Palo Alto Cortex XDR

Version de l'intégration : 15.0

Configurer Palo Alto Cortex XDR pour qu'il fonctionne avec Google Security Operations

Identifiants

Pour obtenir votre clé API Cortex XDR :

  1. Accédez à Paramètres.
  2. Sélectionnez + Nouvelle clé.
  3. Choisissez le type de clé API à générer (Avancée uniquement).
  4. Ajoutez un commentaire décrivant l'objectif de la clé API (facultatif).
  5. Sélectionnez le niveau d'accès souhaité pour cette clé.
  6. Générez la clé API.
  7. Copiez la clé API, puis cliquez sur OK.

Pour obtenir l'ID de votre clé API Cortex XDR :

  1. Accédez au tableau Clés API > colonne "ID".
  2. Notez le numéro d'ID correspondant. Cette valeur représente le jeton x-xdr-auth-id:{key_id}.

Configurer l'intégration de Palo Alto Cortex XDR dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Racine de l'API Chaîne https://api-{fqdn} Oui Racine de l'API Palo Alto Networks Cortex XDR. Remarque : Le nom de domaine complet représente un nom d'hôte et de domaine unique associé à chaque locataire. Lorsque vous générez la clé API et l'ID de clé, un nom de domaine complet individuel vous est attribué.
Clé API Mot de passe N/A Oui Identifiant unique utilisé comme en-tête "Authorization:{key}" requis pour authentifier les appels d'API. En fonction de votre niveau de sécurité, vous pouvez générer une clé API avancée depuis votre application Cortex XDR.
ID de clé API Integer 3 Oui Jeton unique utilisé pour authentifier la clé API. L'en-tête utilisé lors de l'exécution d'un appel d'API est "x-xdr-auth-id:{key_id}".
Vérifier le protocole SSL Case à cocher Décochée Oui Option permettant de vérifier la connexion SSL/TLS.

Actions

Ping

Testez la connectivité à Palo Alto Networks Cortex XDR.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique à toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_connected Vrai/Faux is_connected:False
Résultat JSON
N/A

Requête

Récupérez les données d'un incident spécifique, y compris les alertes et les principaux artefacts.

Paramètres

Paramètre Type Valeur par défaut Description
ID de l'incident Chaîne N/A ID de l'incident pour lequel vous souhaitez récupérer des données.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique à toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
incident_alerts_count N/A N/A
Résultat JSON
{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Résoudre un incident

Possibilité de clôturer les incidents XDR en indiquant un motif de clôture.

Paramètres

Paramètre Type Valeur par défaut Description
ID de l'incident Chaîne N/A ID de l'incident à mettre à jour.
État Liste UNDER_INVESTIGATION État de l'incident modifié.
Fermer un commentaire Chaîne N/A Commentaire descriptif expliquant la modification de l'incident.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique à toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Mettre à jour un incident

Possibilité de définir un incident XDR spécifique comme étant en cours d'investigation, de l'attribuer à des utilisateurs nommés, etc.

Paramètres

Paramètre Type Valeur par défaut Description
ID de l'incident Chaîne N/A ID de l'incident à mettre à jour.
Nom de l'utilisateur responsable Chaîne N/A Nom complet mis à jour de la personne à laquelle l'incident est attribué.
Gravité Liste Faible Gravité définie par l'administrateur.
État Liste UNDER_INVESTIGATION État de l'incident modifié.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Enrichir les entités

Enrichissez les entités hôtes et IP Google SecOps en fonction des informations de Palo Alto Networks Cortex XDR.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
domaine Renvoie la valeur si elle existe dans le résultat JSON.
endpoint_name Renvoie la valeur si elle existe dans le résultat JSON.
endpoint_type Renvoie la valeur si elle existe dans le résultat JSON.
ip Renvoie la valeur si elle existe dans le résultat JSON.
endpoint_version Renvoie la valeur si elle existe dans le résultat JSON.
install_date Renvoie la valeur si elle existe dans le résultat JSON.
installation_package Renvoie la valeur si elle existe dans le résultat JSON.
is_isolated Renvoie la valeur si elle existe dans le résultat JSON.
group_name Renvoie la valeur si elle existe dans le résultat JSON.
Alias Renvoie la valeur si elle existe dans le résultat JSON.
active_directory Renvoie la valeur si elle existe dans le résultat JSON.
endpoint_status Renvoie la valeur si elle existe dans le résultat JSON.
ID du point de terminaison Renvoie la valeur si elle existe dans le résultat JSON.
content_version Renvoie la valeur si elle existe dans le résultat JSON.
os_type Renvoie la valeur si elle existe dans le résultat JSON.
last_seen Renvoie la valeur si elle existe dans le résultat JSON.
first_seen Renvoie la valeur si elle existe dans le résultat JSON.
utilisateurs Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Obtenir le rapport de l'agent de point de terminaison

Obtenez le rapport de l'agent pour un point de terminaison.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Isoler un point de terminaison

Isoler un point de terminaison

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Point de terminaison Unisolate

Annulez l'isolation d'un point de terminaison.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Ajouter des hachages à la liste de blocage

Utilisez cette action pour ajouter des fichiers non répertoriés à une liste de blocage spécifiée.

Paramètres

Nom du paramètre à afficher Type Valeur par défaut Obligatoire Description
Commentaire Chaîne N/A Non Fournissez un commentaire supplémentaire qui représente des informations supplémentaires concernant l'action.
ID de l'incident Chaîne N/A Non Spécifiez l'ID de l'incident auquel les hachages ajoutés sont associés.

Exécuter sur

Cette action s'exécute sur l'entité Filehash.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Pour les entités ajoutées avec succès : "Les entités suivantes ont bien été ajoutées à la liste de blocage : " +successful_entities_list

Pour les entités qui n'ont pas pu être ajoutées : "Les entités suivantes n'ont pas pu être ajoutées à la liste de blocage : "+unsuccessful_entities_list.

Si un hachage du type non compatible est fourni (is_success=true) :

Les hachages suivants ne sont pas acceptés : {unsupported hashes}

Si tous les hachages du type non accepté sont fournis (is_success=false) : aucun des hachages fournis n'est accepté.

L'action doit échouer et arrêter l'exécution d'un playbook :
"Échec de l'exécution de l'action "Ajouter des hachages à la liste noire" {0}".format(exception.stacktrace)

 Général

Ajouter un commentaire à l'incident

Utilisez l'action Ajouter un commentaire à l'incident pour ajouter un commentaire à un incident dans Palo Alto Cortex XDR.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un commentaire à l'incident nécessite les paramètres suivants :

Paramètre Description
Incident ID

Obligatoire.

ID de l'incident à modifier.
Comment

Obligatoire.

Commentaire à ajouter à l'incident.

Sorties d'action

L'action Ajouter un commentaire à l'incident fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Ajouter un commentaire à l'incident peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

 L'action a réussi.
Error executing action "Add Comment To Incident". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'incident :

Nom du résultat du script Valeur
is_success True ou False

Obtenir les détails d'un incident

Utilisez l'action Obtenir les détails de l'incident pour récupérer des informations sur un incident dans Palo Alto Cortex XDR.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir les détails de l'incident nécessite les paramètres suivants :

Paramètre Description
Incident ID

Obligatoire.

ID de l'incident à renvoyer.
Lowest Alert Severity

Facultatif.

Gravité d'alerte la plus faible requise pour qu'une alerte soit incluse.

Les valeurs possibles sont les suivantes :

  • Critical
  • High
  • Medium
  • Low

La valeur par défaut est High.
Max Alerts To Return

Facultatif.

Nombre maximal d'alertes à renvoyer.

La valeur maximale est de 1000.

La valeur par défaut est 50.

Sorties d'action

L'action Obtenir les détails de l'incident fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Obtenir les détails de l'incident :

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}
Messages de sortie

L'action Obtenir les détails de l'incident peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

 L'action a réussi.
Error executing action "Get Incident Details". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails de l'incident :

Nom du résultat du script Valeur
is_success True ou False

L'action Exécuter une recherche XQL permet d'extraire des informations à l'aide de XQL dans Palo Alto Cortex XDR.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Exécuter la recherche XQL nécessite les paramètres suivants :

Paramètre Description
Query

Obligatoire.

Requête à exécuter dans Palo Alto Cortex XDR.

Ne fournissez pas limit dans la requête. L'action récupère cette valeur à partir de Max Results To Return.
Time Frame

Facultatif.

Requête à exécuter dans Palo Alto Cortex XDR.

Ne fournissez pas limit dans la requête. L'action récupère cette valeur à partir de Max Results To Return.

Les valeurs possibles sont les suivantes :

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

La valeur par défaut est Last Hour.
Start Time

Facultatif.

Heure de début des résultats au format ISO 8601.

Si Custom est sélectionné pour Time Frame, ce paramètre est obligatoire.
End Time

Facultatif.

Heure de fin des résultats au format ISO 8601.

Si Custom est sélectionné pour Time Frame et qu'aucune valeur n'est fournie, l'action utilisera l'heure actuelle.
Max Results To Return

Facultatif.

L'action ajoutera limit à la requête fournie.

La valeur maximale est de 1000.

La valeur par défaut est 50.

Sorties d'action

L'action Exécuter la recherche XQL fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Exécuter la recherche XQL :

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}
Messages de sortie

L'action Exécuter la recherche XQL peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

 L'action a réussi.
Error executing action "Execute XQL Search". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Exécuter une recherche XQL :

Nom du résultat du script Valeur
is_success True ou False

Point de terminaison d'analyse

Utilisez l'action Scan Endpoint (Analyser le point de terminaison) pour analyser les points de terminaison dans Palo Alto Cortex XDR.

Cette action s'exécute sur les entités Google SecOps suivantes :

  • IP Address

  • Hostname

Entrées d'action

L'action Scan Endpoint (Analyser le point de terminaison) nécessite les paramètres suivants :

Paramètre Description
Incident ID

Facultatif.

ID de l'incident auquel associer l'activité d'analyse, ce qui permet aux résultats d'apparaître dans la chronologie de l'incident.

Sorties d'action

L'action Analyser le point de terminaison fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Messages de sortie

L'action Scan Endpoint (Analyser le point de terminaison) peut renvoyer les messages de sortie suivants :

Message affiché Description du message

Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for all of the provided endpoints in Palo Alto XDR.

 L'action a réussi.
Error executing action "Scan Endpoint". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat JSON

L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Scan Endpoint (Analyser le point de terminaison) :

[
   {
      "Entity": "192.168.1.10",
      "EntityResult": {
         "endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
         "endpoint_name": "PLACEHOLDER-SERVER-NAME",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "endpoint_status": "CONNECTED",
         "os_type": "AGENT_OS_WINDOWS",
         "os_version": "10.0.yyyy",
         "ip": [
            "192.168.1.10"
         ],
         "ipv6": [],
         "public_ip": "203.0.113.45",
         "users": [],
         "domain": "WORKGROUP",
         "alias": "",
         "first_seen": 1680000000000,
         "last_seen": 1760000000000,
         "content_version": "YYYY-ZZZZZ",
         "installation_package": "PLACEHOLDER-PACKAGE",
         "active_directory": [],
         "install_date": 1680000000000,
         "endpoint_version": "X.Y.Z.W",
         "is_isolated": "AGENT_UNISOLATED",
         "isolated_date": null,
         "group_name": [
            "PLACEHOLDER-GROUP"
         ],
         "operational_status": "PROTECTED",
         "operational_status_description": "[]",
         "operational_status_details": [],
         "scan_status": "SCAN_STATUS_PENDING",
         "content_release_timestamp": 1760000000000,
         "last_content_update_time": 1760000000000,
         "operating_system": "Windows Server PLACEHOLDER",
         "mac_address": [
            "00:1A:2B:3C:4D:5E"
         ],
         "assigned_prevention_policy": "PLACEHOLDER-POLICY",
         "assigned_extensions_policy": "Windows Default",
         "token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
         "tags": {
            "server_tags": [
               "PLACEHOLDER-TAG"
            ],
            "endpoint_tags": []
         },
         "content_status": "UP_TO_DATE"
      }
   }
]
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Analyser le point de terminaison :

Nom du résultat du script Valeur
is_success True ou False

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur Palo Alto Cortex XDR

Utilisez ce connecteur pour extraire les incidents de Palo Alto Cortex XDR.

Entrées du connecteur

Le connecteur Palo Alto Cortex XDR nécessite les paramètres suivants :

Paramètre Description
Product Field Name

Obligatoire.

Nom du champ dans lequel le nom du produit est stocké.

Le nom du produit a un impact majeur sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut.

La valeur par défaut est Product Name.
Event Field Name

Obligatoire.

Nom du champ qui détermine le nom (sous-type) de l'événement.

La valeur par défaut est event_type.
Script Timeout (Seconds)

Obligatoire.

Délai limite (en secondes) pour l'exécution du script actuel par le processus Python.

La valeur par défaut est 60.
API Root

Obligatoire.

Racine de l'API de l'instance Palo Alto Cortex XDR.

La valeur par défaut est https://api-{fqdn}.
API Key

Obligatoire.

Clé API Palo Alto Cortex XDR.
Api Key ID

Obligatoire.

ID correspondant de la clé API pour l'authentification future.

La valeur par défaut est 3.
Verify SSL

Facultatif.

Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Palo Alto Cortex XDR.

Cette option est activée par défaut.
Alerts Count Limit

Facultatif.

Nombre maximal d'alertes dans chaque cycle.

La valeur par défaut est 10.
Max Days Backwards

Facultatif.

Nombre maximal de jours avant la date actuelle à partir desquels le connecteur doit récupérer les données. Ce paramètre est utilisé pour la première exécution du connecteur.

La valeur par défaut est 1.
Environment Field Name

Facultatif.

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" est manquant, le connecteur utilise la valeur par défaut.

La valeur par défaut est "".
Environment Regex Pattern

Facultatif.

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut.
Proxy Server Address

Facultatif.

Adresse du serveur proxy à utiliser.
Proxy Username

Facultatif.

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password

Facultatif.

Mot de passe du proxy pour l'authentification.
Status Filter

Facultatif.

Liste des états d'alerte que le connecteur doit ingérer, séparés par une virgule.

Si aucune valeur n'est fournie, le connecteur récupère par défaut les alertes avec les états New et Under Investigation.

Les valeurs possibles sont les suivantes :

  • New
  • Under Investigation
  • Resolved
Split Incident Alerts

Facultatif.

Si cette option est sélectionnée, le connecteur sépare les alertes individuelles au sein d'un même incident source, créant ainsi une alerte SOAR distincte pour chacune d'elles.

Cette option n'est pas activée par défaut.
Lowest Alert Severity To Fetch

Facultatif.

Gravité la plus faible des alertes à récupérer.

Si aucune valeur n'est fournie, le connecteur ingère les alertes de tous les niveaux de gravité.

Lowest Incident SmartScore To Fetch sert de filtre principal. Si le score d'un incident atteint ce seuil, toutes les alertes associées seront traitées, quels que soient leurs paramètres de filtre de gravité individuels.

Les valeurs possibles sont les suivantes :

  • Low
  • Medium
  • High
  • Critical
Lowest Incident Severity To Fetch

Facultatif.

Score SmartScore le plus bas (de 0 à 100) des incidents à récupérer.

Ce filtre fonctionne indépendamment du filtre de gravité. Si aucune valeur n'est fournie, le filtre SmartScore est ignoré.
Lowest Incident SmartScore To Fetch

Facultatif.

Niveau de gravité le plus faible des incidents à récupérer.

Si aucune valeur n'est fournie, le connecteur ingère les incidents de tous les niveaux de gravité.

Les valeurs possibles sont les suivantes :

  • Low
  • Medium
  • High
  • Critical
Use dynamic list as a blocklist

Obligatoire.

Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage.

Cette option n'est pas activée par défaut.
Disable Overflow

Facultatif.

Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps.

Cette option est activée par défaut.

Règles du connecteur

Le connecteur n'est pas compatible avec les listes blanche/noire.

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.