Palo Alto Cortex XDR
Versi integrasi: 15.0
Mengonfigurasi Palo Alto Cortex XDR agar dapat digunakan dengan Google Security Operations
Kredensial
Untuk mendapatkan Kunci API Cortex XDR Anda:
- Buka > Setelan.
- Pilih + Kunci Baru.
- Pilih jenis Kunci API yang akan dibuat (Lanjutan Saja).
- Berikan komentar yang menjelaskan tujuan kunci API (Opsional).
- Pilih tingkat akses yang diinginkan untuk kunci ini.
- Buat Kunci API.
- Salin kunci API, lalu klik Selesai.
Untuk mendapatkan ID Kunci API Cortex XDR Anda:
- Buka tabel Kunci API > kolom ID.
- Catat nomor ID yang sesuai. Nilai ini mewakili token x-xdr-auth-id:{key_id}.
Mengonfigurasi integrasi Palo Alto Cortex XDR di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://api-{fqdn} | Ya | Root API Cortex XDR Palo Alto Networks. Catatan: FQDN mewakili nama host dan domain unik yang terkait dengan setiap tenant. Saat Anda membuat Kunci API dan ID Kunci, Anda akan diberi FQDN individual. |
| Kunci API | Sandi | T/A | Ya | ID unik yang digunakan sebagai header "Authorization:{key}" yang diperlukan untuk mengautentikasi panggilan API. Bergantung pada tingkat keamanan Anda, Anda dapat membuat kunci API Lanjutan dari aplikasi Cortex XDR. |
| ID Kunci API | Bilangan bulat | 3 | Ya | Token unik yang digunakan untuk mengautentikasi Kunci API. Header yang digunakan saat menjalankan panggilan API adalah "x-xdr-auth-id:{key_id}". |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Opsi untuk memverifikasi koneksi SSL/TLS. |
Tindakan
Ping
Uji konektivitas ke Palo Alto Networks Cortex XDR.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_connected | Benar/Salah | is_connected:False |
Hasil JSON
N/A
Kueri
Mengambil data insiden tertentu, termasuk pemberitahuan dan artefak utama.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang datanya ingin Anda ambil. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| incident_alerts_count | T/A | T/A |
Hasil JSON
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Menyelesaikan Insiden
Kemampuan untuk menutup insiden XDR dengan alasan penutupan.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang akan diperbarui. |
| Status | Daftar | UNDER_INVESTIGATION | Status insiden yang diperbarui. |
| Menyelesaikan Komentar | String | T/A | Komentar deskriptif yang menjelaskan perubahan insiden. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperbarui Insiden
Kemampuan untuk menetapkan insiden XDR tertentu sebagai dalam penyelidikan, menetapkan ke pengguna bernama, dll.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang akan diperbarui. |
| Nama Pengguna yang Ditetapkan | String | T/A | Nama lengkap baru penerima tugas insiden. |
| Keparahan | Daftar | Rendah | Tingkat keparahan yang ditentukan administrator. |
| Status | Daftar | UNDER_INVESTIGATION | Status insiden yang diperbarui. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperkaya Entitas
Memperkaya entitas Host dan IP Google SecOps berdasarkan informasi dari Palo Alto Networks Cortex XDR.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika-Kapan harus diterapkan |
|---|---|
| domain | Menampilkan apakah ada di hasil JSON |
| endpoint_name | Menampilkan apakah ada di hasil JSON |
| endpoint_type | Menampilkan apakah ada di hasil JSON |
| ip | Menampilkan apakah ada di hasil JSON |
| endpoint_version | Menampilkan apakah ada di hasil JSON |
| install_date | Menampilkan apakah ada di hasil JSON |
| installation_package | Menampilkan apakah ada di hasil JSON |
| is_isolated | Menampilkan apakah ada di hasil JSON |
| group_name | Menampilkan apakah ada di hasil JSON |
| alias | Menampilkan apakah ada di hasil JSON |
| active_directory | Menampilkan apakah ada di hasil JSON |
| endpoint_status | Menampilkan apakah ada di hasil JSON |
| endpoint_id | Menampilkan apakah ada di hasil JSON |
| content_version | Menampilkan apakah ada di hasil JSON |
| os_type | Menampilkan apakah ada di hasil JSON |
| last_seen | Menampilkan apakah ada di hasil JSON |
| first_seen | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Mendapatkan Laporan Agen Endpoint
Mendapatkan laporan agen untuk endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengisolasi Endpoint
Mengisolasi endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Endpoint Unisolate
Membatalkan isolasi endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menambahkan Hash ke Daftar Blokir
Gunakan tindakan ini untuk menambahkan file yang tidak tercantum ke daftar blokir tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Komentar | String | T/A | Tidak | Berikan komentar tambahan yang mewakili informasi tambahan terkait tindakan |
| ID Insiden | String | T/A | Tidak | Tentukan ID insiden yang terkait dengan hash yang ditambahkan tersebut |
Run On
Tindakan ini dijalankan pada entity Filehash
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Untuk entitas yang berhasil ditambahkan : "Berhasil menambahkan entitas berikut ke Daftar Blokir: " +successful_entities_list Untuk entitas yang tidak berhasil: "Tidak dapat menambahkan entitas berikut ke Daftar Blokir: "+unsuccessful_entities_list. Jika satu hash jenis yang tidak didukung diberikan (is_success=true): Hash berikut tidak didukung: {unsupported hashes} Jika semua hash dari jenis yang tidak didukung diberikan (is_success=false): Tidak ada hash yang diberikan yang didukung. Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Menambahkan Komentar ke Insiden
Gunakan tindakan Add Comment To Incident untuk menambahkan komentar ke insiden di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Add Comment To Incident memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Incident ID |
Wajib. ID insiden yang akan diperbarui. |
Comment |
Wajib. Komentar yang akan ditambahkan ke insiden. |
Output tindakan
Tindakan Tambahkan Komentar ke Insiden memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Add Comment To Incident dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Add Comment To Incident:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Insiden
Gunakan tindakan Get Incident Details untuk mengambil informasi tentang insiden di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Incident Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Incident ID |
Wajib. ID insiden yang akan ditampilkan. |
Lowest Alert Severity |
Opsional. Tingkat keparahan pemberitahuan terendah yang diperlukan agar pemberitahuan disertakan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Alerts To Return |
Opsional. Jumlah maksimum notifikasi yang akan ditampilkan. Nilai maksimumnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Get Incident Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Incident Details:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Pesan output
Tindakan Get Incident Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Incident Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menjalankan Penelusuran XQL
Gunakan tindakan Execute XQL Search untuk mengambil informasi menggunakan XQL di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute XQL Search memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Kueri yang akan dijalankan di Palo Alto Cortex XDR. Jangan berikan |
Time Frame |
Opsional. Kueri yang akan dijalankan di Palo Alto Cortex XDR. Jangan berikan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Start Time |
Opsional. Waktu mulai untuk hasil dalam format ISO 8601. Jika |
End Time |
Opsional. Waktu berakhir untuk hasil dalam format ISO 8601. Jika |
Max Results To Return |
Opsional. Tindakan ini akan menambahkan Nilai maksimumnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Execute XQL Search memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute XQL Search:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Pesan output
Tindakan Execute XQL Search dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Execute XQL Search:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Konektor Palo Alto Cortex XDR
Konektor untuk mengambil insiden dari Palo Alto Networks Cortex XDR, dan membuat pemberitahuan dari insiden terlampir.
Input konektor
Palo Alto Cortex XDR Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
PythonProcessTimeout |
Wajib. Batas waktu (dalam detik) agar proses Python menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib. Root API instance Palo Alto Cortex XDR. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci API Palo Alto Cortex XDR. |
Api Key ID |
Wajib. ID kunci API yang sesuai untuk autentikasi pada masa mendatang. Nilai
defaultnya adalah |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Palo Alto Cortex XDR. Diaktifkan secara default. |
Alerts Count Limit |
Opsional. Jumlah maksimum pemberitahuan dalam setiap siklus. Nilai
defaultnya adalah |
Max Days Backwards |
Opsional. Jumlah maksimum hari sebelum tanggal saat ini agar konektor mengambil data. Parameter ini digunakan untuk jalannya konektor yang pertama. Nilai
defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah
|
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Aturan konektor
Konektor tidak mendukung Daftar yang diizinkan/Daftar yang tidak diizinkan.
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.