Palo Alto Cortex XDR
Versi integrasi: 15.0
Mengonfigurasi Palo Alto Cortex XDR agar dapat digunakan dengan Google Security Operations
Kredensial
Untuk mendapatkan Kunci API Cortex XDR Anda:
- Buka > Setelan.
- Pilih + Kunci Baru.
- Pilih jenis Kunci API yang akan dibuat (Khusus Lanjutan).
- Berikan komentar yang menjelaskan tujuan kunci API (Opsional).
- Pilih tingkat akses yang diinginkan untuk kunci ini.
- Buat Kunci API.
- Salin kunci API, lalu klik Selesai.
Untuk mendapatkan ID Kunci API Cortex XDR Anda:
- Buka tabel API Keys > kolom ID.
- Catat nomor ID yang sesuai. Nilai ini mewakili token x-xdr-auth-id:{key_id}.
Mengonfigurasi integrasi Palo Alto Cortex XDR di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://api-{fqdn} | Ya | Root API Cortex XDR Palo Alto Networks. Catatan: FQDN mewakili nama host dan domain unik yang terkait dengan setiap tenant. Saat Anda membuat Kunci API dan ID Kunci, Anda akan diberi FQDN individual. |
| Kunci API | Sandi | T/A | Ya | ID unik yang digunakan sebagai header "Authorization:{key}" yang diperlukan untuk mengautentikasi panggilan API. Bergantung pada tingkat keamanan Anda, Anda dapat membuat kunci API Lanjutan dari aplikasi Cortex XDR. |
| ID Kunci API | Bilangan bulat | 3 | Ya | Token unik yang digunakan untuk mengautentikasi Kunci API. Header yang digunakan saat menjalankan panggilan API adalah "x-xdr-auth-id:{key_id}". |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Opsi untuk memverifikasi koneksi SSL/TLS. |
Tindakan
Ping
Uji konektivitas ke Palo Alto Networks Cortex XDR.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_connected | Benar/Salah | is_connected:False |
Hasil JSON
N/A
Kueri
Mengambil data insiden tertentu, termasuk pemberitahuan dan artefak utama.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang datanya ingin Anda ambil. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| incident_alerts_count | T/A | T/A |
Hasil JSON
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Menyelesaikan Insiden
Kemampuan untuk menutup insiden XDR dengan alasan penutupan.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang akan diperbarui. |
| Status | Daftar | UNDER_INVESTIGATION | Status insiden yang diperbarui. |
| Selesaikan Komentar | String | T/A | Komentar deskriptif yang menjelaskan perubahan insiden. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperbarui Insiden
Kemampuan untuk menetapkan insiden XDR tertentu sebagai dalam penyelidikan, menetapkan ke pengguna bernama, dll.
Parameter
| Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| ID Insiden | String | T/A | ID insiden yang akan diperbarui. |
| Nama Pengguna yang Ditetapkan | String | T/A | Nama lengkap baru penerima tugas insiden. |
| Keparahan | Daftar | Rendah | Tingkat keparahan yang ditentukan administrator. |
| Status | Daftar | UNDER_INVESTIGATION | Status insiden yang diperbarui. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan pada entity URL.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Memperkaya Entitas
Memperkaya entitas Host dan IP Google SecOps berdasarkan informasi dari Palo Alto Networks Cortex XDR.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| domain | Menampilkan apakah ada di hasil JSON |
| endpoint_name | Menampilkan apakah ada di hasil JSON |
| endpoint_type | Menampilkan apakah ada di hasil JSON |
| ip | Menampilkan apakah ada di hasil JSON |
| endpoint_version | Menampilkan apakah ada di hasil JSON |
| install_date | Menampilkan apakah ada di hasil JSON |
| installation_package | Menampilkan apakah ada di hasil JSON |
| is_isolated | Menampilkan apakah ada di hasil JSON |
| group_name | Menampilkan apakah ada di hasil JSON |
| alias | Menampilkan apakah ada di hasil JSON |
| active_directory | Menampilkan apakah ada di hasil JSON |
| endpoint_status | Menampilkan apakah ada di hasil JSON |
| endpoint_id | Menampilkan apakah ada di hasil JSON |
| content_version | Menampilkan apakah ada di hasil JSON |
| os_type | Menampilkan apakah ada di hasil JSON |
| last_seen | Menampilkan apakah ada di hasil JSON |
| first_seen | Menampilkan apakah ada di hasil JSON |
| pengguna | Menampilkan apakah ada di hasil JSON |
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Mendapatkan Laporan Agen Endpoint
Mendapatkan laporan agen untuk endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Mengisolasi Endpoint
Mengisolasi endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Endpoint Unisolate
Membatalkan isolasi endpoint.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Menambahkan Hash ke Daftar Blokir
Gunakan tindakan ini untuk menambahkan file yang tidak tercantum ke daftar blokir tertentu.
