[Corte XDR/XSIAM]ファイルハッシュを使って制御する - Block List/Allow List

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

Block ListとAllow List

Block Listにファイルハッシュ(SHA256)を登録しておくと、そのハッシュを持つファイルの実行はブロックされます。

一方で信頼されているファイルや良性のファイルをAllow Listに登録しておくと実行が許可されます。

Windowsの場合、実行形式ファイル以外にもマクロ付きのWord/Excelファイルのファイルハッシュなども設定できます。

 

このポリシーは他のポリシーに優先して適用されます。

 

また、Block List, Allow ListはCortex XDRのAPIを利用して登録することも可能です。

 

 

管理コンソールの設定

 

ここではBlock Listを使ってファイルの制御するサンプルを説明します。

Action CenterからBlock Listを選択し、 「+ New Action」をクリックします。

massaito_0-1669033905883.png

 

 Add to Block Listを選び、SHA256のハッシュ値を設定し、青矢印をクリックします。

massaito_2-1669034806299.png

 

massaito_3-1669034928205.png

 

ハッシュの内容確認して「Done」をクリックします。

massaito_4-1669034986901.png

 

Block Listに登録されたことを確認します。

massaito_5-1669035193984.png

 

端末で該当ファイルを実行する

実際にそのファイルを実行すると、以下のようなメッセージが表示されます。

massaito_11-1669036427539.png

 

 

管理コンソール側にもアラートが表示されます。

massaito_9-1669036096478.png

 

massaito_10-1669036299232.png

 

リストに追加できる箇所

Key Assets & Artifactsに表示される怪しいファイルから、リストに直接登録することも可能です。

(Add to Block List、Add to Allow List)

massaito_0-1669630137700.png

 

 

Tech Doc

Block List/Allow Listの詳細はこちら

Block ListのAPIはこちら

Allow ListのAPIはこちら

 

 

 

この記事を評価:
  • 2141 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:28 AM
更新者: