此页面由 Cloud Translation API 翻译。

Palo Alto Cortex XDR

集成版本：15.0

配置 Palo Alto Cortex XDR 以与 Google Security Operations 搭配使用

凭据

如需获取 Cortex XDR API 密钥，请执行以下操作：

前往 > 设置。
选择 + 新密钥。
选择要生成的 API 密钥类型（高级仅）。
提供说明 API 密钥用途的注释（可选）。
选择此密钥所需的访问权限级别。
生成 API 密钥。
复制该 API 密钥，然后点击完成。

如需获取 Cortex XDR API 密钥 ID，请执行以下操作：

找到 API Keys 表格 > ID 列。
记下相应的 ID 编号。此值表示 x-xdr-auth-id:{key_id} 令牌。

在 Google SecOps 中配置 Palo Alto Cortex XDR 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

集成参数

使用以下参数配置集成：

参数显示名称	类型	默认值	为必需参数	说明
API 根	字符串	https://api-{fqdn}	是	Palo Alto Networks Cortex XDR API 根。注意：FQDN 表示与每个租户关联的唯一主机名和域名。生成 API 密钥和密钥 ID 后，系统会为您分配一个单独的 FQDN。
API 密钥	密码	不适用	是	用作“Authorization:{key}”标头的唯一标识符，用于对 API 调用进行身份验证。您可以根据安全级别从 Cortex XDR 应用中生成高级 API 密钥。
API 密钥 ID	整数	3	是	用于对 API 密钥进行身份验证的唯一令牌。运行 API 调用时使用的标头为“x-xdr-auth-id:{key_id}”。
验证 SSL	复选框	尚未核查	是	用于验证 SSL/TLS 连接的选项。

操作

Ping

测试与 Palo Alto Networks Cortex XDR 的连接。

参数

不适用

使用场景

不适用

运行于

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_connected	True/False	is_connected:False

JSON 结果

N/A

查询

检索特定事件的数据，包括提醒和关键制品。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	您要检索数据的事件的 ID。

使用场景

不适用

运行于

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
incident_alerts_count	不适用	不适用

JSON 结果

{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

解决突发事件

能够关闭 XDR 突发事件并提供关闭原因。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	要更新的突发事件的 ID。
状态	列表	UNDER_INVESTIGATION	已更新突发事件状态。
将评论标记为已解决	字符串	不适用	说明突发事件变更的描述性注释。

使用场景

不适用

运行于

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

更新突发事件

能够将特定 XDR 突发事件标记为正在调查，并将其分配给指定用户等。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	要更新的突发事件的 ID。
分配的用户名	字符串	不适用	事件指派对象的更新后的全名。
严重程度	列表	低	管理员定义的严重程度。
状态	列表	UNDER_INVESTIGATION	已更新突发事件状态。

使用场景

不适用

运行于

此操作在网址实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

丰富实体

根据 Palo Alto Networks Cortex XDR 中的信息丰富 Google SecOps 主机和 IP 实体。

参数

不适用

使用场景

不适用

运行于

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

扩充项字段名称	逻辑 - 应用场景
域名	返回 JSON 结果中是否存在相应值
endpoint_name	返回 JSON 结果中是否存在相应值
endpoint_type	返回 JSON 结果中是否存在相应值
ip	返回 JSON 结果中是否存在相应值
endpoint_version	返回 JSON 结果中是否存在相应值
install_date	返回 JSON 结果中是否存在相应值
installation_package	返回 JSON 结果中是否存在相应值
is_isolated	返回 JSON 结果中是否存在相应值
group_name	返回 JSON 结果中是否存在相应值
alias	返回 JSON 结果中是否存在相应值
active_directory	返回 JSON 结果中是否存在相应值
endpoint_status	返回 JSON 结果中是否存在相应值
endpoint_id	返回 JSON 结果中是否存在相应值
content_version	返回 JSON 结果中是否存在相应值
os_type	返回 JSON 结果中是否存在相应值
last_seen	返回 JSON 结果中是否存在相应值
first_seen	返回 JSON 结果中是否存在相应值
用户	返回 JSON 结果中是否存在相应值

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

获取端点代理报告

获取端点的代理报告。

参数

不适用

使用场景

不适用

运行于

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

隔离端点

隔离端点。

参数

不适用

使用场景

不适用

运行于

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

取消隔离端点

取消隔离端点。

参数

不适用

使用场景

不适用

运行于

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

将哈希添加到屏蔽名单

使用此操作可将未列出的文件添加到指定的屏蔽列表中。

参数

参数显示名称	类型	默认值	是必填字段	说明
评论	字符串	不适用	否	提供表示与操作相关的其他信息的其他注释
突发事件 ID	字符串	不适用	否	指定所添加的哈希值所关联的事件 ID

运行于

此操作在 Filehash 实体上运行

操作执行结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}

案例墙

结果类型	值/说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：对于成功添加的实体：“已成功将以下实体添加到屏蔽名单：”+successful_entities_list 对于未成功添加的实体：“无法将以下实体添加到屏蔽列表：”+unsuccessful_entities_list。如果提供了一个不受支持的哈希（is_success=true）：以下哈希值不受支持：{unsupported hashes} 如果提供了所有不支持的类型的哈希值 (is_success=false)：则表示提供的所有哈希值都不受支持。该操作应失败并停止 playbook 执行： “Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)	常规

结果类型

值/说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

对于成功添加的实体：“已成功将以下实体添加到屏蔽名单：”+successful_entities_list

对于未成功添加的实体：“无法将以下实体添加到屏蔽列表：”+unsuccessful_entities_list。

如果提供了一个不受支持的哈希（is_success=true）：

以下哈希值不受支持：{unsupported hashes}

如果提供了所有不支持的类型的哈希值 (is_success=false)：则表示提供的所有哈希值都不受支持。

该操作应失败并停止 playbook 执行：
“Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)

