[Cortex XDR]ポリシー設定方法 - Policy

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

Cortex XDR Agentは設定されたポリシー(Policy Rules)に従い、動作します。

ポリシーは「ターゲット(対象)」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル(Profiles)を割り当てることで動作します。(初期値としてDefaultのProfileが割り当てられています)

 

ターゲットは端末を単体で設定する以外に、グループ(Endpoint Groups)を割り当てることも可能です。

対象の端末が属するPolicy Rulesが複数存在している場合には、上側に設定されたものがポリシーとして割り当てられます。Policyの概念を下記に記載します。

2020-01-08_15h12_51.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ここでは、一例としてポリシー設定を下記のポリシーにてWindows端末に設定します。

  • XDR Proを有効化(端末の動作を常にクラウド上に記録して検知や調査などを行えるようにする)

 

1. Cortex XDRの管理コンソールにログイン

1.1. 画面左部の「Endpoints」>「Policy Management」をクリックします。

tmuroi_0-1668725096962.png

 

2. Profileの作成

2.1. Agent Settings Profileの作成

 

2.1.1. 画面左側の「Profiles」をクリック後、右側のAdd Profile > Create Newをクリックします。

tmuroi_1-1668725143396.png

2.1.2. 「SELECT PLATFORM」画面にて Windows > Agent Settingsを選択し、右下のNextをクリックします。

tmuroi_2-1668725203590.png

 

2.1.3. 下記の設定を変更して、右下の「Create」をクリックします。

PROFILE NAME...記入必須

tmuroi_12-1668727442783.png

XDR Pro Endpoints内のXDR Pro Endpoints Capabilities...Enabled

tmuroi_3-1668725492015.png

また、Cortex XDR Agentを他のウイルス対策製品と共存利用時には、下記のWindows Security Center Ingegrationの設定変更を行ってください
(3rd Paryのウイルス対策製品と同居を保証するものではありません、WindowsのSecurity Centerへの登録を行わない設定となります)

Windows Security Center Integration...DISABLED

tmuroi_4-1668725548140.png

 

その他、マルウェア防御やエクスプロイト防御の設定を変更したい場合には、同様の手順で実施してください。

Agent Settings公式ドキュメント 

Malware Settings公式ドキュメント 

Exploit Settings公式ドキュメント 

 

3. Policy Rulesの作成

Policy Settings公式ドキュメント

3.1. 画面左側の「Policy Rules」をクリック後、右側の「Add Policy」をクリックします。

tmuroi_6-1668726254465.png

 

3.2. 「Create New Policy」画面が表示されますので、先ほど作成したProfileを割り当てて、「Next」をクリックします。

POLICY NAME...記入必須

PLATFORM...Windowsを選択

Description...任意記入

AGENT SETTINGS...作成したPROFILE設定を利用する場合に選択

EXPLOIT...作成したPROFILE設定を利用する場合に選択

MALWARE...作成したPROFILE設定を利用する場合に選択

RESTRICTIONS...作成したPROFILE設定を利用する場合に選択

EXCEPTIONS...作成したPROFILE設定を利用する場合に選択

tmuroi_7-1668726386614.png

 

3.3. 対象を選択する画面が表示されますので、Windowsの全端末であれば、

  フィルタ条件を何も変更せずに、「Next」をクリックします。

  特定端末/グループに対してポリシーを適用したい場合には、端末を直接クリックして選択するか、
  フィルタ条件を指定します。

tmuroi_8-1668726506457.png

 

3.4. 設定の確認画面が表示されますので、確認後、「Done」をクリックします。

tmuroi_9-1668726577842.png

 

3.5. 設定を保存するために「Save」をクリックします。

tmuroi_10-1668726616862.png

 

3.6. 複数のポリシーがある場合には矢印マークにてポリシーの順番を入れ替えることができます。

入れ替えた場合には「Save」することで反映され、ポリシーは上から順番に評価され、最初に一致したポリシー設定が端末に反映されます。

tmuroi_11-1668726689845.png

以上でポリシーの設定を解説しました。

 

[Tips]

下記のような場合はAgent Settingsの設定を調整します。

  • マルウェア検知時などのメッセージをカスタマイズしたい
  • エージェントのバージョンアップを自動化させたい

 下記のような場合はMalware Profileの設定を調整します。

  • 特定フォルダからのファイル検査を許可したい
  • 定期スキャンを実施したい

下記のような場合はExploit Profileの設定を調整します。

  • アプリケーションの競合が発生して、除外を行いたい
この記事を評価:
  • 7354 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-17-2022 03:24 PM
更新者: