Cortex XDR de Palo Alto
Versión de integración: 15.0
Configura Palo Alto Cortex XDR para que funcione con Google Security Operations
Credenciales
Para obtener tu clave de API de Cortex XDR, haz lo siguiente:
- Navega a > Configuración.
- Selecciona + New Key.
- Elige el tipo de clave de API que deseas generar (Solo avanzada).
- Proporciona un comentario que describa el propósito de la clave de API (opcional).
- Selecciona el nivel de acceso deseado para esta clave.
- Genera la clave de API.
- Copia la clave de API y, luego, haz clic en Listo.
Para obtener el ID de tu clave de API de Cortex XDR, haz lo siguiente:
- Navega a la tabla Claves de API > columna ID.
- Anota el número de ID correspondiente. Este valor representa el token x-xdr-auth-id:{key_id}.
Configura la integración de Palo Alto Cortex XDR en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://api-{fqdn} | Sí | Es la raíz de la API de Cortex XDR de Palo Alto Networks. Nota: El FQDN representa un nombre de host y dominio únicos asociados a cada instancia. Cuando generas la clave de API y el ID de clave, se te asigna un FQDN individual. |
| Clave de API | Contraseña | N/A | Sí | Es un identificador único que se usa como el encabezado "Authorization:{key}" necesario para autenticar las llamadas a la API. Según tu nivel de seguridad, puedes generar una clave de API avanzada desde tu app de Cortex XDR. |
| ID de clave de API | Número entero | 3 | Sí | Es un token único que se usa para autenticar la clave de API. El encabezado que se usa cuando se ejecuta una llamada a la API es "x-xdr-auth-id:{key_id}". |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Opción para verificar la conexión SSL/TLS |
Acciones
Ping
Prueba la conectividad con Palo Alto Networks Cortex XDR.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connected | Verdadero/Falso | is_connected:False |
Resultado de JSON
N/A
Consulta
Recupera los datos de un incidente específico, incluidas las alertas y los artefactos clave.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| ID del incidente | String | N/A | Es el ID del incidente del que deseas recuperar datos. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| incident_alerts_count | N/A | N/A |
Resultado de JSON
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Cómo resolver un incidente
Capacidad para cerrar incidentes de XDR con un motivo de cierre
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| ID del incidente | String | N/A | ID del incidente que se actualizará. |
| Estado | Lista | UNDER_INVESTIGATION | Se actualizó el estado del incidente. |
| Resolver comentario | String | N/A | Comentario descriptivo que explica el cambio del incidente. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Actualiza un incidente
La capacidad de establecer un incidente de XDR específico como en investigación, asignarlo a usuarios con nombre, etcétera
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| ID del incidente | String | N/A | ID del incidente que se actualizará. |
| Nombre de usuario asignado | String | N/A | Es el nombre completo actualizado del asignado del incidente. |
| Gravedad | Lista | Baja | Es la gravedad definida por el administrador. |
| Estado | Lista | UNDER_INVESTIGATION | Se actualizó el estado del incidente. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquece entidades
Enriquece las entidades de host y de IP de SecOps de Google en función de la información de Palo Alto Networks Cortex XDR.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| dominio | Devuelve si existe en el resultado JSON. |
| endpoint_name | Devuelve si existe en el resultado JSON. |
| endpoint_type | Devuelve si existe en el resultado JSON. |
| ip | Devuelve si existe en el resultado JSON. |
| endpoint_version | Devuelve si existe en el resultado JSON. |
| install_date | Devuelve si existe en el resultado JSON. |
| installation_package | Devuelve si existe en el resultado JSON. |
| is_isolated | Devuelve si existe en el resultado JSON. |
| group_name | Devuelve si existe en el resultado JSON. |
| Alias | Devuelve si existe en el resultado JSON. |
| active_directory | Devuelve si existe en el resultado JSON. |
| endpoint_status | Devuelve si existe en el resultado JSON. |
| endpoint_id | Devuelve si existe en el resultado JSON. |
| content_version | Devuelve si existe en el resultado JSON. |
| os_type | Devuelve si existe en el resultado JSON. |
| last_seen | Devuelve si existe en el resultado JSON. |
| first_seen | Devuelve si existe en el resultado JSON. |
| usuarios | Devuelve si existe en el resultado JSON. |
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Obtén el informe del agente de Endpoint
Obtiene el informe del agente para un extremo.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Aislamiento del extremo
Aísla un extremo.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Aislamiento de extremo
Aísla un extremo.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Agrega hashes a la lista de bloqueo
Usa esta acción para agregar archivos no incluidos en la lista a una lista de bloqueo especificada.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Comentario | String | N/A | No | Proporciona un comentario adicional que representa información adicional sobre la acción. |
| ID del incidente | String | N/A | No | Especifica el ID del incidente con el que se relacionan los hashes agregados. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Para las entidades agregadas correctamente : "Se agregaron correctamente las siguientes entidades a la lista de bloqueo: " +successful_entities_list Para las entidades sin éxito: "No se pudieron agregar las siguientes entidades a la lista de bloqueo: "+unsuccessful_entities_list. Si se proporciona un hash del tipo no admitido (is_success=true): No se admiten los siguientes hashes: {hashes no admitidos} Si se proporcionan todos los hashes del tipo no admitido (is_success=false): No se admite ninguno de los hashes proporcionados. La acción debería fallar y detener la ejecución de la guía: |
General |
Agregar comentario al incidente
Usa la acción Add Comment To Incident para agregar un comentario a un incidente en Palo Alto Cortex XDR.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Add Comment To Incident requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Incident ID |
Obligatorio. Es el ID del incidente que se actualizará. |
Comment |
Obligatorio. Es el comentario que se agregará al incidente. |
Resultados de la acción
La acción Add Comment To Incident proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Add Comment To Incident puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Comment To Incident:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles del incidente
Usa la acción Get Incident Details para recuperar información sobre un incidente en Palo Alto Cortex XDR.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Incident Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Incident ID |
Obligatorio. Es el ID del incidente que se devolverá. |
Lowest Alert Severity |
Opcional. Es la gravedad de alerta más baja que se requiere para que se incluya una alerta. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Alerts To Return |
Opcional. Es la cantidad máxima de alertas que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Get Incident Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados en formato JSON que se reciben cuando se usa la acción Get Incident Details:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Mensajes de salida
La acción Get Incident Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Incident Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecuta la búsqueda de XQL
Usa la acción Ejecutar búsqueda de XQL para recuperar información con XQL en Palo Alto Cortex XDR.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar búsqueda en XQL requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es la consulta que se ejecutará en Palo Alto Cortex XDR. No proporciones |
Time Frame |
Opcional. Es la consulta que se ejecutará en Palo Alto Cortex XDR. No proporciones Los valores posibles son los siguientes:
El valor predeterminado es |
Start Time |
Opcional. Hora de inicio de los resultados en formato ISO 8601. Si se selecciona |
End Time |
Opcional. Es la hora de finalización de los resultados en formato ISO 8601. Si se selecciona |
Max Results To Return |
Opcional. La acción agregará El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar búsqueda de XQL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Execute XQL Search:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Mensajes de salida
La acción Ejecutar búsqueda de XQL puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar búsqueda en XQL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Conector de Palo Alto Cortex XDR
Un conector para recuperar incidentes de Palo Alto Networks Cortex XDR y crear alertas a partir de los incidentes adjuntos.
Entradas del conector
El conector de Palo Alto Cortex XDR requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
PythonProcessTimeout |
Obligatorio. Es el límite de tiempo de espera (en segundos) para que el proceso de Python ejecute la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de Palo Alto Cortex XDR. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de API de Palo Alto Cortex XDR. |
Api Key ID |
Obligatorio. Es el ID correspondiente de la clave de API para la autenticación futura. El valor predeterminado es |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Palo Alto Cortex XDR. Habilitados de forma predeterminada. |
Alerts Count Limit |
Opcional. Es la cantidad máxima de alertas en cada ciclo. El valor predeterminado es |
Max Days Backwards |
Opcional. Es la cantidad máxima de días anteriores a la fecha actual desde la que el conector puede recuperar datos. Este parámetro se usa para la ejecución inicial del conector. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Reglas del conector
El conector no admite listas blancas ni negras.
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.