Palo Alto Cortex XDR
Integrationsversion: 15.0
Palo Alto Cortex XDR für die Verwendung mit Google Security Operations konfigurieren
Anmeldedaten
So erhalten Sie Ihren Cortex XDR-API-Schlüssel:
- Gehen Sie zu > Einstellungen.
- Wählen Sie + Neuer Schlüssel aus.
- Wählen Sie den Typ des zu generierenden API-Schlüssels aus (Erweitert Nur).
- Geben Sie optional einen Kommentar an, der den Zweck des API-Schlüssels beschreibt.
- Wählen Sie die gewünschte Zugriffsebene für diesen Schlüssel aus.
- Generieren Sie den API-Schlüssel.
- Kopieren Sie den API-Schlüssel und klicken Sie auf Fertig.
So erhalten Sie Ihre Cortex XDR API-Schlüssel-ID:
- Rufen Sie die Tabelle API-Schlüssel > Spalte „ID“ auf.
- Notieren Sie sich die entsprechende ID. Dieser Wert stellt das Token x-xdr-auth-id:{key_id} dar.
Palo Alto Cortex XDR-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://api-{fqdn} | Ja | Palo Alto Networks Cortex XDR API-Stamm. Hinweis:Der FQDN steht für einen eindeutigen Host- und Domainnamen, der jedem Mandanten zugeordnet ist. Wenn Sie den API-Schlüssel und die Schlüssel-ID generieren, wird Ihnen ein individueller FQDN zugewiesen. |
| API-Schlüssel | Passwort | – | Ja | Eine eindeutige Kennung, die als „Authorization:{key}“-Header zur Authentifizierung von API-Aufrufen verwendet wird. Je nach Sicherheitsstufe können Sie einen erweiterten API-Schlüssel über Ihre Cortex XDR-App generieren. |
| API-Schlüssel-ID | Ganzzahl | 3 | Ja | Ein eindeutiges Token, das zur Authentifizierung des API-Schlüssels verwendet wird. Der Header, der beim Ausführen eines API-Aufrufs verwendet wird, lautet „x-xdr-auth-id:{key_id}“. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Option zum Überprüfen der SSL/TLS-Verbindung. |
Aktionen
Ping
Konnektivität zu Palo Alto Networks Cortex XDR testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_connected | Wahr/falsch | is_connected:False |
JSON-Ergebnis
N/A
Abfrage
Rufen Sie die Daten eines bestimmten Vorfalls ab, einschließlich Benachrichtigungen und wichtiger Artefakte.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des Vorfalls, für den Sie Daten abrufen möchten. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| incident_alerts_count | – | – |
JSON-Ergebnis
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Vorfall beheben
XDR-Vorfälle mit einem Grund für das Schließen schließen
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des zu aktualisierenden Vorfalls. |
| Status | Liste | UNDER_INVESTIGATION | Der Vorfallstatus wurde aktualisiert. |
| Kommentar klären | String | – | Ein beschreibender Kommentar, in dem die Änderung des Vorfalls erläutert wird. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Vorfall aktualisieren
Die Möglichkeit, einen bestimmten XDR-Vorfall als „Wird untersucht“ festzulegen und ihn bestimmten benannten Nutzern zuzuweisen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Vorfall-ID | String | – | Die ID des zu aktualisierenden Vorfalls. |
| Name des zugewiesenen Nutzers | String | – | Der aktualisierte vollständige Name des zugewiesenen Mitarbeiters. |
| Schweregrad | Liste | Niedrig | Vom Administrator definierter Wichtigkeitsgrad. |
| Status | Liste | UNDER_INVESTIGATION | Der Vorfallstatus wurde aktualisiert. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Entitäten anreichern
Google SecOps-Host- und IP-Entitäten mit Informationen aus Palo Alto Networks Cortex XDR anreichern.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| endpoint_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| endpoint_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| ip | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| endpoint_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| install_date | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| installation_package | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| is_isolated | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| group_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Alias | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| active_directory | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| endpoint_status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Endpunkt-ID | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| content_version | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| os_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| last_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| first_seen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Endpunkt-Agent-Bericht abrufen
