什么是具有共同托管、功能有限的 Cortex XSOAR 实例的Palo Alto Networks IoT Security?

什么是具有共同托管、功能有限的 Cortex XSOAR 实例的Palo Alto Networks IoT Security?

5588
Created On 12/16/24 19:10 PM - Last Modified 06/10/25 22:58 PM


Question


什么是与共同托管、功能有限的 Cortex XSOAR 实例一起的Palo Alto Networks IoT Security?

Environment


Palo Alto Networks物联网安全与共同托管、功能有限的 Cortex XSOAR 6 实例

Answer


以下是Palo Alto Networks IoT 安全的背景以及 IoT 与 Cortex XSOAR 集成的不同方法,然后是有关 Cohosted、功能有限的 Cortex XSOAR 实例的详细信息

Palo Alto Networks IoT 安全 - 与第三方系统集成

除了与Palo Alto Networks 新一代防火墙协调之外,IoT Security 还可以与第三方系统集成,通过使它们具有 IoT 意识并从其他来源收集设备和网络数据来丰富其自身的库存和功能,从而增强其库存、网络管理、网络安全和漏洞检测。
IOT third party.png

IoT 安全有三种利用 Cortex XSOAR 技术与第三方系统集成的选项,如下所示。请注意,有关这些选项的更多信息,请参阅IoT 安全集成指南使用 Cohosted XSOAR 的第三方集成

使用共同托管、功能有限的 Cortex XSOAR 实例实现物联网安全

如果您想将 IoT Security 与第三方系统集成,但没有 Cortex XSOAR 服务器,您可以购买 IoT Security 第三方附加许可证,该许可证附带自动生成的云托管 Cortex XSOAR 模块。有关此选项的更多信息,请参阅使用共同托管 XSOAR 的第三方集成

具有功能齐全的 Cortex XSOAR 服务器的物联网安全

如果您已经在本地或云中部署了功能齐全的 Cortex XSOAR 服务器,则可以使用该服务器将 IoT Security 与第三方系统集成,而无需购买附加许可证并使用有限的云托管 Cortex XSOAR 模块。 使用功能齐全的 XSOAR 服务器进行第三方集成中介绍了如何设置功能齐全的 XSOAR 服务器以与 IoT Security 配合使用

可访问 IoT 安全 API 的 Cortex XSOAR

如果您有一个 Cortex XSOAR 实例,并且您的目标是将其与 IoT Security 集成,请查看Palo Alto Networks IoT 集成指南,其中介绍了如何在 XSOAR 上配置集成并运行集成命令

如何找出 Cohosted Cortex XSOAR 实例的序列号

使用共托管有限功能Cortex XSOAR 实例时,您可以使用知识库文章查找 XSOAR 的序列号: 如何找出 IoT 共托管 Cortex XSOAR 实例的序列号

有关使用 Cohosted、功能有限的 Cortex XSOAR 实现物联网安全的更多详细信息

部署后


单点登录

一旦 XSOAR 实例启动,IoT 端(CronJob)就会设置SSO。这允许客户仅通过 IoT UI 上的启动按钮登录 XSOAR。这涉及在 XSOAR 上设置“SAML 2.0”集成。
笔记: 最终用户只能通过 IoT UI 访问 XSOAR。如果禁用 SAML 集成,启动按钮将不起作用。IoT 还提供了直接通过 IoT UI 下载 XSOAR 日志的选项。
SSO1.png
SSO2.png

预填充作业和集成实例


部署后完成的另一组操作是在 XSOAR 上为客户创建具有特定参数的集成实例和作业。这些操作由 XSOAR 运营团队和 IoT 后端团队共享。除了添加集成实例外,XSOAR 运营团队还为客户创建 IoT 角色,定义用户权限和 UI 访问限制。

XSOAR 功能有限

当用户通过SSO通过 IoT门户登录 XSOAR 时,他们会被分配一个特殊的 IoT角色。此角色强制执行一些值得注意的限制:
      • 用户只能访问“设置”和“作业”页面
      • 用户不得下载 XSOAR 日志 - IoT UI 有一个专用按钮来下载日志
      • 用户无权访问市场
      • 用户无法通过CLI运行任何 XSOAR 命令
      • 用户无法设置配置标志

LXF1.png LXF2.png

内容包和升级

内容包管理

IoT 管理自己的内容包,这些包在 XSOAR 市场上不可用。一旦开发人员准备好内容包,他们就会将其上传到“staging”,这只不过是一个 AWS S3 位置 ( s3://contentpack-staging/) 。根据 IoT 提供的内容包创建黄金映像,并用于部署 XSOAR 实例。所有新客户都以这种方式获得最新内容。对于现有客户,IoT 团队有 Jenkins 作业(每个 IoT 区域一个),它通过 API 以编程方式将 IoT 内容包上传到所有现有客户 XSOAR。

对于 XSOAR 的现有客户,IoT 要求他们通过 IoT UI 下载内容包并手动上传。客户需要将“content.pack.verify”标志设置为“false”并手动上传包。参考: https ://docs.paloaltonetworks.com/iot/iot-security-integration/get-started-with-iot-security-integrations/third-party-integrations-using-a-full-featured-xsoar-server

XSOAR 服务器升级
目前,XSOAR 6.X 升级是临时进行的。IoT 会在指定的停机时间窗口内显示 UI 通知消息以通知停机。

许可

IoT 通过 3P 附加许可证支持第三方集成,或者如果客户已经是现有 XSOAR 客户,则支持第三方集成。3P 附加许可证有以下几种形式:
      • 高级 - 客户可以进行无限集成
      • 基本版 - 客户一次只能启用 3 个集成

对于现有的 XSOAR 客户,IoT 不需要许可证即可集成。所有许可证执行均在剧本中完成。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sd79CAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language