[Corte XDR/XSIAM]ファイルハッシュを使って制御する - Block List/Allow List

Block ListとAllow List

Block Listにファイルハッシュ(SHA256)を登録しておくと、そのハッシュを持つファイルの実行はブロックされます。

一方で信頼されているファイルや良性のファイルをAllow Listに登録しておくと実行が許可されます。

Windowsの場合、実行形式ファイル以外にもマクロ付きのWord/Excelファイルのファイルハッシュなども設定できます。

このポリシーは他のポリシーに優先して適用されます。

また、Block List, Allow ListはCortex XDRのAPIを利用して登録することも可能です。

管理コンソールの設定

ここではBlock Listを使ってファイルの制御するサンプルを説明します。

Action CenterからBlock Listを選択し、 「+ New Action」をクリックします。

 Add to Block Listを選び、SHA256のハッシュ値を設定し、青矢印をクリックします。

ハッシュの内容確認して「Done」をクリックします。

Block Listに登録されたことを確認します。

端末で該当ファイルを実行する

実際にそのファイルを実行すると、以下のようなメッセージが表示されます。

管理コンソール側にもアラートが表示されます。

リストに追加できる箇所

Key Assets & Artifactsに表示される怪しいファイルから、リストに直接登録することも可能です。

（Add to Block List、Add to Allow List）

Tech Doc

Block List/Allow Listの詳細はこちら

Block ListのAPIはこちら

Allow ListのAPIはこちら