Rufen Sie den Agent-Bericht für einen Endpunkt ab.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Endpunkt isolieren
Endpunkt isolieren
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Endpunkt isolieren
Isolation eines Endpunkts aufheben
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Hashes zur Sperrliste hinzufügen
Mit dieser Aktion können Sie nicht aufgeführte Dateien einer bestimmten Sperrliste hinzufügen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Nein | Geben Sie einen zusätzlichen Kommentar mit weiteren Informationen zur Aktion an. |
| Vorfall-ID | String | – | Nein | Geben Sie die Vorfall-ID an, auf die sich die hinzugefügten Hashes beziehen. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabenachricht* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen: Für erfolgreich hinzugefügte Entitäten: „Die folgenden Entitäten wurden der Sperrliste hinzugefügt: “ +successful_entities_list Für nicht erfolgreiche Entitäten: „Die folgenden Entitäten konnten nicht der Sperrliste hinzugefügt werden: “+unsuccessful_entities_list. Wenn ein Hash des nicht unterstützten Typs angegeben wird (is_success=true): Die folgenden Hashes werden nicht unterstützt: {unsupported hashes} Wenn alle Hashes des nicht unterstützten Typs angegeben werden (is_success=false): Keiner der angegebenen Hashes wird unterstützt. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Kommentar zu Vorfall hinzufügen
Verwenden Sie die Aktion Kommentar zum Vorfall hinzufügen, um einem Vorfall in Palo Alto Cortex XDR einen Kommentar hinzuzufügen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Add Comment To Incident sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Incident ID |
Erforderlich. Die ID des zu aktualisierenden Vorfalls. |
Comment |
Erforderlich. Der Kommentar, der dem Vorfall hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Kommentar zum Vorfall hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Comment To Incident (Vorfall einen Kommentar hinzufügen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Details zu Vorfällen abrufen
Mit der Aktion Get Incident Details (Vorfalldetails abrufen) können Sie Informationen zu einem Vorfall in Palo Alto Cortex XDR abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Get Incident Details (Details zu Vorfall abrufen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Incident ID |
Erforderlich. Die ID des zurückzugebenden Vorfalls. |
Lowest Alert Severity |
Optional. Der niedrigste Schweregrad, der für eine Benachrichtigung erforderlich ist, damit sie berücksichtigt wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Alerts To Return |
Optional. Die maximale Anzahl der zurückzugebenden Benachrichtigungen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Incident Details (Vorfalldetails abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Get Incident Details (Vorfalldetails abrufen) empfangen werden:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Ausgabenachrichten
Die Aktion Get Incident Details (Details zum Vorfall abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Incident Details (Vorfalldetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
XQL-Suche ausführen
Mit der Aktion XQL-Suche ausführen können Sie Informationen mit XQL in Palo Alto Cortex XDR abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion XQL-Suche ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie |
Time Frame |
Optional. Die Abfrage, die in Palo Alto Cortex XDR ausgeführt werden soll. Geben Sie Folgende Werte sind möglich:
Der Standardwert ist |
Start Time |
Optional. Die Startzeit für die Ergebnisse im ISO 8601-Format. Wenn |
End Time |
Optional. Die Endzeit für die Ergebnisse im ISO 8601-Format. Wenn |
Max Results To Return |
Optional. Bei der Aktion wird Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion XQL-Suche ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion XQL-Suche ausführen empfangen werden:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Ausgabenachrichten
Die Aktion XQL-Suche ausführen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion XQL-Suche ausführen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Scan-Endpunkt
Mit der Aktion Scan Endpoint (Endpunkt scannen) können Sie Endpunkte in Palo Alto Cortex XDR scannen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP AddressHostname
Aktionseingaben
Für die Aktion Scan Endpoint sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Incident ID |
