C:. >>> 解凍後のルートフォルダには、一部を除き OS 関連の情報やファイルが含まれる
¦ Application.evtx >>> Windows Event Log (Application)
¦ AuditPolicy.txt >>> 監査ポリシー
¦ BootConfig.txt >>> OS の Boot Configuration
¦ Certificates.txt >>> IIS Web サーバーにバインドされた証明書の情報
¦ CertificateStore.txt >>> 証明書ストアの情報
¦ ConnectivityTest.txt >>> Agent の接続テストの結果
¦ ControlWmi.txt >>> WMI のレジストリキーの情報
¦ CpuHardware.txt >>> CPU の情報
¦ cyserver.exe.3064.self.exe.dump >>> サポートファイル時に取得した cyserver.exe のプロセスダンプ
¦ CyveraSoftware.reg >>> HKLM\Software\Cyvera キーのエクスポート
¦ CyveraSystem.reg >>> HKLM\SYSTEM\Cyvera キーのエクスポート
¦ DeviceInfo.txt >>> デバイスツリー
¦ DriversList.txt >>> インストールされているドライバの情報 (sc query type= driver コマンド)
¦ FilterDrivers.txt >>> インストールされているフィルタドライバの情報
¦ Firewall.txt >>> Windows のファイアウォールとネットワーク保護の情報 (ドメイン、プライベート、パブリック)
¦ GeneralInfo.txt >>> ホスト名、ユーザー名、ドメイン名、OS バージョン、IPアドレス、CUバージョンの要約された情報
¦ HardDiskHardware.txt >>> 接続されているハードディスクのハードウェア情報
¦ HardDisksList.txt >>> マウントされているドライブの情報
¦ HardwareEvents.evtx >>> Windows Event Log (ハードウェア情報)
¦ IEPlugins.txt >>> Interne Explorer のプラグイン情報
¦ InstalledAppsList.txt >>> インストールされているアプリケーション ()
¦ InstallerClasses.reg >>> HKCR\Installer キーのエクスポート
¦ InstallerMachine.reg >>> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer キーのエクスポージャー
¦ Ipconfig.txt >>> ipconfig コマンドの出力結果
¦ NetshTcpGlobalPolicy.txt >>> TCP 受信ウィンドウの自動チューニング レベルの設定内容 (netsh interface tcp show global)
¦ Netstat.txt >>> netstat -nab コマンドの出力結果
¦ NetUse.txt >>> net use コマンドの出力結果
¦ NicHardware.txt >>> ネットワークインターフェースカードのハードウェア情報
¦ Palo-Alto-Networks.evtx >>> Windows Event Log (Palo Alto Networks)
¦ PanwSoftware.reg >>> HKLM\Software\Palo Alto Networks キーのエクスポート
¦ Policies.reg >>> グループポリシーの設定内容 (HKLM\SOFTWARE\Policies\Microsoft キー)
¦ ProxySettings.txt >>> 端末のプロキシ設定 (端末およびユーザーユーザー)
¦ Security.evtx >>> Windows Event Log (Security)
¦ ServicesList.txt >>> インストールされているサービスの情報 (sc query type= service コマンド)
¦ System.evtx >>> Windows Event Log (System)
¦ TaskList.txt >>> 稼働中のプロセス一覧
¦ TaskListServices.txt >>> 稼働中のプロセスとサービスの一覧
¦ TempFolderInfo.txt >>> Agent の Temp フォルダの情報
¦ TrustedPublishers.txt >>> Cortex XDR の Trusted Publishers と Known Publishers の一覧
¦ WfpFilters.txt >>> Windows Filtering Platform の診断ファイル
¦ WfpState.txt >>> Windows Filtering Platform のステータス(netsh wfp show state)
¦ WildFireHashes.txt >>> 一部のハッシュ値とVerdict 情報
¦ WinsockCatalog.txt >>> Winsock Catalog Provider Entry
¦ WmiAntiSpywareProducts.txt >>> WMI で識別されているスパイウェア対策製品
¦ WmiAvProducts.txt >>> WMI で識別されているウイルス対策製品
¦ WmiFirewallProducts.txt >>> WMI で識別されているファイアウォール製品
¦ WmiPerfData1.txt >>> Performance Monitoring データ1
¦ WmiPerfData2.txt >>> Performance Monitoring データ2
¦ _CRYPTO-INFO
¦ 
+---additional
¦ +---collected_08-11-23T06_51_31
¦ cpu_count_info.txt >>> CPU のコア数、ロジカルプロセッサ数の情報
¦ msinfo32.nfo >>> システム情報
¦ page_file_info.txt >>> page file の情報
¦ system_env_vars.reg >>> システム環境変数 (HKLM\System\CurrentControlSet\Control\Session Manager\Environment キーのエクスポート)
¦ 
+---config
¦ common.xml >>> Agent のディレクトリ情報
¦ content.pem >>> Content Update 用の公開鍵
¦ execute.pem >>> SAM の実行用の公開鍵
¦ roots.pem >>> テナントアクセス用の公開鍵
¦ trapsd.xml >>> cyserver.exe の設定情報
¦ unreg_1
¦ upgrade.pem >>> アップグレードパッケージダウンロード用の公開鍵
¦ 
+---console >>> Agent のコンソールログ
¦ ConsoleCross_<hostname>-<user_name>..log >>> Agent のコンソールログ
¦ 
+---content >>> Content Update のファイル
¦ (省略)
¦ 
+---db_backup
¦ core_home_url.txt >>> Core Home (ch-テナント名.paloaltonetworks.com) の URL情報
¦ distribution_id.txt >>> Distribution ID の情報
¦ 
+---Dump >>> cyserver.exe がクラッシュした場合に、ダンプファイルが含まれる。
+---Ecl >>> EDR data
¦ (省略)
¦ 
+---logs >>> Agent の各ログファイル
¦ adaptive_policy.1.log.gz
¦ adaptive_policy.log
¦ cortex-xdr-payload.log
¦ cytool.log
¦ cytool.<user_name>.log
¦ forensic_scripts.log
¦ python_service.log
¦ tedr.tmf
¦ trapsd.0.log.gz
¦ trapsd.1.log.gz
¦ trapsd.2.log.gz
¦ trapsd.3.log.gz
¦ trapsd.4.log.gz
¦ trapsd.5.log.gz
¦ trapsd.6.log.gz
¦ trapsd.7.log.gz
¦ trapsd.8.log.gz
¦ trapsd.9.log.gz
¦ trapsd.log
¦ Traps_native_log.8.1.1.43337.etl.001
¦ Traps_native_log.8.1.1.43337.etl.002
¦ Traps_native_log.8.1.1.43337.etl.003
¦ traps_native_log.8.1.1.43337.tmf
¦ tsf_collector_08-11-23T06_51_31.txt
¦ uninstall-2023-08-25T07-22-38.617Z.log
¦ upgrade-2023-08-25T08-21-14.470Z.log
¦ 
+---OsPersistence
¦ agent.id >>> Agent ID (Endpoint ID) の情報
¦ hardware.id >>> Agent ID の計算に使用される HW ID の情報
¦ 
+---Persistence >>> Persistent DB が含まれる
¦ (省略)
¦ 
+---prevention >>> 検出時に生成されるxmlファイルやjsonファイルが含まれる
¦ (省略)
¦ 
+---Scan >>> スキャン結果の xml ファイルが含まれる
¦ (省略)

以下のファイルは、初期調査として参照する主なファイルです。各ログファイルのどの部分をどのように参照すべきかは、別の記事にて個別に紹介いたします。

各イベントログ ファイル (*.evtx)

インストールの失敗や、アプリケーションエラーが発生していないか、確認することができます。また、それらの発生日時を把握することもできます。

障害内容によっては、関連するイベントが記録されていないか、参照することがあります。

CertificateStore.txt

証明書ストアの情報が含まれています。エージェントがサーバーに登録されない、サーバーに接続できない、Content Update が失敗する障害で、証明書に関するエラーが発生している場合に、裏付けとして参照します。

ConnectivityTest.txt

エージェントから Cortex XDR のサーバー群への接続テストの結果が記録されています。接続に関する障害の場合に参照します。

DriversList.txt および FilterDrivers.txt

端末にロードされているドライバおよびフィルタドライバの情報が含まれています。

Cortex XDR Agent で使用するドライバがロードされているか、サードパーティ製品のドライバがロードされていないか、確認することができます。

GeneralInfo.txt

インストールされている Agent のバージョンや、CU のバージョン、OS のバージョン、ホスト名、ログインしているユーザー名、IP アドレス、といった情報が含まれています。

障害内容によっては、これらの情報は重要となりますので、最初に参照しておきます。

InstalledAppsList.txt

端末にインストールされている製品が確認できます。競合製品のインストールの有無などを確認することができます。

msinfo32.nfo

ハードウェア、ドライバ、環境変数、サービス、実行中のタスクなど、様々な情報が確認できます。コンピュータの環境を確認するには、このファイルを参照するだけでも良いかもしれません。

ProxySettings.txt

ServicesList.txt

TaskList.txt および TaskListServices.txt

稼働しているプロセスやサービスの情報が含まれています。TaskListServices.txt は、プロセスとどのサービスが対になった情報が含まれています。エージェントのプロセスやサービスや他社製品の PID の確認のために参照する場合があります。

console¥ConsoleCross_hostname..txt

Cortex XDR Agent UI のログです。サポートファイルの作成がうまくいかない、Agent コンソールの表示が更新されないなどの場合に参照します。

Logs¥trapsd.log (trapsd.0.log.gz〜trapsd.9.log.gz)

主に、Cortex XDR サーバーへの接続できない場合に参照します。また、未知のファイルの virdict 情報を取得するための通信も含まれているため、それらの成否や発生日時を確認することもあります。

Logs¥uninstall-<日時>.log

Cortex XDR 管理コンソールから、アンインストール アクションを実行した場合に作成されるファイルです。

アンインストールに関する障害調査で参照します。

※ ローカルで実行した場合、デフォルトでは %temp% フォルダ内に作成されます。

Logs¥upgrade-<日時>.log

Cortex XDR 管理コンソールから、アップグレード アクションを実行した場合に作成されるファイルです。

アップグレードに関する障害調査で参照します。

※ ローカルで実行した場合、デフォルトでは %temp% フォルダ内に作成されます。

Scan フォルダ

スキャンごとにxmlファイルが作成されます。スキャン結果や、エラーの内容等を確認することができます。

注意事項: cyserver.exe.<PID>.self.exe.dump ファイルについて