Palo Alto Cortex XDR
統合バージョン: 15.0
Google Security Operations と連携するように Palo Alto Cortex XDR を構成する
認証情報
Cortex XDR API キーを取得する手順は次のとおりです。
- > [設定] に移動します。
- [+ New Key] を選択します。
- 生成する API キーのタイプ([Advanced Only])を選択します。
- API キーの目的を説明するコメントを入力します(省略可)。
- このキーに必要なアクセスレベルを選択します。
- API キーを生成します。
- API キーをコピーし、[完了] をクリックします。
Cortex XDR API キー ID を取得する手順は次のとおりです。
- [API キー] テーブル > [ID 列] に移動します。
- 対応する ID 番号をメモします。この値は x-xdr-auth-id:{key_id} トークンを表します。
Google SecOps で Palo Alto Cortex XDR の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://api-{fqdn} | はい | Palo Alto Networks Cortex XDR API ルート。注: FQDN は、各テナントに関連付けられた一意のホスト名とドメイン名を表します。API キーとキー ID を生成すると、個別の FQDN が割り当てられます。 |
| API キー | パスワード | なし | はい | API 呼び出しの認証に必要な「Authorization:{key}」ヘッダーとして使用される一意の識別子。セキュリティ レベルに応じて、Cortex XDR アプリから Advanced API キーを生成できます。 |
| API キー ID | Integer | 3 | はい | API キーの認証に使用される一意のトークン。API 呼び出しの実行時に使用されるヘッダーは「x-xdr-auth-id:{key_id}」です。 |
| SSL を確認する | チェックボックス | オフ | はい | SSL/TLS 接続を確認するオプション。 |
操作
Ping
Palo Alto Networks Cortex XDR への接続性をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON の結果
N/A
クエリ
アラートや重要なアーティファクトなど、特定のインシデントのデータを取得します。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| インシデント ID | 文字列 | なし | データを取得するインシデントの ID。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| incident_alerts_count | なし | なし |
JSON の結果
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
インシデントを解決する
終了理由を指定して XDR インシデントを終了する機能。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| インシデント ID | 文字列 | なし | 更新するインシデントの ID。 |
| ステータス | リスト | UNDER_INVESTIGATION | インシデントのステータスが更新されました。 |
| コメントを解決 | 文字列 | なし | インシデントの変更を説明する説明コメント。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
インシデントを更新する
特定の XDR インシデントを調査中として設定したり、名前付きユーザーに割り当てたりする機能。
パラメータ
| パラメータ | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
| インシデント ID | 文字列 | なし | 更新するインシデントの ID。 |
| 割り当て済みユーザー名 | 文字列 | なし | インシデントの割り当て先の更新されたフルネーム。 |
| 重大度 | リスト | 低 | 管理者が定義した重大度。 |
| ステータス | リスト | UNDER_INVESTIGATION | インシデントのステータスが更新されました。 |
ユースケース
なし
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンティティの拡充
Palo Alto Networks Cortex XDR の情報に基づいて、Google SecOps のホストと IP エンティティを拡充します。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| ドメイン | JSON の結果に存在する場合に返す |
| endpoint_name | JSON の結果に存在する場合に返す |
| endpoint_type | JSON の結果に存在する場合に返す |
| ip | JSON の結果に存在する場合に返す |
| endpoint_version | JSON の結果に存在する場合に返す |
| install_date | JSON の結果に存在する場合に返す |
| installation_package | JSON の結果に存在する場合に返す |
| is_isolated | JSON の結果に存在する場合に返す |
| group_name | JSON の結果に存在する場合に返す |
| エイリアス | JSON の結果に存在する場合に返す |
| active_directory | JSON の結果に存在する場合に返す |
| endpoint_status | JSON の結果に存在する場合に返す |
| endpoint_id | JSON の結果に存在する場合に返す |
| content_version | JSON の結果に存在する場合に返す |
| os_type | JSON の結果に存在する場合に返す |
| last_seen | JSON の結果に存在する場合に返す |
| first_seen | JSON の結果に存在する場合に返す |
| ユーザー | JSON の結果に存在する場合に返す |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
エンドポイント・エージェント・レポートを取得する
エンドポイントのエージェント レポートを取得します。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンドポイントを隔離する
エンドポイントを隔離します。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
エンドポイントの分離を解除する
エンドポイントの分離を解除します。
パラメータ
なし
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ブロックリストにハッシュを追加する
この操作を使用すると、非公開のファイルを指定したブロック リストに追加できます。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| コメント | 文字列 | なし | いいえ | アクションに関する追加情報を表す追加のコメントを指定します |
