Palo Alto Cortex XDR
Versão da integração: 15.0
Configure o Palo Alto Cortex XDR para funcionar com o Google Security Operations
Credenciais
Para obter a chave da API do Cortex XDR:
- Navegue para > Definições.
- Selecione + Nova chave.
- Escolha o tipo de chave da API a gerar (Apenas avançado).
- Indique um comentário que descreva a finalidade da chave da API (opcional).
- Selecione o nível de acesso pretendido para esta chave.
- Gere a chave da API.
- Copie a chave da API e, de seguida, clique em Concluído.
Para obter o ID da chave da API do Cortex XDR:
- Navegue para a tabela Chaves da API > coluna ID.
- Tome nota do número de ID correspondente. Este valor representa o token x-xdr-auth-id:{key_id}.
Configure a integração do Palo Alto Cortex XDR no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://api-{fqdn} | Sim | Raiz da API Cortex XDR da Palo Alto Networks. Nota: o FQDN representa um nome de anfitrião e de domínio exclusivo associado a cada inquilino. Quando gera a chave da API e o ID da chave, é-lhe atribuído um FQDN individual. |
| Chave de API | Palavra-passe | N/A | Sim | Um identificador exclusivo usado como o cabeçalho "Authorization:{key}" necessário para autenticar chamadas API. Consoante o seu nível de segurança, pode gerar uma chave da API avançada a partir da app Cortex XDR. |
| ID da chave de API | Número inteiro | 3 | Sim | Um token exclusivo usado para autenticar a chave da API. O cabeçalho usado quando executa uma chamada API é "x-xdr-auth-id:{key_id}". |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Opção para validar a ligação SSL/TLS. |
Ações
Tchim-tchim
Teste a conetividade ao Palo Alto Networks Cortex XDR.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connected | Verdadeiro/Falso | is_connected:False |
Resultado JSON
N/A
Consulta
Recuperar os dados de um incidente específico, incluindo alertas e artefactos principais.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| ID de incidente | String | N/A | O ID do incidente para o qual quer obter dados. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| incident_alerts_count | N/A | N/A |
Resultado JSON
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Resolva um incidente
A capacidade de encerrar incidentes XDR com um motivo de encerramento.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| ID de incidente | String | N/A | O ID do incidente a atualizar. |
| Estado | Lista | UNDER_INVESTIGATION | Estado do incidente atualizado. |
| Resolver comentário | String | N/A | Comentário descritivo que explica a alteração do incidente. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Atualize um incidente
A capacidade de definir um incidente de XDR específico como em investigação, atribuir a utilizadores nomeados, etc.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| ID de incidente | String | N/A | O ID do incidente a atualizar. |
| Nome de utilizador atribuído | String | N/A | O nome completo atualizado do responsável pelo incidente. |
| Gravidade | Lista | Baixo | Gravidade definida pelo administrador. |
| Estado | Lista | UNDER_INVESTIGATION | Estado do incidente atualizado. |
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecer entidades
Enriqueça as entidades de anfitriões e IPs do Google SecOps com base nas informações do Palo Alto Networks Cortex XDR.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| domínio | Devolve se existir no resultado JSON |
| endpoint_name | Devolve se existir no resultado JSON |
| endpoint_type | Devolve se existir no resultado JSON |
| ip | Devolve se existir no resultado JSON |
| endpoint_version | Devolve se existir no resultado JSON |
| install_date | Devolve se existir no resultado JSON |
| installation_package | Devolve se existir no resultado JSON |
| is_isolated | Devolve se existir no resultado JSON |
| group_name | Devolve se existir no resultado JSON |
| alias | Devolve se existir no resultado JSON |
| active_directory | Devolve se existir no resultado JSON |
| endpoint_status | Devolve se existir no resultado JSON |
| endpoint_id | Devolve se existir no resultado JSON |
| content_version | Devolve se existir no resultado JSON |
| os_type | Devolve se existir no resultado JSON |
| last_seen | Devolve se existir no resultado JSON |
| first_seen | Devolve se existir no resultado JSON |
| utilizadores | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Obtenha o relatório do agente de ponto final
Obtenha o relatório do agente para um ponto final.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Isolar ponto final
Isolar um ponto final.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Unisolate Endpoint
Anular o isolamento de um ponto final.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Adicione hashes à lista de bloqueio
Use esta ação para adicionar ficheiros não apresentados a uma lista de bloqueios especificada.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Não | Forneça um comentário adicional que represente informações adicionais sobre a ação |
| ID de incidente | String | N/A | Não | Especifique o ID do incidente ao qual os hashes adicionados estão relacionados |
Executar em
Esta ação é executada na entidade Filehash
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Para entidades adicionadas com êxito : "As seguintes entidades foram adicionadas com êxito à lista de bloqueios: " +successful_entities_list Para entidades sem êxito: "Não foi possível adicionar as seguintes entidades à lista de bloqueio: "+unsuccessful_entities_list. Se for fornecido um hash do tipo não suportado (is_success=true): Os seguintes hashes não são suportados: {unsupported hashes} Se forem fornecidos todos os hashes do tipo não suportado (is_success=false): nenhum dos hashes fornecidos é suportado. A ação deve falhar e parar a execução de um playbook: |
Geral |
Adicionar comentário ao incidente
Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no Palo Alto Cortex XDR.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Add Comment To Incident requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Incident ID |
Obrigatório. O ID do incidente a atualizar. |
Comment |
Obrigatório. O comentário a adicionar ao incidente. |
Resultados da ação
A ação Adicionar comentário ao incidente fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário ao incidente pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Comment To Incident:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes do incidente
Use a ação Get Incident Details para obter informações sobre um incidente no Palo Alto Cortex XDR.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Incident Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Incident ID |
Obrigatório. O ID do incidente a devolver. |
Lowest Alert Severity |
Opcional. A gravidade do alerta mais baixa necessária para incluir um alerta. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Alerts To Return |
Opcional. O número máximo de alertas a devolver. O valor máximo é O valor predefinido é |
Resultados da ação
A ação Get Incident Details (Obter detalhes do incidente) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra os resultados JSON recebidos quando usa a ação Get Incident Details:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Mensagens de saída
A ação Get Incident Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Incident Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar pesquisa XQL
Use a ação Execute XQL Search para obter informações através do XQL no Palo Alto Cortex XDR.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute XQL Search requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. A consulta a executar no Palo Alto Cortex XDR. Não forneça |
Time Frame |
Opcional. A consulta a executar no Palo Alto Cortex XDR. Não forneça Os valores possíveis são os seguintes:
O valor predefinido é |
Start Time |
Opcional. A hora de início dos resultados no formato ISO 8601. Se |
End Time |
Opcional. A hora de fim dos resultados no formato ISO 8601. Se |
Max Results To Return |
Opcional. A ação acrescenta O valor máximo é O valor predefinido é |
Resultados da ação
A ação Executar pesquisa XQL fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Execute XQL Search:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Mensagens de saída
A ação Execute XQL Search pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Execute XQL Search:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Conetor do Palo Alto Cortex XDR
Um conetor para obter incidentes do Palo Alto Networks Cortex XDR e criar alertas a partir dos incidentes anexados.
Entradas do conetor
O conetor do Palo Alto Cortex XDR requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é
|
PythonProcessTimeout |
Obrigatório. O limite de tempo limite (em segundos) para o processo Python executar o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do Palo Alto Cortex XDR. O valor predefinido é
|
API Key |
Obrigatório. A chave da API do Palo Alto Cortex XDR. |
Api Key ID |
Obrigatório. O ID correspondente da chave da API para autenticação futura. O valor predefinido é |
Verify SSL |
Opcional. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do Palo Alto Cortex XDR. Ativada por predefinição. |
Alerts Count Limit |
Opcional. O número máximo de alertas em cada ciclo. O valor predefinido é |
Max Days Backwards |
Opcional. O número máximo de dias antes da data atual para o conector obter dados. Este parâmetro é usado para a execução inicial do conetor. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é
|
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Regras de conector
O conetor não suporta a lista de permissões/proibições.
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.