Optional. Die ID des Vorfalls, dem die Scanaktivität zugeordnet werden soll. So können die Ergebnisse in der Vorfallzeitachse angezeigt werden. |
Aktionsausgaben
Die Aktion Endpunkt scannen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Scan Endpoint kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Scan Endpoint". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Scan Endpoint empfangen werden:
[
{
"Entity": "192.168.1.10",
"EntityResult": {
"endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
"endpoint_name": "PLACEHOLDER-SERVER-NAME",
"endpoint_type": "AGENT_TYPE_SERVER",
"endpoint_status": "CONNECTED",
"os_type": "AGENT_OS_WINDOWS",
"os_version": "10.0.yyyy",
"ip": [
"192.168.1.10"
],
"ipv6": [],
"public_ip": "203.0.113.45",
"users": [],
"domain": "WORKGROUP",
"alias": "",
"first_seen": 1680000000000,
"last_seen": 1760000000000,
"content_version": "YYYY-ZZZZZ",
"installation_package": "PLACEHOLDER-PACKAGE",
"active_directory": [],
"install_date": 1680000000000,
"endpoint_version": "X.Y.Z.W",
"is_isolated": "AGENT_UNISOLATED",
"isolated_date": null,
"group_name": [
"PLACEHOLDER-GROUP"
],
"operational_status": "PROTECTED",
"operational_status_description": "[]",
"operational_status_details": [],
"scan_status": "SCAN_STATUS_PENDING",
"content_release_timestamp": 1760000000000,
"last_content_update_time": 1760000000000,
"operating_system": "Windows Server PLACEHOLDER",
"mac_address": [
"00:1A:2B:3C:4D:5E"
],
"assigned_prevention_policy": "PLACEHOLDER-POLICY",
"assigned_extensions_policy": "Windows Default",
"token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
"tags": {
"server_tags": [
"PLACEHOLDER-TAG"
],
"endpoint_tags": []
},
"content_status": "UP_TO_DATE"
}
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Scan Endpoint verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Palo Alto Cortex XDR-Connector
Mit diesem Connector können Sie Vorfälle aus Palo Alto Cortex XDR abrufen.
Connector-Eingaben
Für den Palo Alto Cortex XDR Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit (in Sekunden) für die Ausführung des aktuellen Skripts durch den Python-Prozess. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root der Palo Alto Cortex XDR-Instanz. Der Standardwert ist |
API Key |
Erforderlich. Der API-Schlüssel für Palo Alto Cortex XDR. |
Api Key ID |
Erforderlich. Die entsprechende ID des API-Schlüssels für die zukünftige Authentifizierung. Der Standardwert ist |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Palo Alto Cortex XDR-Server validiert. Standardmäßig aktiviert. |
Alerts Count Limit |
Optional. Die maximale Anzahl von Benachrichtigungen in jedem Zyklus. Der Standardwert ist |
Max Days Backwards |
Optional. Die maximale Anzahl von Tagen vor dem aktuellen Datum, für die der Connector Daten abrufen soll. Dieser Parameter wird für die erste Ausführung des Connectors verwendet. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Status Filter |
Optional. Eine durch Kommas getrennte Liste der Benachrichtigungsstatus, die vom Connector aufgenommen werden sollen. Wenn kein Wert angegeben ist, werden standardmäßig Benachrichtigungen mit den Status Folgende Werte sind möglich:
|
Split Incident Alerts |
Optional. Wenn diese Option ausgewählt ist, trennt der Connector die einzelnen Benachrichtigungen innerhalb eines einzelnen Quellvorfalls und erstellt für jede eine separate SOAR-Benachrichtigung. Standardmäßig nicht aktiviert. |
Lowest Alert Severity To Fetch |
Optional. Der niedrigste Schweregrad der abzurufenden Benachrichtigungen. Wenn kein Wert angegeben ist, werden Benachrichtigungen mit allen Schweregraden aufgenommen. Die Folgende Werte sind möglich:
|
Lowest Incident Severity To Fetch |
Optional. Der niedrigste SmartScore (0 bis 100) der abzurufenden Vorfälle. Dieser Filter funktioniert unabhängig vom Schweregradfilter. Wenn kein Wert angegeben ist, wird der SmartScore-Filter ignoriert. |
Lowest Incident SmartScore To Fetch |
Optional. Der niedrigste Schweregrad der abzurufenden Vorfälle. Wenn kein Wert angegeben ist, werden Vorfälle mit allen Schweregraden aufgenommen. Folgende Werte sind möglich:
|
Use dynamic list as a blocklist |
Erforderlich. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Sperrliste. Standardmäßig nicht aktiviert. |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig aktiviert. |
Connector-Regeln
Der Connector unterstützt keine Whitelist/Blacklist.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten