[Cortex XDR/XSIAM]カスタムスクリプトを実行する - Response Action

 Cortex XDRはレスポンスアクションとして、端末側で任意のスクリプトを実行できる機能があります。

Cortex XDRが持つビルトインのスクリプトの他、お客様が自作したインシデント対応用スクリプトなども

実行することができます。

ここでは、簡単なサンプルスクリプトを用いて自作のスクリプトを実行する方法について説明します。

なとスクリプトはPython 3.7に対応している必要があります。

使用するスクリプトは、端末のホスト名とtrueという文字列をDictionaryで返すという単純なものです。

import socket

def sample_script():

    hostname=socket.gethostname()
    return {
        "hostname": hostname,
        "test": "true"
    }

自作スクリプトの設定

Script Library「New Script」ボタンをクリックします。

青字のBrowseをクリックしコードをアップロードします。上記のファイルをsample.pyという名前で

アップロードしてみます。

Script Nameにアップロード時のファイル名が埋め込まれます。これは編集可能です。

そのほかDescriptionやSupported OS、Timeoutなども設定します。

Inputで Run by entry endpointを選択し、エントリポイントとする関数を選択します。

この例では「sample_script」という関数しかないので、「sample_script」を選択します。

Outputでは、sample_scriptの戻り値を設定します。

DictionaryオブジェクトだったのでOutput TypeでDictionaryを選択します。

この例では２つのキーを定義してしているので、それらを設定します。

Friendly Nameを設定すると、実行結果をスクリプトの変数名ではなく指定した名前に置き換えて表示します。

上記のDefenitionsに記載された項目（General, Input, Output）はManifest fileというファイルを

アップロードしていただき設定するやり方もあります。こちらは一番下にあるTech Docのリンクから

ご確認ください。

「Create」をクリックすると、 

Scripts Libraryに登録されます。

スクリプトの実行

 作成したスクリプトを右クリックし「Run」を選択します。

以下のような画面に遷移します。

スクリプトを実行したいエンドポイントを選択します。

設定内容を確認して実行すると、

実行結果の確認

All Actionsで実行ステータスを確認できます。 Completed Successfullyになっていればスクリプトの実行が

完了しています。

実行した結果から「Additional Data」をクリックすると、

結果を確認できます。

変数「hostname」「test」に入ってきた値を確認できます。

3台の端末で実行して全て成功

「test」はtrueしか返さないので3件のtrueが得られた

「agent host name」はそれぞれの端末のホスト名が得られた

 青色の「Generate report」をクリックすると、Reportsから実行結果をpdfファイルでダウンロードできます。

スクリプトの実行結果を同じ画面ですね。

ご参考

Response ActrionでCISベンチマークを実施するスクリプトを実行するサンプルが紹介されておりますので、

１つのアイデアとして参考にしていただければと思います。

https://live.paloaltonetworks.com/t5/cortex-xdr-discussions/dtrh-cis-benchmarking-3rd-party-data-ing...

Tech Doc

カスタムスクリプトの設定の詳細はこちら