Palo Alto Cortex XDR
Versão da integração: 15.0
Configurar o Palo Alto Cortex XDR para trabalhar com o Google Security Operations
Credenciais
Para conseguir sua chave de API do Cortex XDR:
- Acesse > Configurações.
- Selecione + Nova chave.
- Escolha o tipo de chave de API a ser gerada (Avançada somente).
- Forneça um comentário que descreva a finalidade da chave de API (opcional).
- Selecione o nível de acesso desejado para essa chave.
- Gere a chave de API.
- Copie a chave de API e clique em Concluído.
Para conseguir o ID da chave de API do Cortex XDR:
- Acesse a tabela Chaves de API > coluna "ID".
- Anote o número do ID correspondente. Esse valor representa o token x-xdr-auth-id:{key_id}.
Configurar a integração do Palo Alto Cortex XDR no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Raiz da API | String | https://api-{fqdn} | Sim | Raiz da API do Cortex XDR da Palo Alto Networks. Observação:o FQDN representa um host e um nome de domínio exclusivos associados a cada locatário. Ao gerar a chave de API e o ID da chave, você recebe um FQDN individual. |
Chave da API | Senha | N/A | Sim | Um identificador exclusivo usado como o cabeçalho "Authorization:{key}" necessário para autenticar chamadas de API. Dependendo do seu nível de segurança, é possível gerar uma chave de API avançada no app Cortex XDR. |
ID da chave de API | Número inteiro | 3 | Sim | Um token exclusivo usado para autenticar a chave de API. O cabeçalho usado ao executar uma chamada de API é "x-xdr-auth-id:{key_id}". |
Verificar SSL | Caixa de seleção | Desmarcado | Sim | Opção para verificar a conexão SSL/TLS. |
Ações
Ping
Teste a conectividade com o Cortex XDR da Palo Alto Networks.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_connected | Verdadeiro/Falso | is_connected:False |
Resultado do JSON
N/A
Consulta
Recupera os dados de um incidente específico, incluindo alertas e artefatos principais.
Parâmetros
Parâmetro | Tipo | Valor padrão | Descrição |
---|---|---|---|
Código do incidente | String | N/A | O ID do incidente para o qual você quer recuperar dados. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
incident_alerts_count | N/A | N/A |
Resultado do JSON
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
Resolver um incidente
A capacidade de encerrar incidentes de XDR com um motivo.
Parâmetros
Parâmetro | Tipo | Valor padrão | Descrição |
---|---|---|---|
Código do incidente | String | N/A | O ID do incidente a ser atualizado. |
Status | Lista | UNDER_INVESTIGATION | Status do incidente atualizado. |
Resolver comentário | String | N/A | Comentário descritivo explicando a mudança no incidente. |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Atualizar um incidente
A capacidade de definir um incidente específico de XDR como em investigação, atribuir a usuários nomeados etc.
Parâmetros
Parâmetro | Tipo | Valor padrão | Descrição |
---|---|---|---|
Código do incidente | String | N/A | O ID do incidente a ser atualizado. |
Nome do usuário atribuído | String | N/A | O nome completo atualizado do responsável pelo incidente. |
Gravidade | Lista | Baixo | Gravidade definida pelo administrador. |
Status | Lista | UNDER_INVESTIGATION | Status do incidente atualizado. |
Casos de uso
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecer entidades
Enriqueça as entidades de host e IP do Google SecOps com base nas informações do Cortex XDR da Palo Alto Networks.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
Nome do campo de enriquecimento | Lógica: quando aplicar |
---|---|
domínio | Retorna se ele existe no resultado JSON |
endpoint_name | Retorna se ele existe no resultado JSON |
endpoint_type | Retorna se ele existe no resultado JSON |
ip | Retorna se ele existe no resultado JSON |
endpoint_version | Retorna se ele existe no resultado JSON |
install_date | Retorna se ele existe no resultado JSON |
installation_package | Retorna se ele existe no resultado JSON |
is_isolated | Retorna se ele existe no resultado JSON |
group_name | Retorna se ele existe no resultado JSON |
alias | Retorna se ele existe no resultado JSON |
active_directory | Retorna se ele existe no resultado JSON |
endpoint_status | Retorna se ele existe no resultado JSON |
endpoint_id | Retorna se ele existe no resultado JSON |
content_version | Retorna se ele existe no resultado JSON |
os_type | Retorna se ele existe no resultado JSON |
last_seen | Retorna se ele existe no resultado JSON |
first_seen | Retorna se ele existe no resultado JSON |
usuários | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
Receber relatório do agente de endpoint
Recebe o relatório do agente para um endpoint.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Isolar endpoint
Isolar um endpoint.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Isolar endpoint
Remova o isolamento de um endpoint.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Adicionar hashes à lista de bloqueio
Use essa ação para adicionar arquivos não listados a uma lista de bloqueio específica.
Parâmetros
Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
---|---|---|---|---|
Comentário | String | N/A | Não | Forneça um comentário adicional que represente mais informações sobre a ação |
Código do incidente | String | N/A | Não | Especifique o ID do incidente a que os hashes adicionados estão relacionados. |
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Resultado do script
Nome do resultado do script | Opções de valor | Exemplo |
---|---|---|
is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
Painel de casos
Tipo de resultado | Valor/descrição | Tipo |
---|---|---|
Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Para entidades adicionadas com sucesso: "As seguintes entidades foram adicionadas à lista de bloqueio: " +successful_entities_list Para entidades sem sucesso: "Não foi possível adicionar as seguintes entidades à lista de bloqueio: "+unsuccessful_entities_list. Se um hash do tipo sem suporte for fornecido (is_success=true): Os seguintes hashes não são compatíveis: {unsupported hashes} Se todos os hashes do tipo sem suporte forem fornecidos (is_success=false): nenhum dos hashes fornecidos é compatível. A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Adicionar comentário ao incidente
Use a ação Adicionar comentário ao incidente para adicionar um comentário a um incidente no Palo Alto Cortex XDR.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Adicionar comentário ao incidente exige os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Incident ID |
Obrigatório. O ID do incidente a ser atualizado. |
Comment |
Obrigatório. O comentário a ser adicionado ao incidente. |
Saídas de ação
A ação Adicionar comentário ao incidente fornece as seguintes saídas:
Tipo de saída da ação | Disponibilidade |
---|---|
Anexo do Painel de Casos | Indisponível |
Link do Painel de Casos | Indisponível |
Tabela do painel de casos | Indisponível |
Tabela de enriquecimento | Indisponível |
Resultado JSON | Indisponível |
Mensagens de saída | Disponível |
Resultado do script | Disponível |
Mensagens de saída
A ação Adicionar comentário ao incidente pode retornar as seguintes mensagens de saída:
Mensagem de resposta | Descrição da mensagem |
---|---|
|
A ação foi concluída. |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário ao incidente:
Nome do resultado do script | Valor |
---|---|
is_success |
True ou False |
Receber detalhes do incidente
Use a ação Receber detalhes do incidente para recuperar informações sobre um incidente no Palo Alto Cortex XDR.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do incidente exige os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Incident ID |
Obrigatório. O ID do incidente a ser retornado. |
Lowest Alert Severity |
Opcional. A gravidade mínima necessária para que um alerta seja incluído. Os valores possíveis são:
O valor padrão é |
Max Alerts To Return |
Opcional. O número máximo de alertas a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Receber detalhes do incidente fornece as seguintes saídas:
Tipo de saída da ação | Disponibilidade |
---|---|
Anexo do Painel de Casos | Indisponível |
Link do Painel de Casos | Indisponível |
Tabela do painel de casos | Indisponível |
Tabela de enriquecimento | Indisponível |
Resultado JSON | Disponível |
Mensagens de saída | Disponível |
Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Receber detalhes do incidente:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
Mensagens de saída
A ação Receber detalhes do incidente pode retornar as seguintes mensagens de saída:
Mensagem de resposta | Descrição da mensagem |
---|---|
|
A ação foi concluída. |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do incidente:
Nome do resultado do script | Valor |
---|---|
is_success |
True ou False |
Executar pesquisa XQL
Use a ação Executar pesquisa XQL para buscar informações usando XQL no Palo Alto Cortex XDR.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar pesquisa XQL requer os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Query |
Obrigatório. A consulta a ser executada no Cortex XDR da Palo Alto. Não forneça |
Time Frame |
Opcional. A consulta a ser executada no Cortex XDR da Palo Alto. Não forneça Os valores possíveis são:
O valor padrão é |
Start Time |
Opcional. O horário de início dos resultados no formato ISO 8601. Se |
End Time |
Opcional. O horário de término dos resultados no formato ISO 8601. Se |
Max Results To Return |
Opcional. A ação vai anexar O valor máximo é O valor padrão é |
Saídas de ação
A ação Executar pesquisa XQL fornece as seguintes saídas:
Tipo de saída da ação | Disponibilidade |
---|---|
Anexo do Painel de Casos | Indisponível |
Link do Painel de Casos | Indisponível |
Tabela do painel de casos | Indisponível |
Tabela de enriquecimento | Indisponível |
Resultado JSON | Disponível |
Mensagens de saída | Disponível |
Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Executar pesquisa XQL:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
Mensagens de saída
A ação Executar pesquisa XQL pode retornar as seguintes mensagens de saída:
Mensagem de resposta | Descrição da mensagem |
---|---|
|
A ação foi concluída. |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar pesquisa XQL:
Nome do resultado do script | Valor |
---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector do Cortex XDR da Palo Alto
Um conector para buscar incidentes do Cortex XDR da Palo Alto Networks e criar alertas com base nos incidentes anexados.
Entradas do conector
O conector do Cortex XDR da Palo Alto exige os seguintes parâmetros:
Parâmetro | Descrição |
---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
PythonProcessTimeout |
Obrigatório. O limite de tempo (em segundos) para o processo do Python executar o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do Palo Alto Cortex XDR. O valor padrão é |
API Key |
Obrigatório. A chave de API do Cortex XDR da Palo Alto. |
Api Key ID |
Obrigatório. O ID correspondente da chave de API para autenticação futura. O valor padrão é |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Palo Alto Cortex XDR. Ativado por padrão. |
Alerts Count Limit |
Opcional. O número máximo de alertas em cada ciclo. O valor padrão é |
Max Days Backwards |
Opcional. O número máximo de dias antes da data atual para o conector extrair dados. Esse parâmetro é usado na execução inicial do conector. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Regras do conector
O conector não é compatível com listas de permissões/proibições.
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.