen
Verwenden Sie die Aktion Kommentar zum Vorfall hinzufügen, um einem Vorfall in Palo Alto Cortex XDR einen Kommentar hinzuzufügen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Add Comment To Incident sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Incident ID |
Erforderlich. Die ID der zu aktualisierenden Verkehrsbehinderung. |
Comment |
Erforderlich. Der Kommentar, der dem Vorfall hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Kommentar zum Vorfall hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Details zu Vorfällen abrufen
Mit der Aktion Get Incident Details (Vorfalldetails abrufen) können Sie Informationen zu einem Vorfall in Palo Alto Cortex XDR abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Incident Details (Vorfalldetails abrufen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Incident ID |
Erforderlich. Die ID des zurückzugebenden Vorfalls. |
Lowest Alert Severity |
Optional. Der niedrigste Schweregrad, der für eine Benachrichtigung erforderlich ist, damit sie berücksichtigt wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Alerts To Return |
Optional. Die maximale Anzahl der zurückzugebenden Benachrichtigungen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Incident Details (Details zu Vorfällen abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Incident Details (Vorfalldetails abrufen) empfangen werden:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Ausgabemeldungen
Die Aktion Get Incident Details (Details zu Vorfällen abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Incident Details (Vorfalldetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
XQL-Suche ausführen
Mit der Aktion XQL-Suche ausführen können Sie Informationen mit XQL in Palo Alto Cortex XDR abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion XQL-Suche ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie |
Time Frame |
Optional. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie Folgende Werte sind möglich:
Der Standardwert ist |
Start Time |
Optional. Die Startzeit für die Ergebnisse im ISO 8601-Format. Wenn |
End Time |
Optional. Die Endzeit für die Ergebnisse im ISO 8601-Format. Wenn |
Max Results To Return |
Optional. Bei der Aktion wird Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion XQL-Suche ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion XQL-Suche ausführen empfangen werden:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Ausgabemeldungen
Die Aktion XQL-Suche ausführen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion XQL-Suche ausführen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Palo Alto Cortex XDR-Connector
Ein Connector zum Abrufen von Vorfällen aus Palo Alto Networks Cortex XDR und zum Erstellen von Benachrichtigungen aus den angehängten Vorfällen.
Connector-Eingaben
Für den Palo Alto Cortex XDR Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
PythonProcessTimeout |
Erforderlich. Das Zeitlimit (in Sekunden) für die Ausführung des aktuellen Skripts durch den Python-Prozess. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root der Palo Alto Cortex XDR-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der API-Schlüssel für Palo Alto Cortex XDR. |
Api Key ID |
Erforderlich. Die entsprechende ID des API-Schlüssels für die zukünftige Authentifizierung. Der Standardwert ist |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, validiert die Integration das SSL-Zertifikat, wenn eine Verbindung zum Palo Alto Cortex XDR-Server hergestellt wird. Standardmäßig aktiviert. |
Alerts Count Limit |
Optional. Die maximale Anzahl von Benachrichtigungen in jedem Zyklus. Der Standardwert ist |
Max Days Backwards |
Optional. Die maximale Anzahl von Tagen vor dem aktuellen Datum, für die der Connector Daten abrufen soll. Dieser Parameter wird für die erste Ausführung des Connectors verwendet. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Der Connector unterstützt keine Zulassungs-/Sperrlisten.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten