[Cortex XDR]ポリシー設定方法 - Policy

tmuroi · ‎01-08-2020

Cortex XDR Agentは設定されたポリシー（Policy Rules）に従い、動作します。

ポリシーは「ターゲット（対象）」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル（Profiles）を割り当てることで動作します。（初期値としてDefaultのProfileが割り当てられています）

ターゲットは端末を単体で設定する以外に、グループ（Endpoint Groups）を割り当てることも可能です。

対象の端末が属するPolicy Rulesが複数存在している場合には、上側に設定されたものがポリシーとして割り当てられます。Policyの概念を下記に記載します。

ここでは、一例としてポリシー設定を下記のポリシーにてWindows端末に設定します。

XDR Proを有効化（端末の動作を常にクラウド上に記録して検知や調査などを行えるようにする）

1. Cortex XDRの管理コンソールにログイン

1.1. 画面左部の「Endpoints」＞「Policy Management」をクリックします。

2. Profileの作成

2.1. Agent Settings Profileの作成

2.1.1. 画面左側の「Profiles」をクリック後、右側のAdd Profile > Create Newをクリックします。

2.1.2. 「SELECT PLATFORM」画面にて Windows > Agent Settingsを選択し、右下のNextをクリックします。

2.1.3. 下記の設定を変更して、右下の「Create」をクリックします。

PROFILE NAME...記入必須

XDR Pro Endpoints内のXDR Pro Endpoints Capabilities...Enabled

また、Cortex XDR Agentを他のウイルス対策製品と共存利用時には、下記のWindows Security Center Ingegrationの設定変更を行ってください
(3rd Paryのウイルス対策製品と同居を保証するものではありません、WindowsのSecurity Centerへの登録を行わない設定となります)

Windows Security Center Integration...DISABLED

その他、マルウェア防御やエクスプロイト防御の設定を変更したい場合には、同様の手順で実施してください。

Agent Settings公式ドキュメント

Malware Settings公式ドキュメント

Exploit Settings公式ドキュメント

3. Policy Rulesの作成

Policy Settings公式ドキュメント

3.1. 画面左側の「Policy Rules」をクリック後、右側の「Add Policy」をクリックします。

3.2. 「Create New Policy」画面が表示されますので、先ほど作成したProfileを割り当てて、「Next」をクリックします。

POLICY NAME...記入必須

PLATFORM...Windowsを選択

Description...任意記入