[Cortex XDR/XSIAM]次世代ファイアウォール/Prisma Accessと連携した脅威の封じ込め

アラート対応におけるCortex XDRの役割

　ネットワークセンサーやEDRのアラートは、多くの場合数十数百といったアラートが発生することがあり、

SOCチームはそれらの対応の優先づけが困難であったり、アラートで疲弊し全てをカバーしきれないといった課題があります。

　Cortex XDRは次世代ファイアウォールやPrisma Accessで発生した非常に多くのアラート(脅威ログ)を取り込んだり、

トラフィックログやEAL(Enhanced Application Log)、あるいはCortex XDRエージェントが収集するアクティビティを機械学習分析し、人の力では検出不可能な怪しい振る舞いをアラートとしてあげることができます。

また、Cortex XDRはこれらアラートのうちの複数のアラートが１つの事象と推測されると判断すると、

「インシデント」という単位で関連づけられ、MITRE ATT&CKフレームワークによる攻撃ステージの状況、

、Severityあるいは機械学習によるスコア(SmartScore)が付けられた上で管理しますので、

対応する側から見ると事象の全体感がわかり、かつ優先度を決める材料があるので調査が効率化します。

多くのアラートが１つのインシデントにまとまった例

検出された痕跡も1つにまとまる

複数のアラートがインシデントとして管理されると同時にArtifactと呼ばれる攻撃の痕跡、

例えばIPアドレス、ドメイン名、ファイル名(ファイルハッシュなど)なども自動的にリスト化されるため、

手作業でアラートから抽出する必要はありません。

次世代ファイアウォール/Prisma Accessに設定し脅威を封じ込める

検出されたIPアドレス・ドメイン名・ファイル名などの多くはグレーな場合が多く、ネットワーク側で遮断していない可能性が高いと思います。

調査の結果ブロックすべきと判断した場合、Cortex XDRと次世代ファイアウォール/Prisma Accessが連携し、これらの脅威から保護することができます。

EDLの活用

Cortex XDRはEDL(External Dynamic List)を活用し、IPアドレスやドメインの公開リストを作成することができます。

次世代ファイアウォールやPrisma Accessがそのデータをサブスクライブすることで簡単に情報連携することができ、

速やかにネットワーク保護するとともに、管理者が１つ１つのネットワークセンサーに設定する手間を省くことができます。

このように簡単に連携できることは、Palo Alto Networksがエンドポイントとネットワーク双方のソリューションを持つ大きな強みです。

連携の概要

ここでは連携の概要について説明しますので、詳細な設定については割愛しています。

まず、Cortex XDRのEDL向けのクレデンシャルを設定し、URL(IPアドレス用とドメイン用)を控えておきます。

控えておいた情報をNGFW側の外部ダイナミックリストで設定し、Cortex XDRの情報をサブスクライブするようにします。
以下の画面イメージではダイナミックURLリストですが、IPアドレスに対して行う場合ダイナミックIPリストに対しても同じように設定します。

怪しいIPアドレス、ドメイン名の登録

設定できる箇所は２箇所ありますが、状況に応じて選んでください。

1.インシデントの画面から登録する

アナリストの方が、Key Assets & Artifactsに表示されているドメイン名(あるいはIPアドレス）を

ブロックすべきと判断した場合、

「Add to EDL」からドメイン名(あるいはIPアドレス）を選択します。

内容を確認し「Add」をクリックすると、

External Dynamic Listに登録されます。

一方、NGFWの外部ダイナミックリストを見ると、

リストエントリ内にCortex XDRで登録したドメイン名(あるいはIPアドレス)を確認できます。

2.Incident Responseから登録する

Responseにある「EDL」から設定することも可能です。

Tech Docs

EDL(External Dynamic List)についてはこちら (PAN-OSのページに飛びます)

EAL(Enhanced Application Logs)についてはこちら(PAN-OSのページに飛びます)

Cortex XDRとEDL連携、必要なライセンスについてはこちら