| インシデント ID | 文字列 | なし | いいえ | 追加されたハッシュが関連付けられているインシデント ID を指定します |
実行
このアクションは Filehash エンティティに対して実行されます
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 エンティティが正常に追加された場合 : 「次のエンティティをブロック リストに正常に追加しました: 」+successful_entities_list 失敗したエンティティの場合: 「次のエンティティをブロック リストに追加できませんでした: 」+unsuccessful_entities_list。 サポートされていないタイプのハッシュが 1 つ指定されている場合(is_success=true): 次のハッシュはサポートされていません: {サポートされていないハッシュ} サポートされていないタイプのハッシュがすべて指定されている場合(is_success=false): 指定されたハッシュはサポートされていません。 アクションが失敗し、ハンドブックの実行が停止します。 |
全般 |
インシデントにコメントを追加
インシデントにコメントを追加アクションを使用して、Palo Alto Cortex XDR のインシデントにコメントを追加します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Add Comment To Incident] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Incident ID |
必須。 更新するインシデントの ID。 |
Comment |
必須。 インシデントに追加するコメント。 |
アクションの出力
[インシデントにコメントを追加] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
[Add Comment To Incident] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[インシデントにコメントを追加] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
インシデントの詳細を取得する
インシデントの詳細を取得アクションを使用して、Palo Alto Cortex XDR のインシデントに関する情報を取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Get Incident Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Incident ID |
必須。 返すインシデントの ID。 |
Lowest Alert Severity |
省略可。 アラートを含めるために必要なアラートの最小重大度。 値は次のいずれかになります。
デフォルト値は |
Max Alerts To Return |
省略可。 返すアラートの最大数。 最大値は デフォルト値は |
アクションの出力
[インシデントの詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[インシデントの詳細を取得] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
出力メッセージ
[Get Incident Details] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、インシデントの詳細を取得アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
XQL 検索を実行する
Palo Alto Cortex XDR で XQL を使用して情報を取得するには、[Execute XQL Search] アクションを使用します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Execute XQL Search] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
必須。 Palo Alto Cortex XDR で実行するクエリ。 クエリの一部として |
Time Frame |
省略可。 Palo Alto Cortex XDR で実行するクエリ。 クエリの一部として 値は次のいずれかになります。
デフォルト値は |
Start Time |
省略可。 結果の開始時間(ISO 8601 形式)。
|
End Time |
省略可。 結果の終了時刻(ISO 8601 形式)。
|
Max Results To Return |
省略可。 アクションは、指定されたクエリに 最大値は デフォルト値は |
アクションの出力
[Execute XQL Search] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Execute XQL Search] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
出力メッセージ
[Execute XQL Search] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Execute XQL Search アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Palo Alto Cortex XDR コネクタ
Palo Alto Networks Cortex XDR からインシデントを取得し、添付されたインシデントからアラートを作成するコネクタ。
コネクタの入力
Palo Alto Cortex XDR コネクタには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
PythonProcessTimeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 Palo Alto Cortex XDR インスタンスの API ルート。 デフォルト値は |
API Key |
必須。 Palo Alto Cortex XDR API キー。 |
Api Key ID |
必須。 今後の認証に使用する API キーの対応する ID。 デフォルト値は |
Verify SSL |
省略可。 選択すると、統合によって Palo Alto Cortex XDR サーバーへの接続時に SSL 証明書が検証されます。 デフォルトで有効になっています。 |
Alerts Count Limit |
省略可。 各サイクルのアラートの最大数。 デフォルト値は |
Max Days Backwards |
省略可。 コネクタがデータを取得する現在の日付までの最大日数。このパラメータは、コネクタの初回実行に使用されます。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタは、ホワイトリスト/ブラックリストをサポートしていません。
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。