Palo Alto Cortex XDR
통합 버전: 15.0
Google Security Operations와 연동되도록 Palo Alto Cortex XDR 구성
사용자 인증 정보
Cortex XDR API 키를 가져오려면 다음 단계를 따르세요.
- > 설정으로 이동합니다.
- + 새 키를 선택합니다.
- 생성할 API 키 유형을 선택합니다 (고급 전용).
- API 키의 목적을 설명하는 주석을 제공합니다 (선택사항).
- 이 키에 대해 원하는 액세스 수준을 선택합니다.
- API 키를 생성합니다.
- API 키를 복사한 다음 완료를 클릭합니다.
Cortex XDR API 키 ID를 가져오려면 다음 단계를 따르세요.
- API 키 표 > ID 열로 이동합니다.
- 해당 ID 번호를 기록합니다. 이 값은 x-xdr-auth-id:{key_id} 토큰을 나타냅니다.
Google SecOps에서 Palo Alto Cortex XDR 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://api-{fqdn} | 예 | Palo Alto Networks Cortex XDR API 루트입니다. 참고: FQDN은 각 테넌트와 연결된 고유한 호스트 및 도메인 이름을 나타냅니다. API 키와 키 ID를 생성하면 개별 FQDN이 할당됩니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 예 | API 호출 인증에 필요한 'Authorization:{key}' 헤더로 사용되는 고유 식별자입니다. 보안 수준에 따라 Cortex XDR 앱에서 지능형 API 키를 생성할 수 있습니다. |
| API 키 ID | 정수 | 3 | 예 | API 키를 인증하는 데 사용되는 고유 토큰입니다. API 호출을 실행할 때 사용되는 헤더는 'x-xdr-auth-id:{key_id}'입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | SSL/TLS 연결을 확인하는 옵션입니다. |
작업
핑
Palo Alto Networks Cortex XDR에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 결과
N/A
쿼리
알림 및 주요 아티팩트를 비롯한 특정 인시던트의 데이터를 가져옵니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 사고 ID | 문자열 | 해당 사항 없음 | 데이터를 가져오려는 인시던트의 ID입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| incident_alerts_count | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
인시던트 해결
종료 이유와 함께 XDR 인시던트를 종료하는 기능
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 사고 ID | 문자열 | 해당 사항 없음 | 업데이트할 인시던트의 ID입니다. |
| 상태 | 목록 | UNDER_INVESTIGATION | 인시던트 상태가 업데이트되었습니다. |
| 댓글 해결 | 문자열 | 해당 사항 없음 | 인시던트 변경을 설명하는 설명 주석입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
인시던트 업데이트
특정 XDR 인시던트를 조사 중으로 설정하고, 지정된 사용자에게 할당하는 등의 기능
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 사고 ID | 문자열 | 해당 사항 없음 | 업데이트할 인시던트의 ID입니다. |
| 할당된 사용자 이름 | 문자열 | 해당 사항 없음 | 업데이트된 인시던트 할당자의 전체 이름입니다. |
| 심각도 | 목록 | 낮음 | 관리자가 정의한 심각도입니다. |
| 상태 | 목록 | UNDER_INVESTIGATION | 인시던트 상태가 업데이트되었습니다. |
사용 사례
해당 사항 없음
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
Palo Alto Networks Cortex XDR의 정보를 기반으로 Google SecOps 호스트 및 IP 항목을 보강합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| endpoint_name | JSON 결과에 존재하는 경우에 반환 |
| endpoint_type | JSON 결과에 존재하는 경우에 반환 |
| ip | JSON 결과에 존재하는 경우에 반환 |
| endpoint_version | JSON 결과에 존재하는 경우에 반환 |
| install_date | JSON 결과에 존재하는 경우에 반환 |
| installation_package | JSON 결과에 존재하는 경우에 반환 |
| is_isolated | JSON 결과에 존재하는 경우에 반환 |
| group_name | JSON 결과에 존재하는 경우에 반환 |
| alias | JSON 결과에 존재하는 경우에 반환 |
| active_directory | JSON 결과에 존재하는 경우에 반환 |
| endpoint_status | JSON 결과에 존재하는 경우에 반환 |
| endpoint_id | JSON 결과에 존재하는 경우에 반환 |
| content_version | JSON 결과에 존재하는 경우에 반환 |
| os_type | JSON 결과에 존재하는 경우에 반환 |
| last_seen | JSON 결과에 존재하는 경우에 반환 |
| first_seen | JSON 결과에 존재하는 경우에 반환 |
| 사용자 | JSON 결과에 존재하는 경우에 반환 |
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
엔드포인트 에이전트 보고서 가져오기
엔드포인트의 에이전트 보고서를 가져옵니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
엔드포인트 격리
엔드포인트를 격리합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
엔드포인트 격리 해제
엔드포인트의 격리를 해제합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
차단 목록에 해시 추가
이 작업을 사용하여 일부 공개 파일을 지정된 차단 목록에 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | 작업에 관한 추가 정보를 나타내는 추가 의견을 제공합니다. |
| 사고 ID | 문자열 | 해당 사항 없음 | 아니요 | 추가된 해시와 관련된 인시던트 ID를 지정합니다. |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공적으로 추가된 항목: '다음 항목이 차단 목록에 추가되었습니다. ' +successful_entities_list 실패한 항목: '다음 항목을 차단 목록에 추가할 수 없습니다. '+unsuccessful_entities_list 지원되지 않는 유형의 해시가 하나 제공된 경우 (is_success=true): 다음 해시는 지원되지 않습니다. {unsupported hashes} 지원되지 않는 유형의 해시가 모두 제공된 경우 (is_success=false): 제공된 해시가 지원되지 않습니다. 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
인시던트에 댓글 추가
Add Comment To Incident 작업을 사용하여 Palo Alto Cortex XDR의 인시던트에 댓글을 추가합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Add Comment To Incident 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Incident ID |
필수 항목입니다. 업데이트할 인시던트의 ID입니다. |
Comment |
필수 항목입니다. 인시던트에 추가할 댓글입니다. |
작업 출력
Add Comment To Incident(인시던트에 댓글 추가) 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Add Comment To Incident 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 인시던트에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
Get Incident Details(인시던트 세부정보 가져오기)
Get Incident Details 작업을 사용하여 Palo Alto Cortex XDR의 인시던트에 관한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
Get Incident Details 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Incident ID |
필수 항목입니다. 반환할 인시던트의 ID입니다. |
Lowest Alert Severity |
(선택사항) 알림이 포함되는 데 필요한 가장 낮은 알림 심각도입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Alerts To Return |
(선택사항) 반환할 최대 알림 수입니다. 최댓값은 기본값은 |
작업 출력
Get Incident Details(인시던트 세부정보 가져오기) 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 Get Incident Details 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
출력 메시지
Get Incident Details(인시던트 세부정보 가져오기) 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 인시던트 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
XQL 검색 실행
XQL 검색 실행 작업을 사용하여 Palo Alto Cortex XDR에서 XQL을 사용하여 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
XQL 검색 실행 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. Palo Alto Cortex XDR에서 실행할 쿼리입니다.
|
Time Frame |
(선택사항) Palo Alto Cortex XDR에서 실행할 쿼리입니다.
가능한 값은 다음과 같습니다.
기본값은 |
Start Time |
(선택사항) 결과의 시작 시간입니다(ISO 8601 형식).
|
End Time |
(선택사항) 결과의 종료 시간입니다(ISO 8601 형식).
