[Cortex XDR/XSIAM]次世代ファイアウォール/Prisma Accessと連携した脅威の封じ込め

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
100%が役に立ったと言っています (1/1)

アラート対応におけるCortex XDRの役割

 ネットワークセンサーやEDRのアラートは、多くの場合数十数百といったアラートが発生することがあり、

SOCチームはそれらの対応の優先づけが困難であったり、アラートで疲弊し全てをカバーしきれないといった課題があります。

 

 Cortex XDRは次世代ファイアウォールやPrisma Accessで発生した非常に多くのアラート(脅威ログ)を取り込んだり、

トラフィックログやEAL(Enhanced Application Log)、あるいはCortex XDRエージェントが収集するアクティビティを機械学習分析し、人の力では検出不可能な怪しい振る舞いをアラートとしてあげることができます。

 

また、Cortex XDRはこれらアラートのうちの複数のアラートが1つの事象と推測されると判断すると、

「インシデント」という単位で関連づけられ、MITRE ATT&CKフレームワークによる攻撃ステージの状況、

、Severityあるいは機械学習によるスコア(SmartScore)が付けられた上で管理しますので、

対応する側から見ると事象の全体感がわかり、かつ優先度を決める材料があるので調査が効率化します。

 

多くのアラートが1つのインシデントにまとまった例

massaito_0-1661238588966.png

 

検出された痕跡も1つにまとまる

複数のアラートがインシデントとして管理されると同時にArtifactと呼ばれる攻撃の痕跡、

例えばIPアドレス、ドメイン名、ファイル名(ファイルハッシュなど)なども自動的にリスト化されるため、

手作業でアラートから抽出する必要はありません。

 

次世代ファイアウォール/Prisma Accessに設定し脅威を封じ込める

検出されたIPアドレス・ドメイン名・ファイル名などの多くはグレーな場合が多く、ネットワーク側で遮断していない可能性が高いと思います。

調査の結果ブロックすべきと判断した場合、Cortex XDRと次世代ファイアウォール/Prisma Accessが連携し、これらの脅威から保護することができます。

 

EDLの活用

Cortex XDRはEDL(External Dynamic List)を活用し、IPアドレスやドメインの公開リストを作成することができます。

次世代ファイアウォールやPrisma Accessがそのデータをサブスクライブすることで簡単に情報連携することができ、

速やかにネットワーク保護するとともに、管理者が1つ1つのネットワークセンサーに設定する手間を省くことができます。

 

このように簡単に連携できることは、Palo Alto Networksがエンドポイントとネットワーク双方のソリューションを持つ大きな強みです。

 

連携の概要

ここでは連携の概要について説明しますので、詳細な設定については割愛しています。

 

まず、Cortex XDRのEDL向けのクレデンシャルを設定し、URL(IPアドレス用とドメイン用)を控えておきます。

massaito_0-1661221014550.png

 

控えておいた情報をNGFW側の外部ダイナミックリストで設定し、Cortex XDRの情報をサブスクライブするようにします。
以下の画面イメージではダイナミックURLリストですが、IPアドレスに対して行う場合ダイナミックIPリストに対しても同じように設定します。

massaito_1-1661221508597.png

 

怪しいIPアドレス、ドメイン名の登録

設定できる箇所は2箇所ありますが、状況に応じて選んでください。

 

1.インシデントの画面から登録する

アナリストの方が、Key Assets & Artifactsに表示されているドメイン名(あるいはIPアドレス)を

ブロックすべきと判断した場合、

「Add to EDL」からドメイン名(あるいはIPアドレス)を選択します。

 

massaito_0-1661236561777.png

 

内容を確認し「Add」をクリックすると、

massaito_1-1661236758090.png

 

External Dynamic Listに登録されます。

massaito_2-1661236821805.png

 

一方、NGFWの外部ダイナミックリストを見ると、

リストエントリ内にCortex XDRで登録したドメイン名(あるいはIPアドレス)を確認できます。

massaito_3-1661236893321.png

 

 

2.Incident Responseから登録する

Responseにある「EDL」から設定することも可能です。

massaito_4-1661237322873.png

 

 

Tech Docs

EDL(External Dynamic List)についてはこちら (PAN-OSのページに飛びます)

EAL(Enhanced Application Logs)についてはこちら(PAN-OSのページに飛びます)

Cortex XDRとEDL連携、必要なライセンスについてはこちら

 

 

この記事を評価:
  • 3420 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 04:33 AM
更新者: