Cortex XDR 運用支援機能

Cortex XDRはEPP, EDR, NDR, UBAを統合し、エンドポイントのEPP, EDRの運用支援機能のみならず、ネットワークやクラウドを含めて運用支援機能を提供しています。Cortex XDRはエンドユーザ様自身での運用を支援するため、または運用を提供する販売パートナー様自身で運用するための機能を提供しています。

こでは、主な運用支援機能をご紹介します。

０１．クラウド提供

Cortex XDRはクラウドから提供されるサービスであるため、オンプレミス型のウイルス対策製品と異なり、下記の運用メリットがあります。

　・サーバハードウェアやOSのコスト、OSのパッチ適用などのメンテナンス不要

　・ウイルス対策製品の管理サーバ側の定期的なバージョンアップやパッチ適用作業が不要

　・場所にとらわれず、インターネット接続環境のみで管理が可能

０２．パターンファイル配信不要

Cortex XDRのエンドポイントは日々のパターンファイル配信を行わず、パターンファイル配信の管理運用が不要です。また、クラウド上の世界最大規模の脅威インテリジェンスWildFireと連携することで、常に最新のマルウェア情報を入手可能であり、今までのウイルス対策で発生していたパターンファイル配信までのマルウェア感染リスクを低減します。また、Cortex XDRエージェントはローカル上に各種エンジン（各種エクスプロイト防御、マルウェア防御（静的解析、ふるまい防御）を搭載しており、インターネットに接続できない場合でも、攻撃を阻止する機能が継続されます。

０３．エージェントのバージョンアップを自動化

エージェントのバージョンアップは運用者にとって負担となりますが、エージェントのバージョンアップを自動化することができます。互換性問題による影響も考慮して、マイナーバージョンのバージョンアップのみ完全自動化するなどのカスタマイズも可能です。

０４．マルウェア解析を自動化

Cortex XDRは未知プログラムは全て自動的にWildFireで解析を行います。そのため、マルウェア疑いがあるファイルを発見した場合に、マルウェアファイルの入手や、メーカへの解析調査依頼などを行う必要はなく、Web管理コンソール上で解析結果を即時入手することが可能です。万が一、WildFireの判定結果が誤検知の疑いがある場合もWeb管理コンソールから修正／再調査依頼を行うことができます。

０５．誤検知／過検知の自動修正

機械学習技術により、ファイル構造からマルウェアに特徴が類似したファイルは、マルウェアとして判定できるようになりましたが、運用の観点からは、機械学習による判定は誤検知が発生しやすい技術です。Cortex XDRはローカルの機械学習とクラウドのWildFireの脅威インテリジェンスでの解析でダブルチェックすることにより、誤検知を低減しています。この仕組みにより、機械学習エンジンにより発生しやすい誤検知の課題を自動修正することができますので、日々の運用で誤検知の対処の運用工数を低減することができます。

０６．重要度、影響範囲を即時に把握、関連アラート統合によるインシデント化

Cortex XDRで検知されたセキュリティイベントは、自動的に関連するアラートが統合されて、1つのインシデントとして対応することができます。そのため、1つ1つのアラート単位で運用者が対応する必要がなく、インシデント単位で対応することができることが大きなCortex XDRの運用メリットになっています。また、各インシデント、アラート毎に重要度が自動判断され、実際に対応が必要なマルウェア感染疑いがあるものは重要度高として自動判断されます。一例としては下記のような

   ・プログラム実行後に、そのプログラムがマルウェアと判定変更された

   ・ランサムウェアが実行され、暗号化する行動を阻止した

   ・マルウェアによって行われる、カーネル脆弱性を悪用する管理者権限を奪取する攻撃を検知した

０７．レスポンス機能

マルウェア感染疑いがある場合に、Cortex XDRでは、Cortex XDRエージェントをリモートでの隔離機能（ホワイトリスト機能付き）やプロセス停止／ファイル隔離などのレスポンス機能を実装しています。その他、スクリプトの実行による各種情報収集や、ハッシュ値を利用した瞬時の検索やファイル削除機能を実装しています。一例として、重要度高のインシデント発生時に、端末をリモートで隔離し、マルウェアによる横感染のリスクを除いた状態において、端末の情報収集やフルスキャン、Live Terminalなどの各種対応を行うことができます。

Live Terminalは管理者がCortex XDRの管理コンソールから、遠隔で端末に入り込み、下記のような対処が可能です。

・タスクマネージャによる起動プロセスのチェックや停止

・各種ファイル操作

・コマンドラインやPowerShell, スクリプトの実行

０８．レポート生成

定期レポートやオンデマンドでレポートを作成し、Cortex XDR上でのイベント検知状況や、接続されているエージェント数やバージョン、各種ネットワークやクラウドからのログの取り込み状況などのレポートを自動的に生成し、状況を確認することができます。

０９．社内接続端末を一元管理

Asset Management機能により、企業のネットワークに接続されている全てのデバイスを可視化することができ、Cortex XDR Agentが導入されているかの確認も行うことができるようになっています。これにより常に内部ネットワークに接続されている端末を確認できるようになります。

１０．インベントリ情報の取得と脆弱性スキャン

Cortex XDRのHost Insightsにより、デバイスのシステム情報（ハードウェア情報、インストールアプリケーションなど）を一覧で表示するだけでなく、日々情報を記録することにより過去の状態と現在の情報を比較することもできます。

また、脆弱性スキャン機能により、MicrosoftのWindowsのセキュリティパッチの適用状況の確認やLinuxのアプリケーションの脆弱性が対象となるCortex XDR Agent上に存在するかなどの確認も行うことができます。

１１．ハッシュ値による即時ファイル発見・削除

Cortex XDRのHost Insightsでは、端末上に存在するファイルのハッシュ値を一瞬で検索して削除することもできます。最近は脅威インテリジェンスの活用により、悪意のあるファイルのハッシュ値情報を活用することが増えていますが、この機能により、端末内に危険なファイルが存在しないかを素早く確認することができます。