[JPN-003] Support File に含まれるファイルについて (Windows)

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
重要なadvisoryがございます。Customer Advisoryエリアにサインインし、advisoryに添付の日本語PDFファイルをご確認ください。
L2 Linker
100%が役に立ったと言っています (1/1)

はじめに

この記事では、Cortex XDR のトラブルシューティングに役立つ情報を紹介しています。下記の JPN-003 トレーニング動画よりも、詳細な情報が含まれています。
事前に JPN-003 トレーニング動画の視聴をお勧めいたします。
 
また、実際に障害が発生しているにつきましては、弊社のナレッジベースもご活用ください。
 

サポートファイルについて

Cortex XDR Agent をインストールした後、何らかの障害が発生した場合、初期調査用のデータとしてサポートファイルの収集をお願いしております。この記事では、サポートファイルにどのようなファイルが含まれているか、どのような場合にどのログファイルを参照すべきか、解説いたします。

収集の方法については、上記の JPN-003 の動画や Admin Guide をご参照ください。
 

サポートファイルに含まれるもの

Cortex XDR Agent for Windows のサポートファイルには、以下のファイルが含まれています。バージョンによって差異はありますが、おおむね同様です。 この記事ではバージョン 8.1.1 で取得したサポートファイルを使用しています。
初期調査の際には、主に赤文字のファイルを参照します。
 
C:. >>> 解凍後のルートフォルダには、一部を除き OS 関連の情報やファイルが含まれる
¦ Application.evtx >>> Windows Event Log (Application)
¦ AuditPolicy.txt >>> 監査ポリシー
¦ BootConfig.txt >>> OS の Boot Configuration
¦ Certificates.txt >>> IIS Web サーバーにバインドされた証明書の情報
¦ CertificateStore.txt >>> 証明書ストアの情報
¦ ConnectivityTest.txt >>> Agent の接続テストの結果
¦ ControlWmi.txt >>> WMI のレジストリキーの情報
¦ CpuHardware.txt >>> CPU の情報
¦ cyserver.exe.3064.self.exe.dump >>> サポートファイル時に取得した cyserver.exe のプロセスダンプ
¦ CyveraSoftware.reg >>> HKLM\Software\Cyvera キーのエクスポート
¦ CyveraSystem.reg >>> HKLM\SYSTEM\Cyvera キーのエクスポート
¦ DeviceInfo.txt >>> デバイスツリー
¦ DriversList.txt >>> インストールされているドライバの情報 (sc query type= driver コマンド)
¦ FilterDrivers.txt >>> インストールされているフィルタドライバの情報
¦ Firewall.txt >>> Windows のファイアウォールとネットワーク保護の情報 (ドメイン、プライベート、パブリック)
¦ GeneralInfo.txt >>> ホスト名、ユーザー名、ドメイン名、OS バージョン、IPアドレス、CUバージョンの要約された情報
¦ HardDiskHardware.txt >>> 接続されているハードディスクのハードウェア情報
¦ HardDisksList.txt >>> マウントされているドライブの情報
¦ HardwareEvents.evtx >>> Windows Event Log (ハードウェア情報)
¦ IEPlugins.txt >>> Interne Explorer のプラグイン情報
¦ InstalledAppsList.txt >>> インストールされているアプリケーション ()
¦ InstallerClasses.reg >>> HKCR\Installer キーのエクスポート
¦ InstallerMachine.reg >>> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer キーのエクスポージャー
¦ Ipconfig.txt >>> ipconfig コマンドの出力結果
¦ NetshTcpGlobalPolicy.txt >>> TCP 受信ウィンドウの自動チューニング レベルの設定内容 (netsh interface tcp show global)
¦ Netstat.txt >>> netstat -nab コマンドの出力結果
¦ NetUse.txt >>> net use コマンドの出力結果
¦ NicHardware.txt >>> ネットワークインターフェースカードのハードウェア情報
¦ Palo-Alto-Networks.evtx >>> Windows Event Log (Palo Alto Networks)
¦ PanwSoftware.reg >>> HKLM\Software\Palo Alto Networks キーのエクスポート
¦ Policies.reg >>> グループポリシーの設定内容 (HKLM\SOFTWARE\Policies\Microsoft キー)
¦ ProxySettings.txt >>> 端末のプロキシ設定 (端末およびユーザーユーザー)
¦ Security.evtx >>> Windows Event Log (Security)
¦ ServicesList.txt >>> インストールされているサービスの情報 (sc query type= service コマンド)
¦ System.evtx >>> Windows Event Log (System)
¦ TaskList.txt >>> 稼働中のプロセス一覧
¦ TaskListServices.txt >>> 稼働中のプロセスとサービスの一覧
¦ TempFolderInfo.txt >>> Agent の Temp フォルダの情報
¦ TrustedPublishers.txt >>> Cortex XDR の Trusted Publishers と Known Publishers の一覧
¦ WfpFilters.txt >>> Windows Filtering Platform の診断ファイル
¦ WfpState.txt >>> Windows Filtering Platform のステータス(netsh wfp show state)
¦ WildFireHashes.txt >>> 一部のハッシュ値とVerdict 情報
¦ WinsockCatalog.txt >>> Winsock Catalog Provider Entry
¦ WmiAntiSpywareProducts.txt >>> WMI で識別されているスパイウェア対策製品
¦ WmiAvProducts.txt >>> WMI で識別されているウイルス対策製品
¦ WmiFirewallProducts.txt >>> WMI で識別されているファイアウォール製品
¦ WmiPerfData1.txt >>> Performance Monitoring データ1
¦ WmiPerfData2.txt >>> Performance Monitoring データ2
¦ _CRYPTO-INFO
¦
+---additional
¦ +---collected_08-11-23T06_51_31
¦ cpu_count_info.txt >>> CPU のコア数、ロジカルプロセッサ数の情報
¦ msinfo32.nfo >>> システム情報
¦ page_file_info.txt >>> page file の情報
¦ system_env_vars.reg >>> システム環境変数 (HKLM\System\CurrentControlSet\Control\Session Manager\Environment キーのエクスポート)
¦
+---config
¦ common.xml >>> Agent のディレクトリ情報
¦ content.pem >>> Content Update 用の公開鍵
¦ execute.pem >>> SAM の実行用の公開鍵
¦ roots.pem >>> テナントアクセス用の公開鍵
¦ trapsd.xml >>> cyserver.exe の設定情報
¦ unreg_1
¦ upgrade.pem >>> アップグレードパッケージダウンロード用の公開鍵
¦
+---console >>> Agent のコンソールログ
¦ ConsoleCross_<hostname>-<user_name>..log >>> Agent のコンソールログ
¦
+---content >>> Content Update のファイル
¦ (省略)
¦
+---db_backup
¦ core_home_url.txt >>> Core Home (ch-テナント名.paloaltonetworks.com) の URL情報
¦ distribution_id.txt >>> Distribution ID の情報
¦
+---Dump >>> cyserver.exe がクラッシュした場合に、ダンプファイルが含まれる。
+---Ecl >>> EDR data
¦ (省略)
¦
+---logs >>> Agent の各ログファイル
¦ adaptive_policy.1.log.gz
¦ adaptive_policy.log
¦ cortex-xdr-payload.log
¦ cytool.log
¦ cytool.<user_name>.log
¦ forensic_scripts.log
¦ python_service.log
¦ tedr.tmf
¦ trapsd.0.log.gz
¦ trapsd.1.log.gz
¦ trapsd.2.log.gz
¦ trapsd.3.log.gz
¦ trapsd.4.log.gz
¦ trapsd.5.log.gz
¦ trapsd.6.log.gz
¦ trapsd.7.log.gz
¦ trapsd.8.log.gz
¦ trapsd.9.log.gz
¦ trapsd.log
¦ Traps_native_log.8.1.1.43337.etl.001
¦ Traps_native_log.8.1.1.43337.etl.002
¦ Traps_native_log.8.1.1.43337.etl.003
¦ traps_native_log.8.1.1.43337.tmf
¦ tsf_collector_08-11-23T06_51_31.txt
¦ uninstall-2023-08-25T07-22-38.617Z.log
¦ upgrade-2023-08-25T08-21-14.470Z.log
¦
+---OsPersistence
¦ agent.id >>> Agent ID (Endpoint ID) の情報
¦ hardware.id >>> Agent ID の計算に使用される HW ID の情報
¦
+---Persistence >>> Persistent DB が含まれる
¦ (省略)
¦
+---prevention >>> 検出時に生成されるxmlファイルやjsonファイルが含まれる
¦ (省略)
¦
+---Scan >>> スキャン結果の xml ファイルが含まれる
¦ (省略)

初期調査時に参照するファイルについて

以下のファイルは、初期調査として参照する主なファイルです。各ログファイルのどの部分をどのように参照すべきかは、別の記事にて個別に紹介いたします。

 

各イベントログ ファイル (*.evtx)

インストールの失敗や、アプリケーションエラーが発生していないか、確認することができます。また、それらの発生日時を把握することもできます。

障害内容によっては、関連するイベントが記録されていないか、参照することがあります。

 

CertificateStore.txt

証明書ストアの情報が含まれています。エージェントがサーバーに登録されない、サーバーに接続できない、Content Update が失敗する障害で、証明書に関するエラーが発生している場合に、裏付けとして参照します。

 

ConnectivityTest.txt

エージェントから Cortex XDR のサーバー群への接続テストの結果が記録されています。接続に関する障害の場合に参照します。

 

DriversList.txt および FilterDrivers.txt

端末にロードされているドライバおよびフィルタドライバの情報が含まれています。

Cortex XDR Agent で使用するドライバがロードされているか、サードパーティ製品のドライバがロードされていないか、確認することができます。

 

GeneralInfo.txt

インストールされている Agent のバージョンや、CU のバージョン、OS のバージョン、ホスト名、ログインしているユーザー名、IP アドレス、といった情報が含まれています。

障害内容によっては、これらの情報は重要となりますので、最初に参照しておきます。

 

InstalledAppsList.txt

端末にインストールされている製品が確認できます。競合製品のインストールの有無などを確認することができます。

 

msinfo32.nfo

ハードウェア、ドライバ、環境変数、サービス、実行中のタスクなど、様々な情報が確認できます。コンピュータの環境を確認するには、このファイルを参照するだけでも良いかもしれません。

 

ProxySettings.txt

OS 側で設定されているプロキシ設定の内容が含まれています。接続性の障害の場合に参照することがあります。
 

ServicesList.txt

インストールされているサービスの一覧が含まれています。サービスの稼働状況を確認するために、参照します。
 

TaskList.txt および TaskListServices.txt

稼働しているプロセスやサービスの情報が含まれています。TaskListServices.txt は、プロセスとどのサービスが対になった情報が含まれています。エージェントのプロセスやサービスや他社製品の PID の確認のために参照する場合があります。

 

console¥ConsoleCross_hostname..txt

Cortex XDR Agent UI のログです。サポートファイルの作成がうまくいかない、Agent コンソールの表示が更新されないなどの場合に参照します。

 

Logs¥trapsd.log (trapsd.0.log.gz〜trapsd.9.log.gz)

主に、Cortex XDR サーバーへの接続できない場合に参照します。また、未知のファイルの virdict 情報を取得するための通信も含まれているため、それらの成否や発生日時を確認することもあります。

 

Logs¥uninstall-<日時>.log

Cortex XDR 管理コンソールから、アンインストール アクションを実行した場合に作成されるファイルです。

アンインストールに関する障害調査で参照します。

※ ローカルで実行した場合、デフォルトでは %temp% フォルダ内に作成されます。

 

Logs¥upgrade-<日時>.log

Cortex XDR 管理コンソールから、アップグレード アクションを実行した場合に作成されるファイルです。

アップグレードに関する障害調査で参照します。

※ ローカルで実行した場合、デフォルトでは %temp% フォルダ内に作成されます。

 

Scan フォルダ

スキャンごとにxmlファイルが作成されます。スキャン結果や、エラーの内容等を確認することができます。

 

 

注意事項: cyserver.exe.<PID>.self.exe.dump ファイルについて

サポートファイルのルートに cyserver.exe のプロセスダンプが作成されますが、取得方法によっては作成されない場合があります。Cortex XDR Agent コンソールから、[サポートファイルの生成]をクリックして実行した場合、管理者権限で実行されていないため、このファイルは生成されません。
Cortex XDR 管理コンソールからの取得 (Retrieve Support File) や、cytool コマンドで取得する場合は管理者権限での実行となり、生成されます。
ほとんどの障害では必要ありませんが、障害内容によっては調査に必要な場合があります。その場合はサポートファイルをいずれかの方法で取得し直していただく場合があります。
この記事を評価:
  • 308 閲覧回数
  • 0 コメント
  • 3 賞賛
Register or Sign-in
寄稿者
ラベル
記事ダッシュボード
バージョン履歴
最終更新日:
‎12-19-2023 05:29 PM
更新者: