此页面由 Cloud Translation API 翻译。

Palo Alto Cortex XDR

集成版本：15.0

配置 Palo Alto Cortex XDR 以与 Google Security Operations 搭配使用

凭据

如需获取 Cortex XDR API 密钥，请执行以下操作：

前往 > 设置。
选择 + 新密钥。
选择要生成的 API 密钥类型（高级仅）。
提供说明 API 密钥用途的注释（可选）。
选择此密钥所需的访问权限级别。
生成 API 密钥。
复制该 API 密钥，然后点击完成。

如需获取 Cortex XDR API 密钥 ID，请执行以下操作：

找到 API 密钥表格 > ID 列。
记下相应的 ID 编号。此值表示 x-xdr-auth-id:{key_id} 令牌。

在 Google SecOps 中配置 Palo Alto Cortex XDR 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

集成参数

使用以下参数配置集成：

参数显示名称	类型	默认值	是否为必需参数	说明
API 根	字符串	https://api-{fqdn}	是	Palo Alto Networks Cortex XDR API 根。注意：FQDN 表示与每个租户关联的唯一主机名和域名。生成 API 密钥和密钥 ID 后，系统会为您分配一个单独的 FQDN。
API 密钥	密码	不适用	是	用作“Authorization:{key}”标头的唯一标识符，用于对 API 调用进行身份验证。您可以根据自己的安全级别，从 Cortex XDR 应用中生成高级 API 密钥。
API 密钥 ID	整数	3	是	用于对 API 密钥进行身份验证的唯一令牌。运行 API 调用时使用的标头为“x-xdr-auth-id:{key_id}”。
验证 SSL	复选框	尚未核查	是	用于验证 SSL/TLS 连接的选项。

操作

Ping

测试与 Palo Alto Networks Cortex XDR 的连接。

参数

不适用

使用场景

不适用

Run On

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_connected	True/False	is_connected:False

JSON 结果

N/A

查询

检索特定突发事件的数据，包括提醒和关键制品。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	您要检索数据的事件的 ID。

使用场景

不适用

Run On

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
incident_alerts_count	不适用	不适用

JSON 结果

{
    "file_artifacts":
    {
        "total_count": 2,
        "data": [
            {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "cmd.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }, {
                "file_signature_status": "SIGNATURE_SIGNED",
                "is_process": "true",
                "is_malicious": "false",
                "is_manual": "false",
                "file_name": "WmiPrvSE.exe",
                "file_signature_vendor_name": "Microsoft Corporation",
                "file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
                "type": "HASH",
                "file_wildfire_verdict": "BENIGN",
                "alert_count": 1
            }]},
    "incident": {
        "status": "new",
        "incident_id": "1645",
        "user_count": 1,
        "assigned_user_mail": " ",
        "severity": "high",
        "resolve_comment": " ",
        "assigned_user_pretty_name": " ",
        "notes": " ",
        "creation_time": 1564877575921,
        "alert_count": 1,
        "med_severity_alert_count": 0,
        "detection_time": " ",
        "modification_time": 1564877575921,
        "manual_severity": " ",
        "xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
        "manual_description": " ",
        "low_severity_alert_count": 0,
        "high_severity_alert_count": 1,
        "host_count": 1,
        "description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
    },
    "alerts": {
        "total_count": 1,
        "data": [
            {
                "action_pretty": "Detected",
                "description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
                "host_ip": "10.0.50.31",
                "alert_id": "21631",
                "detection_timestamp": 1564877525123,
                "name": "WMI Lateral Movement",
                "category": "Lateral Movement",
                "severity": "high",
                "source": "BIOC",
                "host_name": "ILCSYS31",
                "action": "DETECTED",
                "user_name": "ILLICIUM\\\\ibojer"
            }]},
    "network_artifacts": {
        "total_count": 0,
        "data": []
    }
}

解决突发事件

能够关闭 XDR 突发事件并提供关闭原因。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	要更新的突发事件的 ID。
状态	列表	UNDER_INVESTIGATION	已更新突发事件状态。
将评论标记为已解决	字符串	不适用	说明突发事件变更的描述性注释。

使用场景

不适用

Run On

此操作会在所有实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

更新突发事件

能够将特定 XDR 突发事件标记为正在调查，并将其分配给指定用户等。

参数

参数	类型	默认值	说明
突发事件 ID	字符串	不适用	要更新的突发事件的 ID。
分配的用户名	字符串	不适用	突发事件指派对象的更新后全名。
严重程度	列表	低	管理员定义的严重程度。
状态	列表	UNDER_INVESTIGATION	已更新突发事件状态。