Parameter
| Parameter Display Name | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Komentar | String | T/A | Tidak | Berikan komentar tambahan yang mewakili informasi tambahan terkait tindakan |
| ID Insiden | String | T/A | Tidak | Tentukan ID insiden yang terkait dengan hash yang ditambahkan tersebut |
Run On
Tindakan ini dijalankan pada entity Filehash
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Untuk entitas yang berhasil ditambahkan : "Successfully added the following entities to the Block List: " +successful_entities_list Untuk entitas yang tidak berhasil: "Could not add the following entities to the Block List: "+unsuccessful_entities_list. Jika satu hash jenis yang tidak didukung diberikan (is_success=true): Hash berikut tidak didukung: {unsupported hashes} Jika semua hash dari jenis yang tidak didukung diberikan (is_success=false): Tidak ada hash yang diberikan yang didukung. Tindakan akan gagal dan menghentikan eksekusi playbook: |
Umum |
Menambahkan Komentar ke Insiden
Gunakan tindakan Add Comment To Incident untuk menambahkan komentar ke insiden di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Add Comment To Incident memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Incident ID |
Wajib. ID insiden yang akan diperbarui. |
Comment |
Wajib. Komentar yang akan ditambahkan ke insiden. |
Output tindakan
Tindakan Tambahkan Komentar ke Insiden memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Add Comment To Incident dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Add Comment To Incident:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Insiden
Gunakan tindakan Get Incident Details untuk mengambil informasi tentang insiden di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Incident Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Incident ID |
Wajib. ID insiden yang akan ditampilkan. |
Lowest Alert Severity |
Opsional. Tingkat keparahan pemberitahuan terendah yang diperlukan agar pemberitahuan disertakan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Alerts To Return |
Opsional. Jumlah maksimum notifikasi yang akan ditampilkan. Nilai maksimumnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Get Incident Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Incident Details:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Pesan output
Tindakan Get Incident Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Incident Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menjalankan Penelusuran XQL
Gunakan tindakan Execute XQL Search untuk mengambil informasi menggunakan XQL di Palo Alto Cortex XDR.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute XQL Search memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Kueri yang akan dijalankan di Palo Alto Cortex XDR. Jangan berikan |
Time Frame |
Opsional. Kueri yang akan dijalankan di Palo Alto Cortex XDR. Jangan berikan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Start Time |
Opsional. Waktu mulai untuk hasil dalam format ISO 8601. Jika |
End Time |
Opsional. Waktu berakhir untuk hasil dalam format ISO 8601. Jika |
Max Results To Return |
Opsional. Tindakan ini akan menambahkan Nilai maksimumnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Execute XQL Search memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Execute XQL Search:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Pesan output
Tindakan Execute XQL Search dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Execute XQL Search:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Endpoint Pemindaian
Gunakan tindakan Scan Endpoint untuk memindai endpoint di Palo Alto Cortex XDR.
Tindakan ini berjalan di entity Google SecOps berikut:
IP AddressHostname
Input tindakan
Tindakan Scan Endpoint memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Incident ID |
Opsional. ID Insiden untuk mengaitkan aktivitas pemindaian, sehingga hasilnya muncul di linimasa Insiden. |
Output tindakan
Tindakan Scan Endpoint memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Scan Endpoint dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Scan Endpoint". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Scan Endpoint:
[
{
"Entity": "192.168.1.10",
"EntityResult": {
"endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
"endpoint_name": "PLACEHOLDER-SERVER-NAME",
"endpoint_type": "AGENT_TYPE_SERVER",
"endpoint_status": "CONNECTED",
"os_type": "AGENT_OS_WINDOWS",
"os_version": "10.0.yyyy",
"ip": [
"192.168.1.10"
],
"ipv6": [],
"public_ip": "203.0.113.45",
"users": [],
"domain": "WORKGROUP",
"alias": "",
"first_seen": 1680000000000,
"last_seen": 1760000000000,
"content_version": "YYYY-ZZZZZ",
"installation_package": "PLACEHOLDER-PACKAGE",
"active_directory": [],
"install_date": 1680000000000,
"endpoint_version": "X.Y.Z.W",
"is_isolated": "AGENT_UNISOLATED",
"isolated_date": null,
"group_name": [
"PLACEHOLDER-GROUP"
],
"operational_status": "PROTECTED",
"operational_status_description": "[]",
"operational_status_details": [],
"scan_status": "SCAN_STATUS_PENDING",
"content_release_timestamp": 1760000000000,
"last_content_update_time": 1760000000000,
"operating_system": "Windows Server PLACEHOLDER",
"mac_address": [
"00:1A:2B:3C:4D:5E"
],
"assigned_prevention_policy": "PLACEHOLDER-POLICY",
"assigned_extensions_policy": "Windows Default",
"token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
"tags": {
"server_tags": [
"PLACEHOLDER-TAG"
],
"endpoint_tags": []
},
"content_status": "UP_TO_DATE"
}
}
]
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Scan Endpoint:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Konektor Palo Alto Cortex XDR
Gunakan konektor ini untuk menarik insiden dari Palo Alto Cortex XDR.
Input konektor
Palo Alto Cortex XDR Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah
|
Script Timeout (Seconds) |
Wajib. Batas waktu (dalam detik) agar proses Python menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib. Root API instance Palo Alto Cortex XDR. Nilai defaultnya adalah
|
API Key |
Wajib. Kunci API Palo Alto Cortex XDR. |
Api Key ID |
Wajib. ID kunci API yang sesuai untuk autentikasi pada masa mendatang. Nilai
defaultnya adalah |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server Palo Alto Cortex XDR. Diaktifkan secara default. |
Alerts Count Limit |
Opsional. Jumlah maksimum pemberitahuan dalam setiap siklus. Nilai
defaultnya adalah |
Max Days Backwards |
Opsional. Jumlah maksimum hari sebelum tanggal saat ini agar konektor dapat mengambil data. Parameter ini digunakan untuk jalannya konektor yang pertama. Nilai
defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah
|
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Status Filter |
Opsional. Daftar status pemberitahuan yang dipisahkan koma untuk dimasukkan oleh konektor. Jika tidak ada nilai yang diberikan, konektor akan mengambil pemberitahuan secara default dengan
status Kemungkinan nilainya adalah sebagai berikut:
|
Split Incident Alerts |
Opsional. Jika dipilih, konektor akan memisahkan setiap pemberitahuan dalam satu insiden sumber, sehingga membuat Pemberitahuan SOAR yang berbeda untuk setiap pemberitahuan. Tidak diaktifkan secara default. |
Lowest Alert Severity To Fetch |
Opsional. Tingkat keparahan terendah dari pemberitahuan yang akan diambil. Jika tidak ada nilai yang diberikan, konektor akan menyerap pemberitahuan dengan semua tingkat keparahan.
Kemungkinan nilainya adalah sebagai berikut:
|
Lowest Incident Severity To Fetch |
Opsional. SmartScore terendah (0 hingga 100) dari insiden yang akan diambil. Filter ini beroperasi secara independen dari filter tingkat keparahan. Jika tidak ada nilai yang diberikan, filter SmartScore akan diabaikan. |
Lowest Incident SmartScore To Fetch |
Opsional. Tingkat keseriusan terendah dari insiden yang akan diambil. Jika tidak ada nilai yang diberikan, konektor akan menyerap insiden dengan semua tingkat keparahan. Kemungkinan nilainya adalah sebagai berikut:
|
Use dynamic list as a blocklist |
Wajib. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak diaktifkan secara default. |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Diaktifkan secara default. |
Aturan konektor
Konektor tidak mendukung Daftar yang diizinkan/Daftar yang diblokir.
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.