|
Max Results To Return |
(선택사항) 이 작업은 제공된 질문에 최댓값은 기본값은 |
작업 출력
XQL 검색 실행 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 XQL 검색 실행 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
출력 메시지
XQL 검색 실행 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 XQL 검색 실행 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
엔드포인트 스캔
엔드포인트 스캔 작업을 사용하여 Palo Alto Cortex XDR에서 엔드포인트를 스캔합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
IP AddressHostname
작업 입력
스캔 엔드포인트 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Incident ID |
(선택사항) 스캔 활동을 연결할 인시던트의 ID로, 결과를 인시던트 타임라인에 표시할 수 있습니다. |
작업 출력
엔드포인트 스캔 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
엔드포인트 스캔 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Scan Endpoint". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
JSON 결과
다음 예시에서는 엔드포인트 검사 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"Entity": "192.168.1.10",
"EntityResult": {
"endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
"endpoint_name": "PLACEHOLDER-SERVER-NAME",
"endpoint_type": "AGENT_TYPE_SERVER",
"endpoint_status": "CONNECTED",
"os_type": "AGENT_OS_WINDOWS",
"os_version": "10.0.yyyy",
"ip": [
"192.168.1.10"
],
"ipv6": [],
"public_ip": "203.0.113.45",
"users": [],
"domain": "WORKGROUP",
"alias": "",
"first_seen": 1680000000000,
"last_seen": 1760000000000,
"content_version": "YYYY-ZZZZZ",
"installation_package": "PLACEHOLDER-PACKAGE",
"active_directory": [],
"install_date": 1680000000000,
"endpoint_version": "X.Y.Z.W",
"is_isolated": "AGENT_UNISOLATED",
"isolated_date": null,
"group_name": [
"PLACEHOLDER-GROUP"
],
"operational_status": "PROTECTED",
"operational_status_description": "[]",
"operational_status_details": [],
"scan_status": "SCAN_STATUS_PENDING",
"content_release_timestamp": 1760000000000,
"last_content_update_time": 1760000000000,
"operating_system": "Windows Server PLACEHOLDER",
"mac_address": [
"00:1A:2B:3C:4D:5E"
],
"assigned_prevention_policy": "PLACEHOLDER-POLICY",
"assigned_extensions_policy": "Windows Default",
"token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
"tags": {
"server_tags": [
"PLACEHOLDER-TAG"
],
"endpoint_tags": []
},
"content_status": "UP_TO_DATE"
}
}
]
스크립트 결과
다음 표에는 엔드포인트 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
Palo Alto Cortex XDR 커넥터
이 커넥터를 사용하여 Palo Alto Cortex XDR에서 인시던트를 가져옵니다.
커넥터 입력
Palo Alto Cortex XDR 커넥터에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Script Timeout (Seconds) |
필수 항목입니다. Python 프로세스가 현재 스크립트를 실행하는 제한 시간 한도 (초)입니다. 기본값은 |
API Root |
필수 항목입니다. Palo Alto Cortex XDR 인스턴스의 API 루트입니다. 기본값은 |
API Key |
필수 항목입니다. Palo Alto Cortex XDR API 키입니다. |
Api Key ID |
필수 항목입니다. 향후 인증을 위한 API 키의 해당 ID입니다. 기본값은 |
Verify SSL |
(선택사항) 선택하면 Palo Alto Cortex XDR 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Alerts Count Limit |
(선택사항) 각 주기의 최대 알림 수입니다. 기본값은 |
Max Days Backwards |
(선택사항) 커넥터가 데이터를 가져올 수 있는 현재 날짜 이전의 최대 일수입니다. 이 매개변수는 커넥터의 초기 실행에 사용됩니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 인증할 프록시 사용자 이름입니다. |
Proxy Password |
(선택사항) 인증할 프록시 비밀번호입니다. |
Status Filter |
(선택사항) 커넥터가 수집할 알림 상태의 쉼표로 구분된 목록입니다. 값이 제공되지 않으면 커넥터는 기본적으로 가능한 값은 다음과 같습니다.
|
Split Incident Alerts |
(선택사항) 선택하면 커넥터가 단일 소스 인시던트 내의 개별 알림을 분리하여 각각에 대해 별도의 SOAR 알림을 만듭니다. 기본적으로 사용 설정되어 있지 않습니다. |
Lowest Alert Severity To Fetch |
(선택사항) 가져올 알림의 가장 낮은 심각도입니다. 값을 제공하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다.
가능한 값은 다음과 같습니다.
|
Lowest Incident Severity To Fetch |
(선택사항) 가져올 인시던트의 가장 낮은 SmartScore (0~100)입니다. 이 필터는 심각도 필터와 독립적으로 작동합니다. 값이 제공되지 않으면 SmartScore 필터가 무시됩니다. |
Lowest Incident SmartScore To Fetch |
(선택사항) 가져올 인시던트의 가장 낮은 심각도입니다. 값을 제공하지 않으면 커넥터는 모든 심각도 수준의 인시던트를 수집합니다. 가능한 값은 다음과 같습니다.
|
Use dynamic list as a blocklist |
필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 사용 설정되어 있지 않습니다. |
Disable Overflow |
(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 사용 설정됩니다. |
커넥터 규칙
커넥터에서 허용 목록/차단 목록을 지원하지 않습니다.
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.