Palo Alto Cortex XDR

Versione integrazione: 15.0

Configurare Palo Alto Cortex XDR per l'utilizzo con Google Security Operations

Credenziali

Per ottenere la chiave API di Cortex XDR:

  1. Vai a > Impostazioni.
  2. Seleziona + Nuova chiave.
  3. Scegli il tipo di chiave API da generare (Avanzata solo).
  4. (Facoltativo) Fornisci un commento che descriva lo scopo della chiave API.
  5. Seleziona il livello di accesso desiderato per questa chiave.
  6. Genera la chiave API.
  7. Copia la chiave API e poi fai clic su Fine.

Per ottenere l'ID chiave API di Cortex XDR:

  1. Vai alla tabella Chiavi API > colonna ID.
  2. Prendi nota del numero ID corrispondente. Questo valore rappresenta il token x-xdr-auth-id:{key_id}.

Configurare l'integrazione di Palo Alto Cortex XDR in Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Root API Stringa https://api-{fqdn} Root API di Palo Alto Networks Cortex XDR. Nota:il nome di dominio completo (FQDN) rappresenta un nome host e di dominio univoco associato a ogni tenant. Quando generi la chiave API e l'ID chiave, ti viene assegnato un FQDN individuale.
Chiave API Password N/D Un identificatore univoco utilizzato come intestazione "Authorization:{key}" richiesta per l'autenticazione delle chiamate API. A seconda del livello di sicurezza, puoi generare la chiave API avanzata dall'app Cortex XDR.
ID chiave API Numero intero 3 Un token univoco utilizzato per autenticare la chiave API. L'intestazione utilizzata durante l'esecuzione di una chiamata API è "x-xdr-auth-id:{key_id}".
Verifica SSL Casella di controllo Deselezionata Opzione per verificare la connessione SSL/TLS.

Azioni

Dindin

Testa la connettività a Palo Alto Networks Cortex XDR.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_connected Vero/Falso is_connected:False
Risultato JSON
N/A

Query

Recupera i dati di un incidente specifico, inclusi avvisi e artefatti chiave.

Parametri

Parametro Tipo Valore predefinito Descrizione
ID incidente Stringa N/D L'ID dell'incidente per cui vuoi recuperare i dati.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
incident_alerts_count N/D N/D
Risultato JSON
{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Risolvere un incidente

La possibilità di chiudere gli incidenti XDR con un motivo di chiusura.

Parametri

Parametro Tipo Valore predefinito Descrizione
ID incidente Stringa N/D L'ID dell'incidente da aggiornare.
Stato Elenco UNDER_INVESTIGATION Stato dell'incidente aggiornato.
Risolvi commento Stringa N/D Commento descrittivo che spiega la modifica dell'incidente.

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Aggiornare un incidente

La possibilità di impostare un incidente XDR specifico come oggetto di indagine, assegnarlo a utenti nominati e così via.

Parametri

Parametro Tipo Valore predefinito Descrizione
ID incidente Stringa N/D L'ID dell'incidente da aggiornare.
Nome utente assegnato Stringa N/D Il nome completo aggiornato dell'assegnatario dell'incidente.
Gravità Elenco Bassa Gravità definita dall'amministratore.
Stato Elenco UNDER_INVESTIGATION Stato dell'incidente aggiornato.

Casi d'uso

N/D

Run On

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Arricchisci entità

Arricchisci le entità host e IP di Google SecOps in base alle informazioni di Palo Alto Networks Cortex XDR.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Nome host

Risultati dell'azione

Arricchimento delle entità
Nome campo di arricchimento Logica: quando applicarla
dominio Restituisce se esiste nel risultato JSON
endpoint_name Restituisce se esiste nel risultato JSON
endpoint_type Restituisce se esiste nel risultato JSON
ip Restituisce se esiste nel risultato JSON
endpoint_version Restituisce se esiste nel risultato JSON
install_date Restituisce se esiste nel risultato JSON
installation_package Restituisce se esiste nel risultato JSON
is_isolated Restituisce se esiste nel risultato JSON
group_name Restituisce se esiste nel risultato JSON
alias Restituisce se esiste nel risultato JSON
active_directory Restituisce se esiste nel risultato JSON
endpoint_status Restituisce se esiste nel risultato JSON
endpoint_id (ID endpoint) Restituisce se esiste nel risultato JSON
content_version Restituisce se esiste nel risultato JSON
os_type Restituisce se esiste nel risultato JSON
last_seen Restituisce se esiste nel risultato JSON
first_seen Restituisce se esiste nel risultato JSON
utenti Restituisce se esiste nel risultato JSON
Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Ottenere il report dell'agente endpoint

Recupera il report dell'agente per un endpoint.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Isola endpoint

Isola un endpoint.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Unisolate Endpoint

Separa un endpoint.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sulle seguenti entità:

  • Indirizzo IP
  • Nome host

Risultati dell'azione

Arricchimento delle entità

N/D

Approfondimenti

N/D

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A

Aggiungere hash all'elenco bloccati

Utilizza questa azione per aggiungere file non elencati a una lista bloccata specificata.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Commento Stringa N/D No Fornisci un commento aggiuntivo che rappresenti informazioni aggiuntive sull'azione
ID incidente Stringa N/D No Specifica l'ID incidente a cui sono correlati gli hash aggiunti

Run On

Questa azione viene eseguita sull'entità Filehash

Risultati dell'azione

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Per le entità aggiunte correttamente : "Le seguenti entità sono state aggiunte correttamente all'elenco bloccato: " +successful_entities_list

Per le entità non riuscite: "Impossibile aggiungere le seguenti entità all'elenco bloccati: "+unsuccessful_entities_list.

Se viene fornito un hash del tipo non supportato (is_success=true):

I seguenti hash non sono supportati: {unsupported hashes}

Se vengono forniti tutti gli hash del tipo non supportato (is_success=false): nessuno degli hash forniti è supportato.

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
"Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)

 Generale

Aggiungi commento all'incidente

Utilizza l'azione Aggiungi commento all'incidente per aggiungere un commento a un incidente in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi commento all'incidente richiede i seguenti parametri:

Parametro Descrizione
Incident ID

Obbligatorio.

L'ID dell'incidente da aggiornare.
Comment

Obbligatorio.

Il commento da aggiungere all'incidente.

Output dell'azione

L'azione Aggiungi commento all'incidente fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Messaggi di output

L'azione Aggiungi commento all'incidente può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

 L'azione è riuscita.
Error executing action "Add Comment To Incident". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'incidente:

Nome del risultato dello script Valore
is_success True o False

Recupera dettagli incidente

Utilizza l'azione Ottieni dettagli incidente per recuperare informazioni su un incidente in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni dettagli incidente richiede i seguenti parametri:

Parametro Descrizione
Incident ID

Obbligatorio.

L'ID dell'incidente da restituire.
Lowest Alert Severity

Facoltativo.

La gravità minima dell'avviso richiesta per l'inclusione di un avviso.

I valori possibili sono:

  • Critical
  • High
  • Medium
  • Low

Il valore predefinito è High.
Max Alerts To Return

Facoltativo.

Il numero massimo di avvisi da restituire.

Il valore massimo è 1000.

Il valore predefinito è 50.

Output dell'azione

L'azione Ottieni dettagli incidente fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Ottieni dettagli incidente:

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}
Messaggi di output

L'azione Get Incident Details può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

 L'azione è riuscita.
Error executing action "Get Incident Details". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera dettagli incidente:

Nome del risultato dello script Valore
is_success True o False

Utilizza l'azione Esegui ricerca XQL per recuperare informazioni utilizzando XQL in Palo Alto Cortex XDR.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Esegui ricerca XQL richiede i seguenti parametri:

Parametro Descrizione
Query

Obbligatorio.

La query da eseguire in Palo Alto Cortex XDR.

Non fornire limit come parte della query. L'azione recupera questo valore da Max Results To Return.
Time Frame

Facoltativo.

La query da eseguire in Palo Alto Cortex XDR.

Non fornire limit come parte della query. L'azione recupera questo valore da Max Results To Return.

I valori possibili sono:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

Il valore predefinito è Last Hour.
Start Time

Facoltativo.

L'ora di inizio dei risultati nel formato ISO 8601.

Se Custom è selezionato per Time Frame, questo parametro è obbligatorio.
End Time

Facoltativo.

L'ora di fine dei risultati nel formato ISO 8601.

Se Custom è selezionato per Time Frame e non viene fornito alcun valore, l'azione utilizzerà l'ora corrente.
Max Results To Return

Facoltativo.

L'azione aggiungerà limit alla query fornita.

Il valore massimo è 1000.

Il valore predefinito è 50.

Output dell'azione

L'azione Esegui ricerca XQL fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca richieste Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Esegui ricerca XQL:

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}
Messaggi di output

L'azione Esegui ricerca XQL può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

 L'azione è riuscita.
Error executing action "Execute XQL Search". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui ricerca XQL:

Nome del risultato dello script Valore
is_success True o False

Connettori

Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Connettore Palo Alto Cortex XDR

Un connettore per recuperare gli incidenti da Palo Alto Networks Cortex XDR e creare avvisi dagli incidenti allegati.

Input del connettore

Il connettore Palo Alto Cortex XDR richiede i seguenti parametri:

Parametro Descrizione
Product Field Name

Obbligatorio.

Il nome del campo in cui è memorizzato il nome del prodotto.

Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita.

Il valore predefinito è Product Name.
Event Field Name

Obbligatorio.

Il nome del campo che determina il nome (sottotipo) dell'evento.

Il valore predefinito è event_type.
PythonProcessTimeout

Obbligatorio.

Il limite di timeout (in secondi) per l'esecuzione dello script corrente da parte del processo Python.

Il valore predefinito è 60.
API Root

Obbligatorio.

La radice dell'API dell'istanza Palo Alto Cortex XDR.

Il valore predefinito è https://api-{fqdn}.
API Key

Obbligatorio.

La chiave API Palo Alto Cortex XDR.
Api Key ID

Obbligatorio.

L'ID corrispondente della chiave API per l'autenticazione futura.

Il valore predefinito è 3.
Verify SSL

Facoltativo.

Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Palo Alto Cortex XDR.

Abilitato per impostazione predefinita.
Alerts Count Limit

Facoltativo.

Il numero massimo di avvisi in ogni ciclo.

Il valore predefinito è 10.
Max Days Backwards

Facoltativo.

Il numero massimo di giorni prima della data corrente da cui il connettore deve recuperare i dati. Questo parametro viene utilizzato per l'esecuzione iniziale del connettore.

Il valore predefinito è 1.
Environment Field Name

Facoltativo.

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non è presente, il connettore utilizza il valore predefinito.

Il valore predefinito è "".
Environment Regex Pattern

Facoltativo.

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro ti consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name non elaborato richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito.
Proxy Server Address

Facoltativo.

L'indirizzo del server proxy da utilizzare.
Proxy Username

Facoltativo.

Il nome utente del proxy con cui eseguire l'autenticazione.
Proxy Password

Facoltativo.

La password del proxy per l'autenticazione.

Regole del connettore

Il connettore non supporta l'elenco consentito/bloccato.

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.