Cortex XDR Agent 管理

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

Cortex XDR Agentの管理を行う「Endpoint Management」についての解説を行います。

ここでは、Endpoint Managementの管理コンソールから可能な管理について簡単に解説します。

 

Endpoint Managementの管理コンソールから行うことができる主な項目は下記の通りです。

【変更】バージョンアップ、アンインストール、Proxyの指定、ライセンス登録解除(表示削除)

【運用】フルスキャン開始/停止、ネットワーク隔離、Live Terminal、端末上の特定ファイル取得、サポートファイル取得

【表示】端末が関連するインシデント表示、割り当てられたポリシー表示、今まで行われたActionの表示

 ※Action Centerには、Endpoint Managementから行う管理項目と重複する管理項目を提供していますので、Action Centerから設定しても同様です

 

Cortex XDRの管理コンソールにログインし、画面上部のEndpoints > Endpoint ManagementにてCortex XDR Agentのエンドポイント端末管理画面を表示することができます。

2020-01-14_17h40_16.png

 ※フィルタ条件を利用することにより、OS、Group、IP、Install日時など、様々な条件で絞り込んだ表示を行うことができます。

 

端末情報として表示される項目は画面右上のFilterの右側の部分から選択することができます。

(規定値では一部の情報のみ表示される形となっています)

2020-01-14_19h17_09.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Cortex XDR Agentの端末の列を右クリックすると、下記のように様々な各Cortex XDR Agentの端末に対しての管理を行うことが可能です(項目により複数端末を選択することも可能です)。

2020-01-14_17h42_28.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ここでは幾つかの管理項目について解説します。

 

 

サポートファイルの取得

端末を選択して、「Retrieve Support File」をクリックします。

2020-01-14_18h04_44.png

 

 

 

 

 

 

 

 

 

 

 

クリック後、「OK」することで、サポートファイルを入手するアクションが開始されます。

画面上部のResponse > Action Centerをクリックすることで、進捗状況を確認することができます。

2020-01-14_18h07_27.png

 

  

サポートファイルの取得が完了すると、STATUSが「Completed Successfully」と表示されますので、右クリックして「Additional data」をクリックします。

2020-01-14_18h55_18.png

 

サポートファイルを取得した端末が一覧表示されますので、右クリックして「Download files」を選択することでサポートファイルを取得することができます。

2020-01-14_18h56_37.png

 

 

オンデマンドスキャンの実施

対象となるCortex XDR Agentの端末を選択して、「Initiate Malware Scan」をクリックします。

 2020-01-14_19h01_17.png

 

確認画面が表示されますので、スキャンをする場合には、「OK」をクリックします。

2020-01-14_19h03_43.png

 

 

 

 

 

 

 

 

 

 

「OK」をクリック後、サポートファイルを入手するアクションが開始されます。

画面上部のResponse > Action Centerをクリックすることで、進捗状況を確認することができます。

2020-01-14_19h05_48.png

 ※初回時のスキャンは特に終了まで時間が必要です。2回目以降は時間が大幅に短縮されます。

 

Action CenterのMalware Scanの右クリックを押して「Additional data」をクリックすることで、 詳細画面が開きます。

2020-01-14_19h40_11.png

 

 

スキャンを実施した対象端末において、右クリックから「View related security events」を選択することで検知したアラートを確認することができます。

2020-01-14_19h42_23.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

アラートが表示されますので、必要に応じて、右クリックから対象アラートを「Analyze」することで詳細を調査することができます。

2020-01-14_19h45_17.png

 

 

ネットワーク隔離の実施

対象となるCortex XDR Agentの端末を選択して、「Isolate Endpoint」をクリックします。

確認画面が表示されますので、「OK」をクリックします。

2020-01-14_19h12_50.png

 

 

 

 

 

 

 

 

 

 

Cortex XDR Agentに指示が行われ、Cortex XDR Agentの端末がネットワーク隔離されます。

端末にログインしているユーザには下記のような表示が一定期間ポップアップされます。

2020-01-14_19h13_59.png

 

 

 

 

 

 

Isolate Endpointを実施後、ネットワーク隔離が行われると、Endpoint Management上の画面でも確認することができます。下記のように(-)マークがENDPOINT NAMEの前に付与されます。

2020-01-14_19h21_03.png

 

 

ネットワーク隔離を解除したい場合には同様に端末を選択して、「Cancel Endpoint Isolation」をクリックします。

Cortex XDR Agentに指示が行われ、Cortex XDR Agentの端末がネットワーク隔離解除されます。

端末にログインしているユーザには下記のような表示が一定期間ポップアップされます。

2020-01-14_19h24_40.png

 

 

 

 

 

 

 

Live Terminalの実施

対象となるCortex XDR Agentの端末を選択して、「Initiate Live Terminal」をクリックします。

 

2020-01-14_19h34_11.png

 

 

 

 

 

 

 

 

 

 

Cortex XDR Agent端末が接続されていれば、Live Terminalが開始されます。

(ネットワーク帯域に応じて少し開始に時間が掛かります)

Live Terminalの詳細はこちらを参照してください。

2020-01-14_19h35_50.png

Live Terminalでの操作を終了する場合には、Disconnectをクリックしてください。

 

この記事を評価:
  • 8599 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎01-14-2020 02:49 AM
更新者: