Cortex XDR de Palo Alto

Versión de integración: 15.0

Configura Palo Alto Cortex XDR para que funcione con Google Security Operations

Credenciales

Para obtener tu clave de API de Cortex XDR, haz lo siguiente:

Navega a > Configuración.
Selecciona + Clave nueva.
Elige el tipo de clave de API que deseas generar (Solo avanzada).
Proporciona un comentario que describa el propósito de la clave de API (opcional).
Selecciona el nivel de acceso deseado para esta clave.
Genera la clave de API.
Copia la clave de API y, luego, haz clic en Listo.

Para obtener el ID de tu clave de API de Cortex XDR, haz lo siguiente:

Navega a la tabla Claves de API > columna ID.
Anota el número de ID correspondiente. Este valor representa el token x-xdr-auth-id:{key_id}.

Configura la integración de Palo Alto Cortex XDR en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz de la API	String	https://api-{fqdn}	Sí	Es la raíz de la API de Cortex XDR de Palo Alto Networks. Nota: El FQDN representa un nombre de host y dominio únicos asociados a cada instancia. Cuando generas la clave de API y el ID de clave, se te asigna un FQDN individual.
Clave de API	Contraseña	N/A	Sí	Es un identificador único que se usa como el encabezado "Authorization:{key}" necesario para autenticar las llamadas a la API. Según tu nivel de seguridad, puedes generar una clave de API avanzada desde tu app de Cortex XDR.
ID de clave de API	Número entero	3	Sí	Es un token único que se usa para autenticar la clave de API. El encabezado que se usa cuando se ejecuta una llamada a la API es "x-xdr-auth-id:{key_id}".
Verificar SSL	Casilla de verificación	Desmarcado	Sí	Opción para verificar la conexión SSL/TLS

Acciones

Ping

Prueba la conectividad con Palo Alto Networks Cortex XDR.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_connected	Verdadero o falso	is_connected:False

Resultado de JSON

N/A

Consulta

Recupera los datos de un incidente específico, incluidas las alertas y los artefactos clave.

Parámetros

Parámetro	Tipo	Valor predeterminado	Descripción
ID del incidente	String	N/A	Es el ID del incidente del que deseas recuperar datos.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
incident_alerts_count	N/A	N/A

Resultado de JSON

{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Cómo resolver un incidente

Capacidad para cerrar incidentes de XDR con un motivo de cierre

Parámetros

Parámetro	Tipo	Valor predeterminado	Descripción
ID del incidente	String	N/A	Es el ID del incidente que se actualizará.
Estado	Lista	UNDER_INVESTIGATION	Se actualizó el estado del incidente.
Resolver comentario	String	N/A	Comentario descriptivo que explica el cambio del incidente.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Actualiza un incidente

La capacidad de establecer un incidente de XDR específico como en investigación, asignarlo a usuarios con nombre, etcétera

Parámetros

Parámetro	Tipo	Valor predeterminado	Descripción
ID del incidente	String	N/A	Es el ID del incidente que se actualizará.
Nombre de usuario asignado	String	N/A	Es el nombre completo actualizado del asignado del incidente.
Gravedad	Lista	Baja	Es la gravedad definida por el administrador.
Estado	Lista	UNDER_INVESTIGATION	Se actualizó el estado del incidente.

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en la entidad de URL.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Enriquece entidades

Enriquece las entidades de host y de IP de Google SecOps en función de la información de Palo Alto Networks Cortex XDR.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Enriquecimiento de entidades

Nombre del campo de enriquecimiento	Lógica: Cuándo aplicar
dominio	Devuelve si existe en el resultado JSON
endpoint_name	Devuelve si existe en el resultado JSON
endpoint_type	Devuelve si existe en el resultado JSON
ip	Devuelve si existe en el resultado JSON
endpoint_version	Devuelve si existe en el resultado JSON
install_date	Devuelve si existe en el resultado JSON
installation_package	Devuelve si existe en el resultado JSON
is_isolated	Devuelve si existe en el resultado JSON
group_name	Devuelve si existe en el resultado JSON
Alias	Devuelve si existe en el resultado JSON
active_directory	Devuelve si existe en el resultado JSON
endpoint_status	Devuelve si existe en el resultado JSON
endpoint_id	Devuelve si existe en el resultado JSON
content_version	Devuelve si existe en el resultado JSON
os_type	Devuelve si existe en el resultado JSON
last_seen	Devuelve si existe en el resultado JSON
first_seen	Devuelve si existe en el resultado JSON
usuarios	Devuelve si existe en el resultado JSON

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Obtén el informe del agente de extremos

Obtiene el informe del agente para un extremo.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Aislamiento del extremo

Aísla un extremo.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Extremo de Unisolate

Aísla un extremo.

Parámetros

N/A

Casos de uso

N/A

Ejecutar en

Esta acción se ejecuta en las siguientes entidades:

Dirección IP
Nombre de host

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

N/A

Agrega hashes a la lista de bloqueo

Usa esta acción para agregar archivos no incluidos en la lista a una lista de bloqueo especificada.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Is Mandatory	Descripción
Comentario	String	N/A	No	Proporciona un comentario adicional que representa información adicional sobre la acción.
ID del incidente	String	N/A	No	Especifica el ID del incidente con el que se relacionan los hashes agregados.

Ejecutar en

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}

Muro de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: Para las entidades agregadas correctamente : "Se agregaron correctamente las siguientes entidades a la lista de bloqueo: " +successful_entities_list Para las entidades sin éxito: "No se pudieron agregar las siguientes entidades a la lista de bloqueo: "+unsuccessful_entities_list. Si se proporciona un hash del tipo no admitido (is_success=true): No se admiten los siguientes hashes: {hashes no admitidos} Si se proporcionan todos los hashes del tipo no admitido (is_success=false): No se admite ninguno de los hashes proporcionados. La acción debe fallar y detener la ejecución de la guía: "No se pudo realizar la acción "Agregar hashes a la lista negra" {0}".format(exception.stacktrace)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Para las entidades agregadas correctamente : "Se agregaron correctamente las siguientes entidades a la lista de bloqueo: " +successful_entities_list

Para las entidades sin éxito: "No se pudieron agregar las siguientes entidades a la lista de bloqueo: "+unsuccessful_entities_list.

Si se proporciona un hash del tipo no admitido (is_success=true):

No se admiten los siguientes hashes: {hashes no admitidos}

Si se proporcionan todos los hashes del tipo no admitido (is_success=false): No se admite ninguno de los hashes proporcionados.

La acción debe fallar y detener la ejecución de la guía:
"No se pudo realizar la acción "Agregar hashes a la lista negra" {0}".format(exception.stacktrace)

General

Agregar comentario al incidente

Usa la acción Add Comment To Incident para agregar un comentario a un incidente en Palo Alto Cortex XDR.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add Comment To Incident requiere los siguientes parámetros:

Parámetro Descripción

Parámetro	Descripción
`Incident ID`	Obligatorio. Es el ID del incidente que se actualizará.
`Comment`	Obligatorio. Es el comentario que se agregará al incidente.

Incident ID

Obligatorio.

Es el ID del incidente que se actualizará.

Comment

Obligatorio.

Es el comentario que se agregará al incidente.

Resultados de la acción

La acción Add Comment To Incident proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	No disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Add Comment To Incident puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.`	La acción se completó correctamente.
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

La acción se completó correctamente.

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Comment To Incident:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Obtén detalles del incidente

Usa la acción Get Incident Details para recuperar información sobre un incidente en Palo Alto Cortex XDR.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Incident Details requiere los siguientes parámetros:

Parámetro Descripción

Parámetro	Descripción
`Incident ID`	Obligatorio. Es el ID del incidente que se devolverá.
`Lowest Alert Severity`	Es opcional. Es la gravedad de alerta más baja que se requiere para que se incluya una alerta. Los valores posibles son los siguientes: `Critical` `High` `Medium` `Low` El valor predeterminado es `High`.
`Max Alerts To Return`	Es opcional. Es la cantidad máxima de alertas que se devolverán. El valor máximo es`1000`. El valor predeterminado es `50`.

Incident ID

Obligatorio.

Es el ID del incidente que se devolverá.

Lowest Alert Severity

Es opcional.

Es la gravedad de alerta más baja que se requiere para que se incluya una alerta.

Los valores posibles son los siguientes:

Critical
High
Medium
Low

El valor predeterminado es High.

Max Alerts To Return

Es opcional.

Es la cantidad máxima de alertas que se devolverán.

El valor máximo es1000.

El valor predeterminado es 50.

Resultados de la acción

La acción Get Incident Details proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestran los resultados en formato JSON que se reciben cuando se usa la acción Get Incident Details:

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}

Mensajes de salida

La acción Get Incident Details puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.`	La acción se completó correctamente.
`Error executing action "Get Incident Details". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

La acción se completó correctamente.

Error executing action "Get Incident Details". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Incident Details:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Ejecuta la búsqueda de XQL

Usa la acción Ejecutar búsqueda de XQL para recuperar información con XQL en Palo Alto Cortex XDR.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Ejecutar búsqueda en XQL requiere los siguientes parámetros:

Parámetro	Descripción
`Query`	Obligatorio. Es la consulta que se ejecutará en Palo Alto Cortex XDR. No proporciones `limit` como parte de la búsqueda. La acción recupera este valor de `Max Results To Return`.
`Time Frame`	Es opcional. Es la consulta que se ejecutará en Palo Alto Cortex XDR. No proporciones `limit` como parte de la búsqueda. La acción recupera este valor de `Max Results To Return`. Los valores posibles son los siguientes: `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` El valor predeterminado es `Last Hour`.
`Start Time`	Es opcional. Hora de inicio de los resultados en formato ISO 8601. Si se selecciona `Custom` para `Time Frame`, este parámetro es obligatorio.
`End Time`	Es opcional. Es la hora de finalización de los resultados en formato ISO 8601. Si se selecciona `Custom` para `Time Frame` y no se proporciona ningún valor, la acción usa la hora actual.
`Max Results To Return`	Es opcional. La acción agrega `limit` a la búsqueda proporcionada. El valor máximo es`1000`. El valor predeterminado es `50`.

Resultados de la acción

La acción Ejecutar búsqueda en XQL proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Resultado de JSON

En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Ejecutar búsqueda en XQL:

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}

Mensajes de salida

La acción Ejecutar búsqueda de XQL puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully returned results for the query QUERY in Palo Alto XDR.` `No results were found for the query QUERY in Palo Alto XDR.` `Waiting for the search job to finish…`	La acción se completó correctamente.
`Error executing action "Execute XQL Search". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

La acción se completó correctamente.

Error executing action "Execute XQL Search". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar búsqueda en XQL:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Extremo de análisis

Usa la acción Scan Endpoint para analizar los extremos en Palo Alto Cortex XDR.

Esta acción se ejecuta en las siguientes entidades de Google SecOps:

IP Address
Hostname

Entradas de acción

La acción Scan Endpoint requiere los siguientes parámetros:

Parámetro Descripción

Parámetro	Descripción
`Incident ID`	Es opcional. Es el ID del incidente con el que se asociará la actividad de análisis, lo que permitirá que los resultados aparezcan en la línea de tiempo del incidente.

Incident ID

Es opcional.

Es el ID del incidente con el que se asociará la actividad de análisis, lo que permitirá que los resultados aparezcan en la línea de tiempo del incidente.

Resultados de la acción

La acción Scan Endpoint proporciona los siguientes resultados:

Tipo de salida de la acción	Disponibilidad
Adjunto del muro de casos	No disponible
Vínculo al muro de casos	No disponible
Tabla del muro de casos	No disponible
Tabla de enriquecimiento	No disponible
Resultado de JSON	Disponible
Mensajes de salida	Disponible
Resultado de secuencia de comandos	Disponible

Mensajes de salida

La acción Scan Endpoint puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Mensaje de salida	Descripción del mensaje
`Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for all of the provided endpoints in Palo Alto XDR.`	La acción se completó correctamente.
`Error executing action "Scan Endpoint". Reason: ERROR_REASON`	No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for all of the provided endpoints in Palo Alto XDR.

La acción se completó correctamente.

Error executing action "Scan Endpoint". Reason:
      ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.

Resultado de JSON

En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Scan Endpoint:

[
   {
      "Entity": "192.168.1.10",
      "EntityResult": {
         "endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
         "endpoint_name": "PLACEHOLDER-SERVER-NAME",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "endpoint_status": "CONNECTED",
         "os_type": "AGENT_OS_WINDOWS",
         "os_version": "10.0.yyyy",
         "ip": [
            "192.168.1.10"
         ],
         "ipv6": [],
         "public_ip": "203.0.113.45",
         "users": [],
         "domain": "WORKGROUP",
         "alias": "",
         "first_seen": 1680000000000,
         "last_seen": 1760000000000,
         "content_version": "YYYY-ZZZZZ",
         "installation_package": "PLACEHOLDER-PACKAGE",
         "active_directory": [],
         "install_date": 1680000000000,
         "endpoint_version": "X.Y.Z.W",
         "is_isolated": "AGENT_UNISOLATED",
         "isolated_date": null,
         "group_name": [
            "PLACEHOLDER-GROUP"
         ],
         "operational_status": "PROTECTED",
         "operational_status_description": "[]",
         "operational_status_details": [],
         "scan_status": "SCAN_STATUS_PENDING",
         "content_release_timestamp": 1760000000000,
         "last_content_update_time": 1760000000000,
         "operating_system": "Windows Server PLACEHOLDER",
         "mac_address": [
            "00:1A:2B:3C:4D:5E"
         ],
         "assigned_prevention_policy": "PLACEHOLDER-POLICY",
         "assigned_extensions_policy": "Windows Default",
         "token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
         "tags": {
            "server_tags": [
               "PLACEHOLDER-TAG"
            ],
            "endpoint_tags": []
         },
         "content_status": "UP_TO_DATE"
      }
   }
]

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Scan Endpoint:

Nombre del resultado de la secuencia de comandos	Valor
`is_success`	`True` o `False`

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Conector de Palo Alto Cortex XDR

Usa este conector para extraer incidentes de Palo Alto Cortex XDR.

Entradas del conector

El conector de Palo Alto Cortex XDR requiere los siguientes parámetros:

Parámetro	Descripción
`Product Field Name`	Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es `Product Name`.
`Event Field Name`	Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es `event_type`.
`Script Timeout (Seconds)`	Obligatorio. Es el límite de tiempo de espera (en segundos) para que el proceso de Python ejecute la secuencia de comandos actual. El valor predeterminado es `60`.
`API Root`	Obligatorio. Es la raíz de la API de la instancia de Palo Alto Cortex XDR. El valor predeterminado es `https://api-{fqdn}`.
`API Key`	Obligatorio. Es la clave de API de Palo Alto Cortex XDR.
`Api Key ID`	Obligatorio. Es el ID correspondiente de la clave de API para la autenticación futura. El valor predeterminado es `3`.
`Verify SSL`	Es opcional. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Palo Alto Cortex XDR. Habilitada de forma predeterminada.
`Alerts Count Limit`	Es opcional. Es la cantidad máxima de alertas en cada ciclo. El valor predeterminado es `10`.
`Max Days Backwards`	Es opcional. Es la cantidad máxima de días anteriores a la fecha actual desde la que el conector puede recuperar datos. Este parámetro se usa para la ejecución inicial del conector. El valor predeterminado es `1`.
`Environment Field Name`	Es opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es `""`.
`Environment Regex Pattern`	Es opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo `Environment Field Name`. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares. Usa el valor predeterminado `.*` para recuperar el valor `Environment Field Name` sin procesar requerido. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
`Proxy Server Address`	Es opcional. Es la dirección del servidor proxy que se usará.
`Proxy Username`	Es opcional. Nombre de usuario del proxy con el que se realizará la autenticación.
`Proxy Password`	Es opcional. Es la contraseña del proxy con la que se realizará la autenticación.
`Status Filter`	Es opcional. Es una lista separada por comas de los estados de alerta que el conector debe transferir. Si no se proporciona ningún valor, el conector recupera de forma predeterminada las alertas con los estados `New` y `Under Investigation`. Los valores posibles son los siguientes: `New` `Under Investigation` `Resolved`
`Split Incident Alerts`	Es opcional. Si se selecciona, el conector separa las alertas individuales dentro de un incidente de una sola fuente, lo que crea una alerta de SOAR distinta para cada una. No está habilitado de forma predeterminada.
`Lowest Alert Severity To Fetch`	Es opcional. Es la gravedad más baja de las alertas que se recuperarán. Si no se proporciona ningún valor, el conector ingiere alertas con todos los niveles de gravedad. El `Lowest Incident SmartScore To Fetch` actúa como filtro principal. Si la puntuación de un incidente cumple con este umbral, se procesan todas las alertas asociadas, independientemente de la configuración individual del filtro de gravedad. Los valores posibles son los siguientes: `Low` `Medium` `High` `Critical`
`Lowest Incident Severity To Fetch`	Es opcional. Es el SmartScore más bajo (de 0 a 100) de los incidentes que se recuperarán. Este filtro funciona de forma independiente del filtro de gravedad. Si no se proporciona ningún valor, se ignora el filtro de SmartScore.
`Lowest Incident SmartScore To Fetch`	Es opcional. Es la gravedad más baja de los incidentes que se recuperarán. Si no se proporciona ningún valor, el conector ingiere incidentes con todos los niveles de gravedad. Los valores posibles son los siguientes: `Low` `Medium` `High` `Critical`
`Use dynamic list as a blocklist`	Obligatorio. Si se selecciona esta opción, el conector usa la lista dinámica como una lista de bloqueo. No está habilitado de forma predeterminada.
`Disable Overflow`	Es opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de Google SecOps. Habilitada de forma predeterminada.

Reglas del conector

El conector no admite listas blancas ni negras.

El conector admite proxy.

Trabajos

Para obtener más información sobre los trabajos, consulta Configura un trabajo nuevo y Programación avanzada.

Palo Alto Cortex XDR: Sincronización de incidentes

Usa el trabajo Palo Alto Cortex XDR - Sync Incidents para sincronizar alertas e incidentes entre Google SecOps y Palo Alto Networks Cortex XDR.

Este trabajo garantiza que los estados de los incidentes, los comentarios y los usuarios asignados sigan siendo coherentes en ambas plataformas.

Comportamiento del trabajo

El trabajo Palo Alto Cortex XDR - Sync Incidents facilita la sincronización bidireccional a través de los siguientes mecanismos:

Etapas de sincronización: El trabajo se ejecuta en dos fases distintas:
1. Envía actualizaciones de estado de Google SecOps a Palo Alto Cortex XDR.
2. Extrae modificaciones de Palo Alto Cortex XDR para actualizar Google SecOps.
Identificación de casos: El trabajo identifica los casos pertinentes buscando la etiqueta Palo Alto XDR Incident.
Asignación manual: En los casos que no se originaron en el conector de Cortex XDR de Palo Alto, debes seguir estos dos pasos para habilitar la sincronización adecuada:
1. Agrega la etiqueta Palo Alto XDR Incident al caso.
2. Agrega un valor de contexto Incident_ID al caso que contiene el ID de incidente de XDR correspondiente.
Sincronización de comentarios:
- Los comentarios que se originan en XDR tienen el prefijo Palo Alto XDR:.
- Los comentarios que provienen de Google SecOps tienen el prefijo Google SecOps:.
- El trabajo utiliza last_update_time para sincronizar de manera eficiente solo las entradas nuevas.
Asignación de lógica de cierre: Cuando se resuelve un caso en Google SecOps, el trabajo actualiza el estado de XDR a Resolved. El motivo de cierre específico (como Malicious o Not Malicious) se asigna automáticamente a las combinaciones adecuadas de motivo y causa raíz en XDR.
Asignación de usuarios: Cuando se configura User Mapping JSON, el trabajo sincroniza el usuario asignado entre ambas plataformas.
Datos de alertas contextuales: En el valor de contexto XDR_ALERTS de cada caso, se mantiene una lista completa de las alertas asociadas con el incidente.

Parámetros del trabajo

El trabajo Palo Alto XDR - Sync Incidents requiere los siguientes parámetros:

Parámetro	Descripción
`Environment Name`	Obligatorio. Es el nombre del entorno desde el que se sincronizarán los incidentes. El valor predeterminado es `Default Environment`.
`Api Root`	Obligatorio. Es la URL raíz de la API de Cortex XDR de Palo Alto.
`Api Key`	Obligatorio. Es la clave de API que se usa para la autenticación con el servidor de Palo Alto Cortex XDR.
`Api Key ID`	Obligatorio. Es el ID asociado a la clave de API de XDR de Palo Alto.
`Max Hours Backwards`	Obligatorio. Cantidad de horas previas a la hora actual para sincronizar incidentes durante la iteración inicial del trabajo. El valor predeterminado es `24`.
`User Mapping JSON`	Es opcional. Es un objeto JSON que se usa para asignar nombres visibles de Google SecOps a nombres de usuario de XDR con el objetivo de sincronizar los usuarios asignados a los casos. Usa el siguiente formato: `{ "Google SecOps Display Name": "XDR Username" }` Si no se proporciona ningún valor, se omite la sincronización del usuario.
`Verify SSL`	Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de Palo Alto Cortex XDR. Habilitada de forma predeterminada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.