Palo Alto Networks Cortex XDR
Cyberwatch est capable de lister et superviser l’ensemble des actifs protégés par un agent EDR Cortex à travers Cortex XDR.
Prérequis dans Cortex XDR
Rôle Cortex XDR pour Cyberwatch
Pour gérer les permissions via son API, Cortex XDR utilise des rôles, qui peuvent être créés dans la console Cortex XDR depuis le menu Settings > Configurations > Access Management > Roles.
Il est recommandé de créer un rôle séparé et dédié à Cyberwatch avec des droits minimaux.
Pour superviser les agents Cortex XDR, Cyberwatch a besoin des permissions suivantes :
| Catégorie | Permission | Niveau | Autres |
|---|---|---|---|
| Endpoints | Endpoint Administrations | View | |
| Incident Response | Agent Scripts Library | View/Edit | Cocher Run High-Risk Script et Script Configurations |
Clé d’API Cortex XDR
Pour communiquer avec Cortex XDR, Cyberwatch utilise une clé d’API qui peut être créée dans la console Cortex XDR depuis le menu Settings > Configurations > Integrations > API Keys. Cyberwatch supporte aussi bien les clés « Standard » que les clés « Advanced ».
Supervision des agents Cortex XDR depuis Cyberwatch
Configurer les accès API
Les accès sont configurables à partir du menu Identifiants enregistrés de la barre latérale, puis en cliquant sur le bouton Ajouter. Dans le formulaire, sélectionner le type Cortex XDR, puis renseigner :
- L’URL de l’API de Cortex XDR (par exemple
https://api-example.xdr.fa.paloaltonetworks.com). - La clé d’API générée précédemment, son ID, et son niveau de sécurité (standard ou avancé).
Ne pas oublier la partie api- dans l’URL !
Créer la découverte
- Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure locale, cliquer sur Cortex XDR
- Saisir le nom donné au scan de découverte
- Sélectionner les éventuels groupes associés au scan
- Sélectionner la source du scan
- Sélectionner dans Identifiants le compte Cortex XDR précédemment enregistré
- Sélectionner Agent Cortex XDR dans Enregistrement automatique si vous souhaitez enregistrer automatiquement les agents découverts
- Définir une période. La valeur par défaut 0 jour aura pour effet de lancer le scan une seule fois
- Cliquer sur Confirmer
À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis le menu Découvertes.
Les agents Cortex XDR nouvellement supervisés se trouvent dans le menu des agents.