Palo Alto Cortex XDR
整合版本:15.0
設定 Palo Alto Cortex XDR,以便與 Google Security Operations 搭配使用
憑證
取得 Cortex XDR API 金鑰的方法如下:
- 前往「設定」。
- 選取「+ 新金鑰」。
- 選擇要產生的 API 金鑰類型 (「進階」「僅限」)。
- 提供說明 API 金鑰用途的註解 (選用)。
- 選取這個金鑰的所需存取層級。
- 產生 API 金鑰。
- 複製 API 金鑰,然後按一下「完成」。
如要取得 Cortex XDR API 金鑰 ID,請按照下列步驟操作:
- 前往「API Keys」表格 >「ID」欄。
- 記下對應的 ID 編號。這個值代表 x-xdr-auth-id:{key_id} 權杖。
在 Google SecOps 中設定 Palo Alto Cortex XDR 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://api-{fqdn} | 是 | Palo Alto Networks Cortex XDR API 根層級。注意:FQDN 代表與每個租戶相關聯的專屬主機和網域名稱。產生 API 金鑰和金鑰 ID 時,系統會指派個別的 FQDN。 |
| API 金鑰 | 密碼 | 不適用 | 是 | 專屬 ID,用做驗證 API 呼叫時所需的「Authorization:{key}」標頭。視安全等級而定,您可以從 Cortex XDR 應用程式產生進階 API 金鑰。 |
| API 金鑰 ID | 整數 | 3 | 是 | 用於驗證 API 金鑰的專屬權杖。執行 API 呼叫時使用的標頭為「x-xdr-auth-id:{key_id}」。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 可驗證 SSL/TLS 連線。 |
動作
乒乓
測試與 Palo Alto Networks Cortex XDR 的連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 結果
N/A
查詢
擷取特定事件的資料,包括快訊和重要構件。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 要擷取資料的事件 ID。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| incident_alerts_count | 不適用 | 不適用 |
JSON 結果
{
"file_artifacts":
{
"total_count": 2,
"data": [
{
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "cmd.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "6f88fb88ffb0f1d5465c2826e5b4f523598b1b8378377c8378ffebc171bad18b",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}, {
"file_signature_status": "SIGNATURE_SIGNED",
"is_process": "true",
"is_malicious": "false",
"is_manual": "false",
"file_name": "WmiPrvSE.exe",
"file_signature_vendor_name": "Microsoft Corporation",
"file_sha256": "25dfb8168246e5d04dd6f124c95e4c4c4e8273503569acd5452205558d099871",
"type": "HASH",
"file_wildfire_verdict": "BENIGN",
"alert_count": 1
}]},
"incident": {
"status": "new",
"incident_id": "1645",
"user_count": 1,
"assigned_user_mail": " ",
"severity": "high",
"resolve_comment": " ",
"assigned_user_pretty_name": " ",
"notes": " ",
"creation_time": 1564877575921,
"alert_count": 1,
"med_severity_alert_count": 0,
"detection_time": " ",
"modification_time": 1564877575921,
"manual_severity": " ",
"xdr_url": "https://ac997a94-5e93-40ea-82d9-6a615038620b.xdr.us.paloaltonetworks.com/incident-view/1645",
"manual_description": " ",
"low_severity_alert_count": 0,
"high_severity_alert_count": 1,
"host_count": 1,
"description": "WMI Lateral Movement generated by BIOC detected on host ILCSYS31 involving user ILLICIUM\\\\ibojer"
},
"alerts": {
"total_count": 1,
"data": [
{
"action_pretty": "Detected",
"description": "Process action type = execution AND name = cmd.exe Process name = wmiprvse.exe, cgo name = wmiprvse.exe",
"host_ip": "10.0.50.31",
"alert_id": "21631",
"detection_timestamp": 1564877525123,
"name": "WMI Lateral Movement",
"category": "Lateral Movement",
"severity": "high",
"source": "BIOC",
"host_name": "ILCSYS31",
"action": "DETECTED",
"user_name": "ILLICIUM\\\\ibojer"
}]},
"network_artifacts": {
"total_count": 0,
"data": []
}
}
解決事件
能夠關閉 XDR 事件,並提供關閉原因。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 要更新的事件 ID。 |
| 狀態 | 清單 | UNDER_INVESTIGATION | 更新事件狀態。 |
| 解決註解 | 字串 | 不適用 | 說明事件變更的描述性註解。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
更新事件
可將特定 XDR 事件設為調查中、指派給指定使用者等。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 要更新的事件 ID。 |
| 已指派的使用者名稱 | 字串 | 不適用 | 事件指派對象的更新全名。 |
| 嚴重性 | 清單 | 低 | 管理員定義的嚴重程度。 |
| 狀態 | 清單 | UNDER_INVESTIGATION | 更新事件狀態。 |
用途
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
充實實體
根據 Palo Alto Networks Cortex XDR 的資訊,擴充 Google SecOps 主機和 IP 實體。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| endpoint_name | 如果 JSON 結果中存在該值,則傳回該值 |
| endpoint_type | 如果 JSON 結果中存在該值,則傳回該值 |
| ip | 如果 JSON 結果中存在該值,則傳回該值 |
| endpoint_version | 如果 JSON 結果中存在該值,則傳回該值 |
| install_date | 如果 JSON 結果中存在該值,則傳回該值 |
| installation_package | 如果 JSON 結果中存在該值,則傳回該值 |
| is_isolated | 如果 JSON 結果中存在該值,則傳回該值 |
| group_name | 如果 JSON 結果中存在該值,則傳回該值 |
| 別名 | 如果 JSON 結果中存在該值,則傳回該值 |
| active_directory | 如果 JSON 結果中存在該值,則傳回該值 |
| endpoint_status | 如果 JSON 結果中存在該值,則傳回該值 |
| 端點 ID | 如果 JSON 結果中存在該值,則傳回該值 |
| content_version | 如果 JSON 結果中存在該值,則傳回該值 |
| os_type | 如果 JSON 結果中存在該值,則傳回該值 |
| last_seen | 如果 JSON 結果中存在該值,則傳回該值 |
| first_seen | 如果 JSON 結果中存在該值,則傳回該值 |
| 使用者 | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"domain": "st2.local",
"endpoint_name": "ST2-PC-1-14",
"endpoint_type": "AGENT_TYPE_SERVER",
"ip": null,
"endpoint_version": "6.1.0.9915",
"install_date": 1568103207592,
"installation_package": "papi-test",
"is_isolated": null,
"group_name": null,
"alias": "",
"active_directory": null,
"endpoint_status": "DISCONNECTED",
"endpoint_id": "4ce98b4d8d2b45a9a1d82dc71f0d1304",
"content_version": "",
"os_type": "AGENT_OS_WINDOWS",
"last_seen": 1568103207592,
"first_seen": 1568103207591,
"users": ["TEST USER"]
},
"Entity": "PC01"
}]
取得端點代理程式報表
取得端點的代理程式報告。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
隔離端點
隔離端點。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
取消隔離端點
取消隔離端點。
參數
不適用
用途
不適用
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
將雜湊值新增至封鎖清單
使用這項動作將未列出的檔案新增至指定封鎖清單。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 註解 | 字串 | 不適用 | 否 | 提供額外註解,代表與動作相關的其他資訊 |
| 事件 ID | 字串 | 不適用 | 否 | 指定新增雜湊值所屬的事件 ID |
執行時間
這項動作會對 Filehash 實體執行
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"success": ["hashes that were added"],
"already_existed": ["hashes that already existed"]
"failed": ["hashes that failed"]
"unsupported": ["unsupported hashes"]
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 成功新增的實體:「已成功將下列實體新增至封鎖清單:」+successful_entities_list 對於未成功加入封鎖名單的實體:「無法將下列實體加入封鎖名單:」+unsuccessful_entities_list。 如果提供不受支援類型的雜湊 (is_success=true): 系統不支援下列雜湊:{unsupported hashes} 如果提供的雜湊皆為不支援的類型 (is_success=false):系統不支援任何提供的雜湊。 動作應會失敗並停止執行應對手冊: |
一般 |
為事件新增註解
使用「Add Comment To Incident」(在事件中新增註解) 動作,在 Palo Alto Cortex XDR 的事件中新增註解。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Add Comment To Incident」(在事件中新增留言) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident ID |
必填。 要更新的事件 ID。 |
Comment |
必填。 要新增至事件的註解。 |
動作輸出內容
「Add Comment To Incident」(在事件中新增註解) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Add Comment To Incident」(在事件中新增留言) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Comment To Incident". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Add Comment To Incident」(在事件中新增留言) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得事件詳細資料
使用「Get Incident Details」動作,擷取 Palo Alto Cortex XDR 中事件的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得事件詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident ID |
必填。 要傳回的事件 ID。 |
Lowest Alert Severity |
選填。 快訊必須達到這個嚴重程度,才會納入報表。 可能的值如下:
預設值為 |
Max Alerts To Return |
選填。 要傳回的快訊數量上限。 上限為 預設值為 |
動作輸出內容
「Get Incident Details」(取得事件詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「取得事件詳細資料」動作時收到的 JSON 結果輸出內容:
{
"incident_id": "146408",
"is_blocked": false,
"incident_name": null,
"creation_time": 1756265930000,
"modification_time": 1756265938000,
"detection_time": null,
"status": "new",
"severity": "medium",
"description": "'PHP XDebug Session Detection' generated by PAN NGFW",
"assigned_user_mail": null,
"assigned_user_pretty_name": null,
"alert_count": 1,
"low_severity_alert_count": 0,
"med_severity_alert_count": 1,
"high_severity_alert_count": 0,
"critical_severity_alert_count": 0,
"user_count": 0,
"host_count": 0,
"notes": null,
"resolve_comment": null,
"resolved_timestamp": null,
"manual_severity": null,
"manual_description": null,
"xdr_url": "https://xyz.com/incident-view?caseId=146408",
"starred": true,
"starred_manually": false,
"hosts": null,
"users": [],
"incident_sources": [
"PAN NGFW"
],
"rule_based_score": null,
"predicted_score": 40,
"manual_score": null,
"aggregated_score": 40,
"wildfire_hits": 0,
"alerts_grouping_status": "Enabled",
"mitre_tactics_ids_and_names": null,
"mitre_techniques_ids_and_names": null,
"alert_categories": [
"Vulnerability"
],
"original_tags": [
"DS:PANW/NGFW"
],
"tags": [
"DS:PANW/NGFW"
],
"network_artifacts": {
"total_count": 1,
"data": [
{
"type": "IP",
"alert_count": 1,
"is_manual": false,
"network_domain": null,
"network_remote_ip": "0.0.0.0",
"network_remote_port": 500,
"network_country": "JP"
}
]
},
"file_artifacts": {
"total_count": 0,
"data": []
},
"alerts": [
{
"external_id": "7540915192461269271",
"severity": "medium",
"matching_status": "UNMATCHABLE",
"end_match_attempt_ts": null,
"local_insert_ts": 1756265929231,
"last_modified_ts": null,
"bioc_indicator": null,
"matching_service_rule_id": null,
"attempt_counter": 0,
"bioc_category_enum_key": null,
"case_id": 146408,
"is_whitelisted": false,
"starred": true,
"deduplicate_tokens": "00421ab2ab1a43d089b1f690f8b4e54a",
"filter_rule_id": null,
}
]
}
輸出訊息
「取得事件詳細資料」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Incident Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get Incident Details」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行 XQL 搜尋
使用「Execute XQL Search」(執行 XQL 搜尋) 動作,在 Palo Alto Cortex XDR 中透過 XQL 擷取資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「執行 XQL 搜尋」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query |
必填。 要在 Palo Alto Cortex XDR 中執行的查詢。 請勿在查詢中提供 |
Time Frame |
選填。 要在 Palo Alto Cortex XDR 中執行的查詢。 請勿在查詢中提供 可能的值如下:
預設值為 |
Start Time |
選填。 結果的開始時間,格式為 ISO 8601。 如果為 |
End Time |
選填。 結果的結束時間,採用 ISO 8601 格式。 如果為 |
Max Results To Return |
選填。 這項動作會將 上限為 預設值為 |
動作輸出內容
「執行 XQL 搜尋」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「執行 XQL 搜尋」動作時收到的 JSON 結果輸出內容:
{
"events": [
{
"event_id": "AAABmRQvChTmouboArIcKg==",
"_product": "XDR agent",
"_time": 1756980296509,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
},
{
"event_id": "AAABmRQtb2XmouboArIb1g==",
"_product": "XDR agent",
"_time": 1756980191374,
"_vendor": "PANW",
"insert_timestamp": 1756980477113,
"event_type": "NETWORK",
"event_sub_type": "NETWORK_STREAM_CONNECT_FAILED"
}
]
}
輸出訊息
「執行 XQL 搜尋」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Execute XQL Search". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「執行 XQL 搜尋」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Palo Alto Cortex XDR 連接器
這個連接器可從 Palo Alto Networks Cortex XDR 擷取事件,並從附加的事件建立快訊。
連接器輸入內容
Palo Alto Cortex XDR 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
PythonProcessTimeout |
必填。 Python 程序執行目前指令碼的逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Palo Alto Cortex XDR 執行個體的 API 根目錄。 預設值為 |
API Key |
必填。 Palo Alto Cortex XDR API 金鑰。 |
Api Key ID |
必填。 用於日後驗證的 API 金鑰 ID。 預設值為 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 Palo Alto Cortex XDR 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
Alerts Count Limit |
選填。 每個週期內的警告數量上限。 預設值為 |
Max Days Backwards |
選填。 連結器可從目前日期前最多幾天開始擷取資料。這個參數用於連接器的初始執行。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
連接器規則
連接器不支援許可清單/黑名單。
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。