この記事では、2024年4月にリリースされたCortexの新機能のハイライトについて説明します。

機械翻訳であることと、下記以外に多くの機能強化が行われていることから、

正確な情報を把握するにはそれぞれのRelease Informationを参照してください。

またこちらのブログ（What’s Next in Cortex — XSIAM for Cloud and Other Innovations）も合わせて参照ください。

Cortex XDR 3.10 and Agent 8.4

• In-product support case creation

Cortex XDR内で直接チケットを提出することで、サポートケースの作成プロセスを簡素化します。これにより、コンソールの記録、関連ログのアップロード、特定のエンドポイントに対してエージェントの技術サポートファイル（TSF）を作成および送信するオプションなど、すべての関連コンテキストを含めることができます。

• Multi-role API keys

複数のロールを持つAPIキーを作成できるようになり、運用効率が向上し、APIキーの動的なRBAC管理が可能になります。APIキーの権限は、関連付けられたロールの集約権限を持ちます。

• Enhanced Vulnerability Assessment 強化された脆弱性評価

Cortex XDRは、CVEの詳細な分析と広範な情報を提供するために、先進的なアルゴリズムと包括的なデータベースを使用した強化された脆弱性評価モードを導入しました。このモードは、Cortex XDRエージェントバージョン8.3以降を実行しているWindowsおよびMacOSのエンドポイントで利用可能です。

• Root detection alerts on Android-based endpoints Androidベースのエンドポイントでのルート検出アラート

Cortex XDRは、ルートアクセス特権を使用して悪意のあるツールがインストールされる可能性があるAndroidデバイスを識別するためのルート検出アラートを追加しました。

• Analytics for Containerized Environments コンテナ環境向けの分析

Cortex XDRは、管理されたおよび管理されていないKubernetes環境向けに設計された検出分析パックを導入し、コンテナセキュリティ機能を強化しました。これにより、コンテナ化されたアプリケーション内の悪意のあるコンテンツの積極的な特定と緩和が可能になります。

• New configuration options for the iOS malware profile iOSマルウェアプロファイルの新しい設定オプション

エンドポイントiOSマルウェアプロファイルには、Safariブラウザセキュリティモジュールを使用してブラウザトラフィックを監視し、監視対象のiOSデバイスで不承認アプリのネットワークトラフィックを制限およびブロックするネットワークセキュリティモジュールオプションを構成するオプションが追加されました。これにより、疑わしいサイトの積極的なゲート管理と、ネットワークトラフィックの詳細な制御と監視が提供されます。

• Additional network filtering alerts for iOS-based endpoints  iOSベースのエンドポイント向けの追加ネットワークフィルタリングアラート

iOSの新しい保護モジュールであるNetwork ShieldとSafari Safeguardは、悪意のあるアプリ活動、不正なウェブサイトおよびURLへのアクセスを追跡し、不承認のウェブアクセスを監視するのに役立ちます。これらのモジュールの新しいイベントアラートには、悪意のあるネットワーク活動、悪意のあるネットワーク活動のダイジェスト、会社制限ネットワーク活動、会社制限ネットワーク活動のダイジェストが含まれます。

• New dataset for auditing correlation executions - 相関実行の監査のための新しいデータセット

（Cortex XDR Proライセンスが必要）

新しいcorrelations_auditingデータセットは、各ルール実行を記録することで、相関ルールの可視性を提供します。このデータセットは、クエリ時間、相関開始/終了時間、再試行試行、失敗理由、およびその他の有用な指標を記録します。

• クラウドセキュリティエージェント

（Cortex XDR Cloud per Hostライセンスが必要）

メンテナンスとリソースのオーバーヘッドを削減しながら、クラウドネイティブ環境向けのランタイムセキュリティおよび脆弱性管理機能を提供する統一エージェント。

要件:

Cortex XDR 3.10 Cloud per Hostライセンス

Prisma Cloud Compute

Cortex XDRエージェント8.2.1以上

サポート対象:

ホストおよびKubernetesインストーラー

Linuxのみ

リリースノートの詳細はこちら

Cortex Xpanse Xpander 2.5

• Attack Surface Testing (GA)

Cortex Xpanseは、顧客が承認した無害な攻撃表面テストを通じて脆弱性の存在を確認できるようになりました。脆弱性の存在を確認または否定することで、Xpanseはリスクをより正確かつ自信を持って優先順位付けできます。攻撃表面テストは、公開インターネットに露出しているサービスに対して毎日実行され、新たに直接発見されたサービスを自動的に含めるように設定できます。

• ASN data

ASN（自律システム番号）データフィルタと詳細を使用してアラートの調査に追加のコンテキストを得ることができます。Xpanseは、在庫でASNデータに基づくフィルタリングをサポートし、IPv4範囲と応答IPの詳細ペインでASNの詳細を提供します。

• New incident and alert pivots 新しいインシデントとアラートのピボット

インシデントまたはアラートから関連するアラート、サービス、ウェブサイトへと、関連付けられたIPアドレスまたはドメインを基にピボットすることができるようになりました。

• New outbound integrations  新しい外部統合

Rapid7 InsightVM—この統合は、ASM資産（IPアドレス、ドメイン）をRapid7内で複製し、スキャン対象として使用できるようにします。

• Active Response enhancement アクティブレスポンスの強化

リリース2.4でアクティブレスポンスに追加されたXDRエンリッチメントを基に、Cortex Xpanseは、インターネットに露出しているリスクに対してどのように対応するかについて、防御者に柔軟性を提供するエンドポイントベースの緩和プレイブックをサポートするようになりました。

。

• API Key with multiple roles 複数の役割を持つAPIキー

複数の役割を持つ単一のAPIキーを作成し、動的RBAC管理を使用し、管理作業を減らし、キーの増加を最小限に抑えることでセキュリティを向上させることができます。

• Custom incident and alert statuses and resolution types カスタムインシデントおよびアラートステータスおよび解決タイプ

組織のセキュリティ慣行に合わせてインシデントおよびアラート管理プロセスを調整するために、カスタムステータスとカスタム解決タイプを作成することができるようになりました。

• New authentication controls 新しい認証コントロール

新しい認証コントロールオプションは、セキュリティ侵害を防ぐための追加のセキュリティ機能を提供します。

パスワードレス認証

SSO認証にパスワード以外の資格情報を要求するオプションが追加されました。このオプションを選択すると、ユーザーは生体認証など、本質的に安全な認証要素を選択する必要があります。

強制認証

Cortex Xpanse Link、サードパーティ評価、および MSSP 用の Cortex Xpanse が Expander v2 でサポートされるようになりました。これには、Threat Response Center や IPv6 サポートなどの Expander v2 機能が含まれます。これらの製品の詳細については、パロアルトネットワークの営業担当者にお問い合わせください。

リリースノートの詳細はこちら

Cortex XSOAR 8.6

• Multi-Role API Keys マルチロールAPIキー

運用効率を向上させ、APIキーの動的なRBAC管理を可能にするために、複数のロールを持つAPIキーを作成できるようになりました。APIキーの権限は、関連付けられたロールの集約権限を持ちます。

• Enhanced role-based access control for dashboards ダッシュボードの役割ベースのアクセス制御の強化

管理者は、役割の割り当てを通じて特定のダッシュボードへのアクセスを指定ユーザーに制限できるようになりました。このカスタマイズされたアクセス制御により、ユーザーはより集中して効率的に調査および対応を行うことができます。

• New endpoint for managing API keys using the API APIを使用したAPIキーの管理のための新しいエンドポイント

 Cortex XSOARには、APIキーのGET、CREATE、UPDATE、DELETEのためのAPIエンドポイントが新設されました。これにより、新しい子テナントのオンボーディングの自動化や、既存のAPIキーの情報を取得することが容易になります。

• Customize the favicon color ファビコンの色のカスタマイズ

同じブラウザ内で複数のCortex XSOARテナントで作業しているユーザーは、ファビコンの色を変更することで、どのテナントが使用されているかを一目で識別できるようになりました。

• New Authentication Controls 新しい認証コントロール

パスワードレス認証

SSO認証にパスワード以外の資格情報を必須とするオプションが追加されました。このオプションを選択すると、ユーザーは生体認証などの本質的に安全な認証要素を使用してCortex XSOARにアクセスする必要があります。

強制認証

ユーザーが他のアプリケーションにアクセスするために認証済みであっても、Cortex XSOARテナントにアクセスする際に再認証を要求するオプションが追加されました。

• Add integration logs for non-python scripts and integrations　

統合ログは、非Pythonスクリプトおよび統合をサポートするようになりました。これにより、Python以外のコンテンツや実装の問題に対するトラブルシューティング能力が向上します。

• 新しく追加されたコンテンツ

QR Code Phishing Investigation playbook　QRコードフィッシング調査プレイブック

攻撃者はQRコードを使用して悪意のあるメールを偽装する手法を増やしています。埋め込まれたQRコードを自動的に分析する新機能により、フィッシング事件の調査が強化されます。

Prisma Cloud Compute playbook　Prisma Cloud Computeプレイブック

コンプライアンスインシデント用のプレイブックが導入され、包括的な分析レビューのために統合コマンドを使用してインシデントデータを強化します。

XDR Large Upload playbook　XDR大規模アップロードプレイブック

Cortex XDRのプレイブックは、SMTP、FTP、HTTPSなどのプロトコルを介した大規模アップロードに関連するインシデントを調査します。

リリース情報の詳細はこちら 

Cortex XSIAM 2.2

• Cloud-focused Command Center Dashboard

このダッシュボードは、クラウドベースのセキュリティオペレーションに関する直接的な洞察を提供し、クラウド資産、関連インシデント、リスク、脆弱性の詳細が確認できます。Prisma Cloudとの統合が強化され、クラウド環境内のインシデントと資産に関する洞察が向上しました。また、新しいUnified Asset Inventory (Beta)が導入され、異なるデータソースからの情報集約を含む包括的な資産プロファイルを提供します。

• Enhanced Integration with Prisma Cloud

Cortex XSIAMの統合がPrisma Cloudとの連携により強化され、クラウド環境のインシデントと資産についての洞察が向上しています。これにより、より広範なコンテキストと可視性、効果的なインシデントグループ化、自動化プレイブック、資産への簡単なナビゲーションが可能になります。

• Incident Drilldown in the XSIAM Command Center

XSIAMコマンドセンターを新しいドリルダウンダッシュボードでアップグレードしており、インシデントの詳細な分析、MITRE ATT&CKの戦術情報、自動化の推奨事項、および解決を担当する主要な担当者に関する情報を提供します。

• XSIAM Incident Domains

XSIAMインシデントドメインは、インシデントやアラートを特定のドメインに関連付け、各ドメインごとにカスタマイズされた体験を提供することで、作業効率の組織化と管理を支援します。これらは論理的な文脈の境界を形成し、他のケースに影響を与えることなく各運用ユースケースを管理・優先順位付けすることを可能にします。セキュリティ以外のユースケースにも独自のインシデントドメインを構築できます。

• Unified Asset Inventory (Beta)

新しい資産発見メカニズムを備えた統一資産インベントリが導入され、資産に関する可視性が強化されました。このインベントリは、異なるデータソースからの情報を集約した、豊富な資産情報を含む包括的な資産プロファイルを提供します。

リリースノートの詳細はこちら