常规

向突发事件添加评论

使用 Add Comment To Incident 操作向 Palo Alto Cortex XDR 中的事件添加评论。

此操作不适用于 Google SecOps 实体。

操作输入

向突发事件添加注释操作需要以下参数：

参数说明

参数	说明
`Incident ID`	必填。要更新的突发事件的 ID。
`Comment`	必填。要添加到突发事件的评论。

Incident ID

必填。

要更新的突发事件的 ID。

Comment

必填。

要添加到突发事件的评论。

操作输出

向突发事件添加评论操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

向突发事件添加评论操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.`	操作成功。
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

操作成功。

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用向突发事件添加注释操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取突发事件详情

使用 Get Incident Details 操作检索 Palo Alto Cortex XDR 中事件的相关信息。

此操作不适用于 Google SecOps 实体。

操作输入

获取突发事件详情操作需要以下参数：

参数说明

参数	说明
`Incident ID`	必填。要返回的突发事件的 ID。
`Lowest Alert Severity`	可选。纳入提醒所需的最低提醒严重程度。可能的值如下： `Critical` `High` `Medium` `Low` 默认值为 `High`。
`Max Alerts To Return`	可选。要返回的提醒数量上限。最大值为`1000`。默认值为 `50`。

Incident ID

必填。

要返回的突发事件的 ID。

Lowest Alert Severity

可选。

纳入提醒所需的最低提醒严重程度。

可能的值如下：

Critical
High
Medium
Low

默认值为 High。

Max Alerts To Return

可选。

要返回的提醒数量上限。

最大值为1000。

默认值为 50。

操作输出

获取突发事件详情操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用获取突发事件详情操作时收到的 JSON 结果输出：

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}

输出消息

获取突发事件详情操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.`	操作成功。
`Error executing action "Get Incident Details". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

操作成功。

Error executing action "Get Incident Details". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用获取突发事件详情操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

执行 XQL 搜索

使用 Execute XQL Search 操作在 Palo Alto Cortex XDR 中使用 XQL 获取信息。

此操作不适用于 Google SecOps 实体。

操作输入

执行 XQL 搜索操作需要以下参数：

参数	说明
`Query`	必填。要在 Palo Alto Cortex XDR 中执行的查询。请勿在查询中提供 `limit`。该操作从 `Max Results To Return` 中检索此值。
`Time Frame`	可选。要在 Palo Alto Cortex XDR 中执行的查询。请勿在查询中提供 `limit`。该操作从 `Max Results To Return` 中检索此值。可能的值如下： `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` 默认值为 `Last Hour`。
`Start Time`	可选。结果的开始时间，采用 ISO 8601 格式。如果为 `Time Frame` 选择 `Custom`，则此参数是必需的。
`End Time`	可选。结果的结束时间，采用 ISO 8601 格式。如果为 `Time Frame` 选择 `Custom`，但未提供任何值，则操作将使用当前时间。
`Max Results To Return`	可选。该操作会将 `limit` 附加到提供的查询中。最大值为`1000`。默认值为 `50`。

操作输出

执行 XQL 搜索操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用 执行 XQL 搜索操作时收到的 JSON 结果输出：

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}

输出消息

执行 XQL 搜索操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned results for the query QUERY in Palo Alto XDR.` `No results were found for the query QUERY in Palo Alto XDR.` `Waiting for the search job to finish…`	操作成功。
`Error executing action "Execute XQL Search". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

操作成功。

Error executing action "Execute XQL Search". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Execute XQL Search 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅注入数据（连接器）。

Palo Alto Cortex XDR 连接器

一种用于从 Palo Alto Networks Cortex XDR 获取安全事件并根据附加的安全事件创建提醒的连接器。

连接器输入

Palo Alto Cortex XDR 连接器需要以下参数：

参数	说明
`Product Field Name`	必填。存储商品名称的字段的名称。商品名称主要会影响映射。为了简化和改进连接器的映射流程，默认值会解析为代码中引用的回退值。默认情况下，此参数的任何无效输入都会解析为回退值。默认值为 `Product Name`。
`Event Field Name`	必填。用于确定事件名称（子类型）的字段的名称。默认值为 `event_type`。
`PythonProcessTimeout`	必填。 Python 进程运行当前脚本的超时时间限制（以秒为单位）。默认值为 `60`。
`API Root`	必填。 Palo Alto Cortex XDR 实例的 API 根。默认值为 `https://api-{fqdn}`。
`API Key`	必填。 Palo Alto Cortex XDR API 密钥。
`Api Key ID`	必填。相应 API 密钥的 ID，用于日后进行身份验证。默认值为 `3`。
`Verify SSL`	可选。如果选择此项，集成会在连接到 Palo Alto Cortex XDR 服务器时验证 SSL 证书。默认处于启用状态。
`Alerts Count Limit`	可选。每个周期内的提醒数量上限。默认值为 `10`。
`Max Days Backwards`	可选。连接器检索数据时，距离当前日期的最大天数。此参数用于连接器的初始运行。默认值为 `1`。
`Environment Field Name`	可选。存储环境名称的字段的名称。如果缺少环境字段，连接器将使用默认值。默认值为 `""`。
`Environment Regex Pattern`	可选。要对 `Environment Field Name` 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。使用默认值 `.*` 可检索所需的原始 `Environment Field Name` 值。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
`Proxy Server Address`	可选。要使用的代理服务器的地址。
`Proxy Username`	可选。用于进行身份验证的代理用户名。
`Proxy Password`	可选。用于进行身份验证的代理密码。

连接器规则

连接器不支持白名单/黑名单。

连接器支持代理。