Palo Alto Cortex XDR

Versão da integração: 15.0

Configurar o Palo Alto Cortex XDR para trabalhar com o Google Security Operations

Credenciais

Para conseguir sua chave de API do Cortex XDR:

  1. Acesse > Configurações.
  2. Selecione + Nova chave.
  3. Escolha o tipo de chave de API a ser gerada (Avançada somente).
  4. Forneça um comentário que descreva a finalidade da chave de API (opcional).
  5. Selecione o nível de acesso desejado para essa chave.
  6. Gere a chave de API.
  7. Copie a chave de API e clique em Concluído.

Para conseguir o ID da chave de API do Cortex XDR:

  1. Acesse a tabela Chaves de API > coluna "ID".
  2. Anote o número do ID correspondente. Esse valor representa o token x-xdr-auth-id:{key_id}.

Configurar a integração do Palo Alto Cortex XDR no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Raiz da API String https://api-{fqdn} Sim Raiz da API do Cortex XDR da Palo Alto Networks. Observação:o FQDN representa um host e um nome de domínio exclusivos associados a cada locatário. Ao gerar a chave de API e o ID da chave, você recebe um FQDN individual.
Chave da API Senha N/A Sim Um identificador exclusivo usado como o cabeçalho "Authorization:{key}" necessário para autenticar chamadas de API. Dependendo do seu nível de segurança, é possível gerar uma chave de API avançada no app Cortex XDR.
ID da chave de API Número inteiro 3 Sim Um token exclusivo usado para autenticar a chave de API. O cabeçalho usado ao executar uma chamada de API é "x-xdr-auth-id:{key_id}".
Verificar SSL Caixa de seleção Desmarcado Sim Opção para verificar a conexão SSL/TLS.

Ações

Ping

Teste a conectividade com o Cortex XDR da Palo Alto Networks.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_connected Verdadeiro/Falso is_connected:False
Resultado do JSON
N/A

Consulta

Recupera os dados de um incidente específico, incluindo alertas e artefatos principais.

Parâmetros

Parâmetro Tipo Valor padrão Descrição
Código do incidente String N/A O ID do incidente para o qual você quer recuperar dados.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
incident_alerts_count N/A N/A
Resultado do JSON
{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

Resolver um incidente

A capacidade de encerrar incidentes de XDR com um motivo.

Parâmetros

Parâmetro Tipo Valor padrão Descrição
Código do incidente String N/A O ID do incidente a ser atualizado.
Status Lista UNDER_INVESTIGATION Status do incidente atualizado.
Resolver comentário String N/A Comentário descritivo explicando a mudança no incidente.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Atualizar um incidente

A capacidade de definir um incidente específico de XDR como em investigação, atribuir a usuários nomeados etc.

Parâmetros

Parâmetro Tipo Valor padrão Descrição
Código do incidente String N/A O ID do incidente a ser atualizado.
Nome do usuário atribuído String N/A O nome completo atualizado do responsável pelo incidente.
Gravidade Lista Baixo Gravidade definida pelo administrador.
Status Lista UNDER_INVESTIGATION Status do incidente atualizado.

Casos de uso

N/A

Executar em

Essa ação é executada na entidade de URL.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Enriquecer entidades

Enriqueça as entidades de host e IP do Google SecOps com base nas informações do Cortex XDR da Palo Alto Networks.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades
Nome do campo de enriquecimento Lógica: quando aplicar
domínio Retorna se ele existe no resultado JSON
endpoint_name Retorna se ele existe no resultado JSON
endpoint_type Retorna se ele existe no resultado JSON
ip Retorna se ele existe no resultado JSON
endpoint_version Retorna se ele existe no resultado JSON
install_date Retorna se ele existe no resultado JSON
installation_package Retorna se ele existe no resultado JSON
is_isolated Retorna se ele existe no resultado JSON
group_name Retorna se ele existe no resultado JSON
alias Retorna se ele existe no resultado JSON
active_directory Retorna se ele existe no resultado JSON
endpoint_status Retorna se ele existe no resultado JSON
endpoint_id Retorna se ele existe no resultado JSON
content_version Retorna se ele existe no resultado JSON
os_type Retorna se ele existe no resultado JSON
last_seen Retorna se ele existe no resultado JSON
first_seen Retorna se ele existe no resultado JSON
usuários Retorna se ele existe no resultado JSON
Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

Receber relatório do agente de endpoint

Recebe o relatório do agente para um endpoint.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Isolar endpoint

Isolar um endpoint.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Isolar endpoint

Remova o isolamento de um endpoint.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • Endereço IP
  • Nome do host

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Adicionar hashes à lista de bloqueio

Use essa ação para adicionar arquivos não listados a uma lista de bloqueio específica.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Comentário String N/A Não Forneça um comentário adicional que represente mais informações sobre a ação
Código do incidente String N/A Não Especifique o ID do incidente a que os hashes adicionados estão relacionados.

Executar em

Essa ação é executada na entidade "Filehash".

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Para entidades adicionadas com sucesso: "As seguintes entidades foram adicionadas à lista de bloqueio: " +successful_entities_list

Para entidades sem sucesso: "Não foi possível adicionar as seguintes entidades à lista de bloqueio: "+unsuccessful_entities_list.

Se um hash do tipo sem suporte for fornecido (is_success=true):

Os seguintes hashes não são compatíveis: {unsupported hashes}

Se todos os hashes do tipo sem suporte forem fornecidos (is_success=false): nenhum dos hashes fornecidos é compatível.

A ação precisa falhar e interromper a execução de um playbook:
"Falha ao realizar a ação "Adicionar hashes à lista de bloqueio" {0}".format(exception.stacktrace)

Geral

Adicionar comentário ao incidente

Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no Palo Alto Cortex XDR.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Adicionar comentário ao incidente exige os seguintes parâmetros:

Parâmetro Descrição
Incident ID

Obrigatório.

O ID do incidente a ser atualizado.

Comment

Obrigatório.

O comentário a ser adicionado ao incidente.

Saídas de ação

A ação Adicionar comentário ao incidente fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Adicionar comentário ao incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

A ação foi concluída.
Error executing action "Add Comment To Incident". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário ao incidente:

Nome do resultado do script Valor
is_success True ou False

Receber detalhes do incidente

Use a ação Receber detalhes do incidente para recuperar informações sobre um incidente no Palo Alto Cortex XDR.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Receber detalhes do incidente exige os seguintes parâmetros:

Parâmetro Descrição
Incident ID

Obrigatório.

O ID do incidente a ser retornado.

Lowest Alert Severity

Opcional.

A gravidade mínima necessária para que um alerta seja incluído.

Os valores possíveis são:

  • Critical
  • High
  • Medium
  • Low

O valor padrão é High.

Max Alerts To Return

Opcional.

O número máximo de alertas a serem retornados.

O valor máximo é 1000.

O valor padrão é 50.

Saídas de ação

A ação Receber detalhes do incidente fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Receber detalhes do incidente:

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}
Mensagens de saída

A ação Receber detalhes do incidente pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

A ação foi concluída.
Error executing action "Get Incident Details". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do incidente:

Nome do resultado do script Valor
is_success True ou False

Use a ação Executar pesquisa XQL para buscar informações usando XQL no Palo Alto Cortex XDR.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar pesquisa XQL requer os seguintes parâmetros:

Parâmetro Descrição
Query

Obrigatório.

A consulta a ser executada no Cortex XDR da Palo Alto.

Não forneça limit como parte da consulta. A ação recupera esse valor de Max Results To Return.

Time Frame

Opcional.

A consulta a ser executada no Cortex XDR da Palo Alto.

Não forneça limit como parte da consulta. A ação recupera esse valor de Max Results To Return.

Os valores possíveis são:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

O valor padrão é Last Hour.

Start Time

Opcional.

O horário de início dos resultados no formato ISO 8601.

Se Custom for selecionado para Time Frame, esse parâmetro será obrigatório.

End Time

Opcional.

O horário de término dos resultados no formato ISO 8601.

Se Custom for selecionado para Time Frame e nenhum valor for fornecido, a ação vai usar a hora atual.

Max Results To Return

Opcional.

A ação vai anexar limit à consulta fornecida.

O valor máximo é 1000.

O valor padrão é 50.

Saídas de ação

A ação Executar pesquisa XQL fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Executar pesquisa XQL:

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}
Mensagens de saída

A ação Executar pesquisa XQL pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

A ação foi concluída.
Error executing action "Execute XQL Search". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar pesquisa XQL:

Nome do resultado do script Valor
is_success True ou False

Conectores

Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Conector do Cortex XDR da Palo Alto

Um conector para buscar incidentes do Cortex XDR da Palo Alto Networks e criar alertas com base nos incidentes anexados.

Entradas do conector

O conector do Cortex XDR da Palo Alto exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name

Obrigatório.

O nome do campo em que o nome do produto é armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão.

O valor padrão é Product Name.

Event Field Name

Obrigatório.

O nome do campo que determina o nome do evento (subtipo).

O valor padrão é event_type.

PythonProcessTimeout

Obrigatório.

O limite de tempo (em segundos) para o processo do Python executar o script atual.

O valor padrão é 60.

API Root

Obrigatório.

A raiz da API da instância do Palo Alto Cortex XDR.

O valor padrão é https://api-{fqdn}.

API Key

Obrigatório.

A chave de API do Cortex XDR da Palo Alto.

Api Key ID

Obrigatório.

O ID correspondente da chave de API para autenticação futura.

O valor padrão é 3.

Verify SSL

Opcional.

Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Palo Alto Cortex XDR.

Ativado por padrão.

Alerts Count Limit

Opcional.

O número máximo de alertas em cada ciclo.

O valor padrão é 10.

Max Days Backwards

Opcional.

O número máximo de dias antes da data atual para o conector extrair dados. Esse parâmetro é usado na execução inicial do conector.

O valor padrão é 1.

Environment Field Name

Opcional.

O nome do campo em que o nome do ambiente é armazenado.

Se o campo "environment" estiver ausente, o conector usará o valor padrão.

O valor padrão é "".

Environment Regex Pattern

Opcional.

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.

Proxy Server Address

Opcional.

O endereço do servidor proxy a ser usado.

Proxy Username

Opcional.

O nome de usuário do proxy para autenticação.

Proxy Password

Opcional.

A senha do proxy para autenticação.

Regras do conector

O conector não é compatível com listas de permissões/proibições.

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.