使用场景

不适用

Run On

此操作在网址实体上运行。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

丰富实体

根据 Palo Alto Networks Cortex XDR 中的信息丰富 Google SecOps 主机和 IP 实体。

参数

不适用

使用场景

不适用

Run On

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

扩充项字段名称	逻辑 - 应用场景
域名	如果存在于 JSON 结果中，则返回
endpoint_name	如果存在于 JSON 结果中，则返回
endpoint_type	如果存在于 JSON 结果中，则返回
ip	如果存在于 JSON 结果中，则返回
endpoint_version	如果存在于 JSON 结果中，则返回
install_date	如果存在于 JSON 结果中，则返回
installation_package	如果存在于 JSON 结果中，则返回
is_isolated	如果存在于 JSON 结果中，则返回
group_name	如果存在于 JSON 结果中，则返回
alias	如果存在于 JSON 结果中，则返回
active_directory	如果存在于 JSON 结果中，则返回
endpoint_status	如果存在于 JSON 结果中，则返回
endpoint_id	如果存在于 JSON 结果中，则返回
content_version	如果存在于 JSON 结果中，则返回
os_type	如果存在于 JSON 结果中，则返回
last_seen	如果存在于 JSON 结果中，则返回
first_seen	如果存在于 JSON 结果中，则返回
用户	如果存在于 JSON 结果中，则返回

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[{
    "EntityResult":
       {
         "domain": "st2.local",
         "endpoint_name": "ST2-PC-1-14",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "ip": null,
         "endpoint_version": "6.1.0.9915",
         "install_date": 1568103207592,
         "installation_package": "papi-test",
         "is_isolated": null,
         "group_name": null,
         "alias": "",
         "active_directory": null,
         "endpoint_status": "DISCONNECTED",
         "endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
         "content_version": "",
         "os_type": "AGENT_OS_WINDOWS",
         "last_seen": 1568103207592,
         "first_seen": 1568103207591,
         "users": ["TEST USER"]
        },
    "Entity": "PC01"
 }]

获取端点代理报告

获取端点的代理报告。

参数

不适用

使用场景

不适用

Run On

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

隔离端点

隔离端点。

参数

不适用

使用场景

不适用

Run On

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

取消隔离端点

取消隔离端点。

参数

不适用

使用场景

不适用

Run On

此操作适用于以下实体：

IP 地址
主机名

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

N/A

将哈希添加到屏蔽名单

使用此操作可将未列出的文件添加到指定的屏蔽名单中。

参数

参数显示名称	类型	默认值	是必填字段	说明
评论	字符串	不适用	否	提供表示与操作相关的其他信息的其他注释
突发事件 ID	字符串	不适用	否	指定所添加的哈希值所关联的事件 ID

Run On

此操作在 Filehash 实体上运行

操作执行结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{

"success": ["hashes that were added"],

"already_existed": ["hashes that already existed"]

"failed": ["hashes that failed"]

"unsupported": ["unsupported hashes"]

}

案例墙

结果类型	值/说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：对于成功添加的实体：“已成功将以下实体添加到屏蔽名单：”+successful_entities_list 对于未成功添加的实体：“无法将以下实体添加到屏蔽列表中：”+unsuccessful_entities_list。如果提供了一个不受支持的哈希（is_success=true）：以下哈希值不受支持：{unsupported hashes} 如果提供了所有不受支持的类型的哈希值 (is_success=false)：则表示所提供的哈希值均不受支持。该操作应失败并停止 playbook 执行： “Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)	常规

结果类型

值/说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

对于成功添加的实体：“已成功将以下实体添加到屏蔽名单：”+successful_entities_list

对于未成功添加的实体：“无法将以下实体添加到屏蔽列表中：”+unsuccessful_entities_list。

如果提供了一个不受支持的哈希（is_success=true）：

以下哈希值不受支持：{unsupported hashes}

如果提供了所有不受支持的类型的哈希值 (is_success=false)：则表示所提供的哈希值均不受支持。

该操作应失败并停止 playbook 执行：
“Failed to perform action "Add Hashes to Blacklist" {0}".format(exception.stacktrace)

常规

向突发事件添加评论

使用 Add Comment To Incident 操作向 Palo Alto Cortex XDR 中的事件添加评论。

此操作不适用于 Google SecOps 实体。

操作输入

向突发事件添加注释操作需要以下参数：

参数说明

参数	说明
`Incident ID`	必填。要更新的突发事件的 ID。
`Comment`	必填。要添加到事件的评论。

Incident ID

必填。

要更新的突发事件的 ID。

Comment

必填。

要添加到事件的评论。

操作输出

向突发事件添加评论操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

向突发事件添加评论操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.`	操作成功。
`Error executing action "Add Comment To Incident". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully added a comment to an incident with ID COMMENT_ID in Palo Alto XDR.

操作成功。

Error executing action "Add Comment To Incident". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用向突发事件添加评论操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取突发事件详情

使用 Get Incident Details 操作检索 Palo Alto Cortex XDR 中事件的相关信息。

此操作不适用于 Google SecOps 实体。

操作输入

获取突发事件详情操作需要以下参数：

参数说明

参数	说明
`Incident ID`	必填。要返回的突发事件的 ID。
`Lowest Alert Severity`	可选。纳入提醒所需的最低提醒严重程度。可能的值如下： `Critical` `High` `Medium` `Low` 默认值为 `High`。
`Max Alerts To Return`	可选。要返回的提醒数量上限。最大值为 `1000`。默认值为 `50`。

Incident ID

必填。

要返回的突发事件的 ID。

Lowest Alert Severity

可选。

纳入提醒所需的最低提醒严重程度。

可能的值如下：

Critical
High
Medium
Low

默认值为 High。

Max Alerts To Return

可选。

要返回的提醒数量上限。

最大值为 1000。

默认值为 50。

操作输出

获取突发事件详情操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用获取突发事件详情操作时收到的 JSON 结果输出：

{
    "incident_id": "146408",
    "is_blocked": false,
    "incident_name": null,
    "creation_time": 1756265930000,
    "modification_time": 1756265938000,
    "detection_time": null,
    "status": "new",
    "severity": "medium",
    "description": "'PHP XDebug Session Detection' generated by PAN NGFW",
    "assigned_user_mail": null,
    "assigned_user_pretty_name": null,
    "alert_count": 1,
    "low_severity_alert_count": 0,
    "med_severity_alert_count": 1,
    "high_severity_alert_count": 0,
    "critical_severity_alert_count": 0,
    "user_count": 0,
    "host_count": 0,
    "notes": null,
    "resolve_comment": null,
    "resolved_timestamp": null,
    "manual_severity": null,
    "manual_description": null,
    "xdr_url": "https://xyz.com/incident-view?caseId=146408",
    "starred": true,
    "starred_manually": false,
    "hosts": null,
    "users": [],
    "incident_sources": [
        "PAN NGFW"
    ],
    "rule_based_score": null,
    "predicted_score": 40,
    "manual_score": null,
    "aggregated_score": 40,
    "wildfire_hits": 0,
    "alerts_grouping_status": "Enabled",
    "mitre_tactics_ids_and_names": null,
    "mitre_techniques_ids_and_names": null,
    "alert_categories": [
        "Vulnerability"
    ],
    "original_tags": [
        "DS:PANW/NGFW"
    ],
    "tags": [
        "DS:PANW/NGFW"
    ],
    "network_artifacts": {
        "total_count": 1,
        "data": [
            {
                "type": "IP",
                "alert_count": 1,
                "is_manual": false,
                "network_domain": null,
                "network_remote_ip": "0.0.0.0",
                "network_remote_port": 500,
                "network_country": "JP"
            }
        ]
    },
    "file_artifacts": {
        "total_count": 0,
        "data": []
    },
    "alerts": [
        {
            "external_id": "7540915192461269271",
            "severity": "medium",
            "matching_status": "UNMATCHABLE",
            "end_match_attempt_ts": null,
            "local_insert_ts": 1756265929231,
            "last_modified_ts": null,
            "bioc_indicator": null,
            "matching_service_rule_id": null,
            "attempt_counter": 0,
            "bioc_category_enum_key": null,
            "case_id": 146408,
            "is_whitelisted": false,
            "starred": true,
            "deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
            "filter_rule_id": null,
        }
    ]
}

输出消息

获取突发事件详情操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.`	操作成功。
`Error executing action "Get Incident Details". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned information about incident with ID INCIDENT_ID in Palo Alto XDR.

操作成功。

Error executing action "Get Incident Details". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用获取突发事件详情操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

执行 XQL 搜索

使用 Execute XQL Search 操作在 Palo Alto Cortex XDR 中使用 XQL 获取信息。

此操作不适用于 Google SecOps 实体。

操作输入

执行 XQL 搜索操作需要以下参数：

参数	说明
`Query`	必填。要在 Palo Alto Cortex XDR 中执行的查询。请勿在查询中提供 `limit`。该操作从 `Max Results To Return` 中检索此值。
`Time Frame`	可选。要在 Palo Alto Cortex XDR 中执行的查询。请勿在查询中提供 `limit`。该操作从 `Max Results To Return` 中检索此值。可能的值如下： `Last Hour` `Last 6 Hours` `Last 24 Hours` `Last Week` `Last Month` `Custom` 默认值为 `Last Hour`。
`Start Time`	可选。结果的开始时间，采用 ISO 8601 格式。如果为 `Time Frame` 选择 `Custom`，则此参数是必需的。
`End Time`	可选。结果的结束时间，采用 ISO 8601 格式。如果为 `Time Frame` 选择 `Custom`，但未提供任何值，则操作将使用当前时间。
`Max Results To Return`	可选。该操作会将 `limit` 附加到提供的查询中。最大值为 `1000`。默认值为 `50`。

操作输出

执行 XQL 搜索操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用 执行 XQL 搜索操作时收到的 JSON 结果输出：

{
    "events": [
        {
            "event_id": "AAABmRQvChTmouboArIcKg==",
            "_product": "XDR agent",
            "_time": 1756980296509,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        },
        {
            "event_id": "AAABmRQtb2XmouboArIb1g==",
            "_product": "XDR agent",
            "_time": 1756980191374,
            "_vendor": "PANW",
            "insert_timestamp": 1756980477113,
            "event_type": "NETWORK",
            "event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
        }
    ]
}

输出消息

执行 XQL 搜索操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned results for the query QUERY in Palo Alto XDR.` `No results were found for the query QUERY in Palo Alto XDR.` `Waiting for the search job to finish…`	操作成功。
`Error executing action "Execute XQL Search". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned results for the query QUERY in Palo Alto XDR.

No results were found for the query QUERY in Palo Alto XDR.

Waiting for the search job to finish…

操作成功。

Error executing action "Execute XQL Search". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Execute XQL Search 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

扫描端点

使用 Scan Endpoint 操作扫描 Palo Alto Cortex XDR 中的端点。

此操作适用于以下 Google SecOps 实体：

IP Address
Hostname

操作输入

扫描端点操作需要以下参数：

参数说明

参数	说明
`Incident ID`	可选。要与扫描活动关联的突发事件的 ID，以便结果显示在突发事件时间轴中。

Incident ID

可选。

要与扫描活动关联的突发事件的 ID，以便结果显示在突发事件时间轴中。

操作输出

扫描端点操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

输出消息

扫描端点操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID` `The scan didn't complete for all of the provided endpoints in Palo Alto XDR.`	操作成功。
`Error executing action "Scan Endpoint". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully scanned the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for the following endpoints in Palo Alto XDR: ENTITY_ID

The scan didn't complete for all of the provided endpoints in Palo Alto XDR.

操作成功。

Error executing action "Scan Endpoint". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

JSON 结果

以下示例展示了使用 扫描端点操作时收到的 JSON 结果输出：

[
   {
      "Entity": "192.168.1.10",
      "EntityResult": {
         "endpoint_id": "a0b1c2d3e4f5g6h7i8j9k0l1m2n3o4p5",
         "endpoint_name": "PLACEHOLDER-SERVER-NAME",
         "endpoint_type": "AGENT_TYPE_SERVER",
         "endpoint_status": "CONNECTED",
         "os_type": "AGENT_OS_WINDOWS",
         "os_version": "10.0.yyyy",
         "ip": [
            "192.168.1.10"
         ],
         "ipv6": [],
         "public_ip": "203.0.113.45",
         "users": [],
         "domain": "WORKGROUP",
         "alias": "",
         "first_seen": 1680000000000,
         "last_seen": 1760000000000,
         "content_version": "YYYY-ZZZZZ",
         "installation_package": "PLACEHOLDER-PACKAGE",
         "active_directory": [],
         "install_date": 1680000000000,
         "endpoint_version": "X.Y.Z.W",
         "is_isolated": "AGENT_UNISOLATED",
         "isolated_date": null,
         "group_name": [
            "PLACEHOLDER-GROUP"
         ],
         "operational_status": "PROTECTED",
         "operational_status_description": "[]",
         "operational_status_details": [],
         "scan_status": "SCAN_STATUS_PENDING",
         "content_release_timestamp": 1760000000000,
         "last_content_update_time": 1760000000000,
         "operating_system": "Windows Server PLACEHOLDER",
         "mac_address": [
            "00:1A:2B:3C:4D:5E"
         ],
         "assigned_prevention_policy": "PLACEHOLDER-POLICY",
         "assigned_extensions_policy": "Windows Default",
         "token_hash": "ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff",
         "tags": {
            "server_tags": [
               "PLACEHOLDER-TAG"
            ],
            "endpoint_tags": []
         },
         "content_status": "UP_TO_DATE"
      }
   }
]

脚本结果

下表列出了使用 Scan Endpoint 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅注入数据（连接器）。

Palo Alto Cortex XDR 连接器

使用此连接器从 Palo Alto Cortex XDR 中提取事件。

连接器输入源

Palo Alto Cortex XDR 连接器需要以下参数：

参数	说明
`Product Field Name`	必填。存储商品名称的字段的名称。商品名称主要会影响映射。为了简化和改进连接器的映射流程，默认值会解析为从代码引用的回退值。默认情况下，此参数的任何无效输入都会解析为回退值。默认值为 `Product Name`。
`Event Field Name`	必填。用于确定事件名称（子类型）的字段的名称。默认值为 `event_type`。
`Script Timeout (Seconds)`	必填。 Python 进程运行当前脚本的超时限制（以秒为单位）。默认值为 `60`。
`API Root`	必填。 Palo Alto Cortex XDR 实例的 API 根。默认值为 `https://api-{fqdn}`。
`API Key`	必填。 Palo Alto Cortex XDR API 密钥。
`Api Key ID`	必填。相应 API 密钥的 ID，用于日后进行身份验证。默认值为 `3`。
`Verify SSL`	可选。如果选中此选项，集成会在连接到 Palo Alto Cortex XDR 服务器时验证 SSL 证书。默认处于启用状态。
`Alerts Count Limit`	可选。每个周期内的提醒数量上限。默认值为 `10`。
`Max Days Backwards`	可选。连接器检索数据时，距离当前日期的最大天数。此参数用于连接器的初始运行。默认值为 `1`。
`Environment Field Name`	可选。存储环境名称的字段的名称。如果缺少环境字段，连接器将使用默认值。默认值为 `""`。
`Environment Regex Pattern`	可选。要对 `Environment Field Name` 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。使用默认值 `.*` 可检索所需的原始 `Environment Field Name` 值。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
`Proxy Server Address`	可选。要使用的代理服务器的地址。
`Proxy Username`	可选。用于进行身份验证的代理用户名。
`Proxy Password`	可选。用于进行身份验证的代理密码。
`Status Filter`	可选。以英文逗号分隔的连接器要注入的提醒状态列表。如果未提供值，连接器会默认提取状态为 `New` 和 `Under Investigation` 的提醒。可能的值如下： `New` `Under Investigation` `Resolved`
`Split Incident Alerts`	可选。如果选择此选项，连接器会分离单个来源突发事件中的各个提醒，并为每个提醒创建不同的 SOAR 提醒。默认情况下未启用。
`Lowest Alert Severity To Fetch`	可选。要检索的提醒的最低严重程度。如果未提供值，连接器会注入所有严重程度级别的提醒。 `Lowest Incident SmartScore To Fetch` 用作主要过滤条件。如果事件的得分达到此阈值，系统将处理所有关联的提醒，无论其各自的严重程度过滤条件设置如何。可能的值如下： `Low` `Medium` `High` `Critical`
`Lowest Incident Severity To Fetch`	可选。要提取的事件的最低 SmartScore（0 到 100）。此过滤条件独立于严重程度过滤条件运行。如果未提供任何值，系统会忽略 SmartScore 过滤条件。
`Lowest Incident SmartScore To Fetch`	可选。要检索的突发事件的最低严重程度。如果未提供值，连接器会注入所有严重程度级别的突发事件。可能的值如下： `Low` `Medium` `High` `Critical`
`Use dynamic list as a blocklist`	必填。如果选中此选项，连接器会将动态列表用作屏蔽列表。默认情况下未启用。
`Disable Overflow`	可选。如果选中此选项，连接器会忽略 Google SecOps 溢出机制。默认处于启用状态。

连接器规则

连接器不支持白名单/黑名单。

连接器支持代理。