Palo Alto Cortex XDR
Collectez les alertes, incidents et investigations Palo Alto Cortex XDR
Le connecteur Palo Alto Cortex XDR vous permet d'intégrer vos données de détection et réponse aux menaces dans OverSOC.
Objectif
Le connecteur Palo Alto Cortex XDR permet de récupérer les informations suivantes :
- Inventaire des endpoints
- Alertes et incidents XDR
- Investigations actives
Prérequis
- Accès à Palo Alto Cortex XDR
- Clés API configurées dans Cortex XDR
- Permissions appropriées pour l'accès API
Informations à fournir dans OverSOC
| Champ | Description |
|---|---|
| API Key ID* | ID de la clé API Cortex XDR |
| API Key* | Clé API Cortex XDR |
| API URL* | URL de l'API Cortex XDR (ex: https://api-{region}.xdr.paloaltonetworks.com) |
Procédure
Générer les clés API Cortex XDR
- Connectez-vous à votre console Palo Alto Cortex XDR.
- Naviguez vers Settings > Configuration > API Keys.
- Cliquez sur Create New API Key.
- Sélectionnez l'Advanced tab pour plus d'options.
- Attribuez un nom descriptif (ex: OverSOC Connector).
- Configurez les permissions requises :
- Incident management : Read
- Alert management : Read
- Endpoint administration : Read
- Cliquez sur Save et notez l'API Key ID et l'API Key.
- Notez aussi l'URL de l'API correspondant à votre région.
Configurer le connecteur dans OverSOC
- Dans OverSOC, accédez à Data Sources Settings > Sources.
- Sélectionnez Palo Alto Cortex XDR et cliquez sur Configure.
- Renseignez l'API Key ID, l'API Key et l'URL de l'API.
- Cliquez sur Save Configuration.
Permissions requises
Les clés API doivent disposer des permissions minimales suivantes :
- Incident management : Lecture des incidents et alertes
- Alert management : Accès aux alertes XDR
- Endpoint administration : Lecture de l'inventaire des endpoints