Palo Alto Networks Cortex XDR
Cyberwatch es capaz de listar y supervisar todos los activos protegidos por un agente EDR Cortex a través de Cortex XDR.
Requisitos previos en Cortex XDR
Rol Cortex XDR para Cyberwatch
Para gestionar los permisos mediante su API, Cortex XDR utiliza roles, que pueden crearse en la consola de Cortex XDR desde el menú Settings > Configurations > Access Management > Roles.
Se recomienda crear un rol separado y dedicado a Cyberwatch con los derechos mínimos necesarios.
Para supervisar los agentes Cortex XDR, Cyberwatch necesita los siguientes permisos:
| Categoría | Permiso | Nivel | Otros |
|---|---|---|---|
| Endpoints | Endpoint Administrations | View | |
| Incident Response | Agent Scripts Library | View/Edit | Marcar Run High-Risk Script y Script Configurations |
Clave de API Cortex XDR
Para comunicarse con Cortex XDR, Cyberwatch utiliza una clave de API que puede crearse en la consola de Cortex XDR desde el menú Settings > Configurations > Integrations > API Keys. Cyberwatch soporta tanto las claves « Standard » como las claves « Advanced ».
Supervisión de los agentes Cortex XDR desde Cyberwatch
Configurar los accesos API
Los accesos se configuran desde el menú Identificadores registrados de la barra lateral, y luego haciendo clic en el botón Añadir. En el formulario, seleccionar el tipo Cortex XDR, y completar:
- La URL de la API de Cortex XDR (por ejemplo
https://api-example.xdr.fa.paloaltonetworks.com). - La clave de API generada anteriormente, su ID, y su nivel de seguridad (standard o avanzado).
¡No olvidar la parte api- en la URL!
Crear el descubrimiento
- Ir al menú Descubrimientos y hacer clic en Añadir. En la sección Infraestructura local, hacer clic en Cortex XDR
- Introducir el nombre dado al escaneo de descubrimiento
- Seleccionar los posibles grupos asociados al escaneo
- Seleccionar la fuente del escaneo
- Seleccionar en Identificadores la cuenta Cortex XDR previamente registrada
- Seleccionar Agente Cortex XDR en registro automático si desea registrar automáticamente los agentes descubiertos
- Definir un periodo. El valor por defecto 0 día hará que el escaneo se ejecute solo una vez
- Hacer clic en Confirmar
Al crearse, el descubrimiento se lanzará inmediatamente en segundo plano. El estado del descubrimiento puede consultarse desde el menú Descubrimientos.
Los agentes Cortex XDR recién supervisados se encuentran en el menú de agentes.