Palo Alto Cortex XDR 集成
编辑Palo Alto Cortex XDR 集成
编辑PANW XDR 集成从 Cortex XDR Alerts API 收集包含多个事件的警报,并从 Cortex XDR Incidents API 收集事件。
日志
编辑警报
编辑Cortex XDR Alerts API 用于检索由 Cortex XDR 基于原始端点数据生成的警报。单个警报可能包含一个或多个本地端点事件,每个事件都会在 Elasticsearch 上生成自己的文档。
Palo Alto XDR 集成需要 API 密钥和 API 密钥 ID,这两者都可以从 Cortex XDR UI 中检索。请参阅:Cortex XDR API 入门
示例
一个 alerts 的示例事件如下所示
{
"@timestamp": "2020-10-21T11:31:28.980Z",
"agent": {
"ephemeral_id": "d1f9377a-0b86-44ab-8ba3-2be0e35e75fc",
"id": "6245802f-8bd9-4634-b1db-411601495ab1",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.0"
},
"data_stream": {
"dataset": "panw_cortex_xdr.alerts",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "6245802f-8bd9-4634-b1db-411601495ab1",
"snapshot": false,
"version": "8.9.0"
},
"event": {
"action": "BLOCKED",
"agent_id_status": "verified",
"category": [
"malware"
],
"created": "2020-10-21T11:31:28.980Z",
"dataset": "panw_cortex_xdr.alerts",
"id": "800800",
"ingested": "2023-08-17T06:15:07Z",
"kind": "alert",
"original": "{\"action\":\"BLOCKED\",\"action_pretty\":\"Prevented (Blocked)\",\"agent_data_collection_status\":true,\"agent_device_domain\":null,\"agent_fqdn\":\"test\",\"agent_is_vdi\":null,\"agent_os_sub_type\":\"XP\",\"agent_os_type\":\"Windows\",\"agent_version\":\"1.2.3.4\",\"alert_id\":\"1001\",\"attempt_counter\":55,\"bioc_category_enum_key\":null,\"bioc_indicator\":null,\"category\":\"Exploit\",\"deduplicate_tokens\":null,\"description\":\"Local privilege escalation prevented\",\"detection_timestamp\":1603279888980,\"end_match_attempt_ts\":1603552062824,\"endpoint_id\":\"12345678\",\"events\":{\"action_country\":\"UNKNOWN\",\"action_external_hostname\":null,\"action_file_macro_sha256\":null,\"action_file_md5\":null,\"action_file_name\":null,\"action_file_path\":null,\"action_file_sha256\":null,\"action_local_ip\":null,\"action_local_port\":null,\"action_process_causality_id\":null,\"action_process_image_command_line\":null,\"action_process_image_name\":null,\"action_process_image_sha256\":null,\"action_process_instance_id\":null,\"action_process_signature_status\":\"N/A\",\"action_process_signature_vendor\":null,\"action_registry_data\":null,\"action_registry_full_key\":null,\"action_registry_key_name\":null,\"action_registry_value_name\":null,\"action_remote_ip\":null,\"action_remote_port\":null,\"actor_causality_id\":null,\"actor_process_causality_id\":null,\"actor_process_command_line\":\"c:\\\\\tmp\\\\\virus.exe\",\"actor_process_image_md5\":null,\"actor_process_image_name\":\"virus.exe\",\"actor_process_image_path\":\"c:\\\\\tmp\\\\\virus.exe\",\"actor_process_image_sha256\":\"133ee989293f92736301280c6f14c89d521200c17dcdcecca30cd20705332d44\",\"actor_process_instance_id\":\"1234\",\"actor_process_os_pid\":1234,\"actor_process_signature_status\":\"N/A\",\"actor_process_signature_vendor\":null,\"actor_thread_thread_id\":null,\"agent_host_boot_time\":null,\"agent_install_type\":\"NA\",\"association_strength\":null,\"causality_actor_causality_id\":null,\"causality_actor_process_command_line\":null,\"causality_actor_process_execution_time\":null,\"causality_actor_process_image_md5\":null,\"causality_actor_process_image_name\":null,\"causality_actor_process_image_path\":null,\"causality_actor_process_image_sha256\":null,\"causality_actor_process_signature_status\":\"N/A\",\"causality_actor_process_signature_vendor\":null,\"dns_query_name\":null,\"dst_action_country\":null,\"dst_action_external_hostname\":null,\"dst_action_external_port\":null,\"dst_agent_id\":null,\"dst_association_strength\":null,\"dst_causality_actor_process_execution_time\":null,\"event_id\":null,\"event_sub_type\":null,\"event_timestamp\":1603279888980,\"event_type\":\"Process Execution\",\"fw_app_category\":null,\"fw_app_id\":null,\"fw_app_subcategory\":null,\"fw_app_technology\":null,\"fw_device_name\":null,\"fw_email_recipient\":null,\"fw_email_sender\":null,\"fw_email_subject\":null,\"fw_interface_from\":null,\"fw_interface_to\":null,\"fw_is_phishing\":\"N/A\",\"fw_misc\":null,\"fw_rule\":null,\"fw_rule_id\":null,\"fw_serial_number\":null,\"fw_url_domain\":null,\"fw_vsys\":null,\"fw_xff\":null,\"module_id\":\"Privilege Escalation Protection\",\"os_actor_causality_id\":null,\"os_actor_effective_username\":null,\"os_actor_process_causality_id\":null,\"os_actor_process_command_line\":null,\"os_actor_process_image_name\":null,\"os_actor_process_image_path\":null,\"os_actor_process_image_sha256\":null,\"os_actor_process_instance_id\":null,\"os_actor_process_os_pid\":null,\"os_actor_process_signature_status\":\"N/A\",\"os_actor_process_signature_vendor\":null,\"os_actor_thread_thread_id\":null,\"story_id\":null,\"user_name\":null},\"external_id\":\"800800\",\"filter_rule_id\":null,\"host_ip\":[\"10.0.255.20\"],\"host_name\":\"Test\",\"is_whitelisted\":false,\"local_insert_ts\":1603279967500,\"mac\":null,\"mac_address\":[\"00:11:22:33:44:55\"],\"matching_service_rule_id\":null,\"matching_status\":\"FAILED\",\"mitre_tactic_id_and_name\":[\"\"],\"mitre_technique_id_and_name\":[\"\"],\"name\":\"Kernel Privilege Escalation\",\"severity\":\"high\",\"source\":\"XDR Agent\",\"starred\":false}",
"reason": "Local privilege escalation prevented",
"severity": 4,
"type": [
"info"
]
},
"host": {
"hostname": "test",
"id": "12345678",
"ip": [
"10.0.255.20"
],
"name": "test",
"os": {
"name": "Windows",
"version": "XP"
}
},
"input": {
"type": "httpjson"
},
"message": "Kernel Privilege Escalation",
"panw_cortex": {
"xdr": {
"action_pretty": "Prevented (Blocked)",
"agent_data_collection_status": true,
"agent_version": "1.2.3.4",
"alert_id": "1001",
"attempt_counter": 55,
"category": "Exploit",
"end_match_attempt_ts": "2020-10-24T15:07:42.824Z",
"events": {
"actor_process_signature_status": "N/A",
"agent_install_type": "NA",
"event_type": "Process Execution",
"fw_is_phishing": "N/A",
"module_id": "Privilege Escalation Protection",
"os_actor_process_signature_status": "N/A"
},
"is_whitelisted": false,
"local_insert_ts": "2020-10-21T11:32:47.500Z",
"mac_address": [
"00:11:22:33:44:55"
],
"matching_status": "FAILED",
"source": "XDR Agent",
"starred": false
}
},
"process": {
"code_signature": {
"status": "N/A"
},
"command_line": "c:\\tmp\\virus.exe",
"entity_id": "1234",
"executable": "c:\\tmp\\virus.exe",
"hash": {
"sha256": "133ee989293f92736301280c6f14c89d521200c17dcdcecca30cd20705332d44"
},
"name": "virus.exe",
"parent": {
"code_signature": {
"status": "N/A"
}
},
"pid": 1234
},
"related": {
"hash": [
"133ee989293f92736301280c6f14c89d521200c17dcdcecca30cd20705332d44"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"panw_cortex_xdr"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
panw_cortex.xdr.action_pretty |
操作类型的漂亮描述。 |
keyword |
panw_cortex.xdr.agent_data_collection_status |
代理的收集状态。 |
布尔值 |
panw_cortex.xdr.agent_ip_addresses_v6 |
代理 IPv6 地址 |
ip |
panw_cortex.xdr.agent_is_vdi |
代理是否在虚拟桌面内运行。 |
keyword |
panw_cortex.xdr.agent_version |
XDR 端点代理的版本。 |
keyword |
panw_cortex.xdr.alert_id |
警报的 ID。 |
keyword |
panw_cortex.xdr.alert_type |
警报的类型。 |
keyword |
panw_cortex.xdr.attempt_counter |
阻止或停止恶意进程的尝试次数。 |
长整型 |
panw_cortex.xdr.bioc_category_enum_key |
行为指标类型键。 |
keyword |
panw_cortex.xdr.bioc_description |
相关 bioc 事件的描述。 |
扁平化 |
panw_cortex.xdr.bioc_indicator |
与事件匹配的行为指标类型。 |
keyword |
panw_cortex.xdr.category |
警报类别。 |
keyword |
panw_cortex.xdr.deduplicate_tokens |
keyword |
|
panw_cortex.xdr.description |
相关事件的描述。 |
keyword |
panw_cortex.xdr.end_match_attempt_ts |
日期 |
|
panw_cortex.xdr.endpoint_id |
端点的唯一 ID。 |
keyword |
panw_cortex.xdr.events.action_country |
keyword |
|
panw_cortex.xdr.events.action_external_hostname |
与特定事件操作相关的任何外部主机名。 |
keyword |
panw_cortex.xdr.events.action_file_macro_sha256 |
keyword |
|
panw_cortex.xdr.events.action_process_causality_id |
与操作相关的父进程 ID。 |
keyword |
panw_cortex.xdr.events.actor_causality_id |
参与者进程的父进程 ID。 |
keyword |
panw_cortex.xdr.events.actor_process_causality_id |
与参与者相关的父进程 ID。 |
keyword |
panw_cortex.xdr.events.actor_process_command_line |
参与者完整命令行。 |
keyword |
panw_cortex.xdr.events.actor_process_image_name |
参与者二进制名称。 |
keyword |
panw_cortex.xdr.events.actor_process_image_sha256 |
参与者的 SHA256 哈希标识符。 |
keyword |
panw_cortex.xdr.events.actor_process_instance_id |
与参与者相关的进程 ID。 |
keyword |
panw_cortex.xdr.events.actor_process_signature_status |
参与者进程的签名。 |
keyword |
panw_cortex.xdr.events.actor_process_signature_vendor |
参与者进程的签名供应商。 |
keyword |
panw_cortex.xdr.events.agent_host_boot_time |
主机的正常运行时间。 |
日期 |
panw_cortex.xdr.events.agent_install_type |
参与者的显示名称。 |
keyword |
panw_cortex.xdr.events.association_strength |
长整型 |
|
panw_cortex.xdr.events.contains_featured_host |
keyword |
|
panw_cortex.xdr.events.contains_featured_ip |
keyword |
|
panw_cortex.xdr.events.contains_featured_user |
keyword |
|
panw_cortex.xdr.events.dns_query_name |
事件的相关 DNS 查询。 |
keyword |
panw_cortex.xdr.events.dst_action_country |
与目标相关的国家/地区。 |
keyword |
panw_cortex.xdr.events.dst_action_external_hostname |
目标的外部主机名。 |
keyword |
panw_cortex.xdr.events.dst_action_external_port |
目标的外部 (NAT) 端口。 |
keyword |
panw_cortex.xdr.events.dst_agent_id |
目标代理的端点 ID。 |
keyword |
panw_cortex.xdr.events.dst_association_strength |
长整型 |
|
panw_cortex.xdr.events.dst_causality_actor_process_execution_time |
目标进程的进程执行时间。 |
keyword |
panw_cortex.xdr.events.event_id |
与警报相关的底层事件的唯一 ID。 |
keyword |
panw_cortex.xdr.events.event_sub_type |
与警报相关的事件子类型。 |
整数 |
panw_cortex.xdr.events.event_type |
事件类型 |
keyword |
panw_cortex.xdr.events.fw_app_category |
与防火墙事件相关的第 7 层应用程序类别。 |
keyword |
panw_cortex.xdr.events.fw_app_id |
来自防火墙事件的第 7 层应用程序 ID。 |
keyword |
panw_cortex.xdr.events.fw_app_subcategory |
与防火墙事件相关的第 7 层应用程序子类别。 |
keyword |
panw_cortex.xdr.events.fw_app_technology |
与防火墙事件相关的第 7 层应用程序类型。 |
keyword |
panw_cortex.xdr.events.fw_device_name |
相关防火墙设备。 |
keyword |
panw_cortex.xdr.events.fw_email_recipient |
keyword |
|
panw_cortex.xdr.events.fw_email_sender |
keyword |
|
panw_cortex.xdr.events.fw_email_subject |
keyword |
|
panw_cortex.xdr.events.fw_is_phishing |
事件是否与网络钓鱼活动相关。 |
keyword |
panw_cortex.xdr.events.fw_misc |
与防火墙事件相关的其他信息。 |
keyword |
panw_cortex.xdr.events.fw_url_domain |
与防火墙事件相关的域。 |
keyword |
panw_cortex.xdr.events.fw_vsys |
相关的 VSYS 名称(如果适用)。 |
keyword |
panw_cortex.xdr.events.fw_xff |
keyword |
|
panw_cortex.xdr.events.module_id |
捕获事件的模块的 ID。 |
keyword |
panw_cortex.xdr.events.os_actor_causality_id |
OS 参与者进程的 ID |
keyword |
panw_cortex.xdr.events.os_actor_effective_username |
与 OS 参与者相关的用户名。 |
keyword |
panw_cortex.xdr.events.os_actor_process_causality_id |
与 OS 参与者相关的父进程的 ID。 |
keyword |
panw_cortex.xdr.events.os_actor_process_command_line |
OS 参与者完整命令行示例。 |
keyword |
panw_cortex.xdr.events.os_actor_process_image_name |
OS 参与者二进制名称。 |
keyword |
panw_cortex.xdr.events.os_actor_process_image_path |
OS 参与者二进制路径。 |
keyword |
panw_cortex.xdr.events.os_actor_process_image_sha256 |
OS 参与者进程的 SHA256 哈希标识符。 |
keyword |
panw_cortex.xdr.events.os_actor_process_instance_id |
与 OS 参与者相关的进程 ID。 |
keyword |
panw_cortex.xdr.events.os_actor_process_os_pid |
与相关进程相关的 OS PID。 |
整数 |
panw_cortex.xdr.events.os_actor_process_signature_status |
OS 参与者进程的签名。 |
keyword |
panw_cortex.xdr.events.os_actor_process_signature_vendor |
OS 参与者进程的签名供应商。 |
keyword |
panw_cortex.xdr.events.os_actor_thread_thread_id |
与相关 OS 参与者进程相关的线程 ID。 |
整数 |
panw_cortex.xdr.events.story_id |
keyword |
|
panw_cortex.xdr.external_id |
与警报本身相关的外部 ID。 |
keyword |
panw_cortex.xdr.filter_rule_id |
过滤器规则的 ID。 |
keyword |
panw_cortex.xdr.is_pcap |
警报是否包含 pcap。 |
布尔值 |
panw_cortex.xdr.is_whitelisted |
进程是否已加入白名单。 |
布尔值 |
panw_cortex.xdr.local_insert_ts |
日期 |
|
panw_cortex.xdr.mac |
代理的主 MAC 地址。 |
keyword |
panw_cortex.xdr.mac_address |
与代理相关的所有 MAC 地址的数组。 |
keyword |
panw_cortex.xdr.matching_service_rule_id |
keyword |
|
panw_cortex.xdr.matching_status |
端点组的匹配状态。 |
keyword |
panw_cortex.xdr.original_tags |
资产的原始标签。 |
keyword |
panw_cortex.xdr.resolution_comment |
keyword |
|
panw_cortex.xdr.resolution_status |
keyword |
|
panw_cortex.xdr.source |
keyword |
|
panw_cortex.xdr.starred |
如果警报类型被优先处理(加星标)。 |
布尔值 |
事件
编辑Cortex XDR Incidents API 用于检索由 Cortex XDR 基于原始端点数据生成的事件。单个事件可能包含一个或多个本地端点事件,每个事件都会在 Elasticsearch 上生成自己的文档。
Palo Alto XDR 集成需要 API 密钥和 API 密钥 ID,这两者都可以从 Cortex XDR UI 中检索。请参阅:Cortex XDR API 入门
当在 Cortex XDR UI 中修改 Cortex XDR 事件时(例如,严重性或状态更改、链接其他警报),它将作为具有新值的新文档进行索引。
示例
一个 incidents 的示例事件如下所示
{
"@timestamp": "2023-08-14T01:20:00.230Z",
"agent": {
"ephemeral_id": "02205f80-afa5-4cf8-a320-018c29c153fe",
"id": "6245802f-8bd9-4634-b1db-411601495ab1",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.9.0"
},
"data_stream": {
"dataset": "panw_cortex_xdr.incidents",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "6245802f-8bd9-4634-b1db-411601495ab1",
"snapshot": false,
"version": "8.9.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"malware"
],
"created": "2023-08-17T06:15:40.867Z",
"dataset": "panw_cortex_xdr.incidents",
"id": "893",
"ingested": "2023-08-17T06:15:43Z",
"kind": "alert",
"original": "{\"aggregated_score\":5,\"alert_categories\":[\"Exfiltration\"],\"alert_count\":1,\"alerts_grouping_status\":\"Enabled\",\"assigned_user_mail\":null,\"assigned_user_pretty_name\":null,\"creation_time\":1691976000230,\"critical_severity_alert_count\":0,\"description\":\"'Large Upload (Generic)' generated by XDR Analytics detected on host test1234 involving user nt authority\\\\\system\",\"detection_time\":null,\"high_severity_alert_count\":0,\"host_count\":1,\"hosts\":[\"test1234:b567c1a651e66999158aef5d864dad25\"],\"incident_id\":\"893\",\"incident_name\":null,\"incident_sources\":[\"XDR Analytics\"],\"low_severity_alert_count\":1,\"manual_description\":null,\"manual_score\":null,\"manual_severity\":null,\"med_severity_alert_count\":0,\"mitre_tactics_ids_and_names\":[\"TA0010 - Exfiltration\"],\"mitre_techniques_ids_and_names\":[\"T1048 - Exfiltration Over Alternative Protocol\"],\"modification_time\":1691976000230,\"notes\":null,\"original_tags\":[\"DS:PANW/XDR Agent\",\"EG:win-server-ex-ransomeware_report\",\"EG:win-server-default\"],\"predicted_score\":5,\"resolve_comment\":null,\"resolved_timestamp\":null,\"rule_based_score\":null,\"severity\":\"low\",\"starred\":false,\"status\":\"new\",\"tags\":[\"DS:PANW/XDR Agent\",\"EG:win-server-default\",\"EG:win-server-ex-ransomeware_report\"],\"user_count\":1,\"users\":[\"nt authority\\\\\system\"],\"wildfire_hits\":0,\"xdr_url\":\"https://test.xdr.eu.paloaltonetworks.com/incident-view?caseId=893\"}",
"reason": "'Large Upload (Generic)' generated by XDR Analytics detected on host test1234 involving user nt authority\\system",
"severity": 2,
"type": [
"info"
]
},
"input": {
"type": "httpjson"
},
"panw_cortex": {
"xdr": {
"aggregated_score": 5,
"alert_categories": [
"Exfiltration"
],
"alert_count": 1,
"alerts_grouping_status": "Enabled",
"creation_time": "2023-08-14T01:20:00.230Z",
"critical_severity_alert_count": 0,
"high_severity_alert_count": 0,
"host_count": 1,
"hosts": [
"test1234:b567c1a651e66999158aef5d864dad25"
],
"incident_sources": [
"XDR Analytics"
],
"low_severity_alert_count": 1,
"med_severity_alert_count": 0,
"mitre_tactics_ids_and_names": [
"TA0010 - Exfiltration"
],
"mitre_techniques_ids_and_names": [
"T1048 - Exfiltration Over Alternative Protocol"
],
"modification_time": "2023-08-14T01:20:00.230Z",
"original_tags": [
"DS:PANW/XDR Agent",
"EG:win-server-ex-ransomeware_report",
"EG:win-server-default"
],
"predicted_score": 5,
"starred": false,
"status": "new",
"user_count": 1,
"users": [
"nt authority\\system"
],
"wildfire_hits": 0,
"xdr_url": "https://test.xdr.eu.paloaltonetworks.com/incident-view?caseId=893"
}
},
"related": {
"hosts": [
"test1234"
],
"user": [
"system"
]
},
"tags": [
"preserve_original_event",
"forwarded",
"panw_cortex_xdr",
"DS:PANW/XDR Agent",
"EG:win-server-default",
"EG:win-server-ex-ransomeware_report"
],
"threat": {
"framework": "MITRE ATT&CK",
"tactic": {
"id": [
"TA0010"
],
"name": [
"Exfiltration"
]
},
"technique": {
"id": [
"T1048"
],
"name": [
"Exfiltration Over Alternative Protocol"
]
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集名称。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
panw_cortex.xdr.aggregated_score |
聚合事件分数。 |
长整型 |
panw_cortex.xdr.alert_categories |
事件中包含的警报的类别。 |
keyword |
panw_cortex.xdr.alert_count |
警报计数。 |
长整型 |
panw_cortex.xdr.alerts_grouping_status |
是否为此事件启用了警报分组。 |
keyword |
panw_cortex.xdr.assigned_user_mail |
已分配用户的电子邮件。 |
keyword |
panw_cortex.xdr.assigned_user_pretty_name |
已分配用户的漂亮名称。 |
keyword |
panw_cortex.xdr.creation_time |
事件创建时间。 |
日期 |
panw_cortex.xdr.critical_severity_alert_count |
此事件的关键严重性警报计数。 |
长整型 |
panw_cortex.xdr.detection_time |
检测时间。 |
扁平化 |
panw_cortex.xdr.high_severity_alert_count |
此事件的高严重性警报计数。 |
长整型 |
panw_cortex.xdr.host_count |
与此事件相关的主机计数。 |
长整型 |
panw_cortex.xdr.hosts |
与此事件相关的主机名和主机 ID。 |
keyword |
panw_cortex.xdr.incident_id |
事件 ID |
keyword |
panw_cortex.xdr.incident_name |
事件名称 |
keyword |
panw_cortex.xdr.incident_sources |
此事件的检测来源。 |
keyword |
panw_cortex.xdr.low_severity_alert_count |
此事件的低严重性警报计数。 |
长整型 |
panw_cortex.xdr.manual_description |
手动事件描述。 |
keyword |
panw_cortex.xdr.manual_score |
手动事件分数。 |
扁平化 |
panw_cortex.xdr.manual_severity |
手动事件严重性。 |
keyword |
panw_cortex.xdr.med_severity_alert_count |
此事件的中等严重性警报计数。 |
长整型 |
panw_cortex.xdr.mitre_tactics_ids_and_names |
MITRE 战术 ID 和名称 |
keyword |
panw_cortex.xdr.mitre_techniques_ids_and_names |
MITRE 技术 ID 和名称 |
keyword |
panw_cortex.xdr.modification_time |
事件修改时间。 |
日期 |
panw_cortex.xdr.notes |
事件注释。 |
keyword |
panw_cortex.xdr.original_tags |
资产的原始标签。 |
keyword |
panw_cortex.xdr.predicted_score |
预测事件分数。 |
长整型 |
panw_cortex.xdr.resolve_comment |
事件解决注释。 |
keyword |
panw_cortex.xdr.resolved_timestamp |
事件解决时间戳。 |
日期 |
panw_cortex.xdr.rule_based_score |
基于规则的事件分数。 |
长整型 |
panw_cortex.xdr.starred |
加星标事件。 |
布尔值 |
panw_cortex.xdr.status |
事件状态。 |
keyword |
panw_cortex.xdr.user_count |
与事件相关的用户计数。 |
长整型 |
panw_cortex.xdr.users |
与事件相关的用户名。 |
keyword |
panw_cortex.xdr.wildfire_hits |
Wildfire 命中数。 |
长整型 |
panw_cortex.xdr.xdr_url |
指向 Cortex XDR 事件的 URL。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.31.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.30.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.29.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.28.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.24.2 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.24.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.1 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.2 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.8.1 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.7.1 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.5.2 |
错误修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.5.1 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.4.2 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.4.1 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.3.3 |
错误修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.3.2 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.3.1 |
错误修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.2.1 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.6 |
错误修复 (查看拉取请求) |
— |
0.2.5 |
错误修复 (查看拉取请求) |
— |
0.2.4 |
增强 (查看拉取请求) |
— |
0.2.3 |
增强 (查看拉取请求) |
— |
0.2.2 |
错误修复 (查看拉取请求) |
— |
0.2.1 |
错误修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |