- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
[Cortex XDR/XSIAM]USBリムーバブルディスクを制御する - Device Control
告知
- LIVEcommunity
- Japan Community
- Cortex
- Pre-Sales
- 設定、構築ガイド
- [Cortex XDR/XSIAM]USBリムーバブルディスクを制御する - Device Control
オプション
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 印刷用ページ
massaito
L4 Transporter
Cortex XDRは標準でDevice Control機能を提供しており、
USB接続のリムーバブルディスクをコントロールすることが可能です。
デスクトップ上のメッセージ
Blockポリシーのリムーバブルディスクを挿入した場合
Read Onlyポリシーのリムーバブルディスクを挿入した場合
実際にデータを書き込もうとするとこんなメッセージが表示されます。
Device Control Violations
Blockポリシーのリムーバブルディスクを挿入した場合、
Device Control Violationsの画面でイベント(ホスト名、ユーザ名、USBデバイスのProduct ID、シリアルIDなど)が
表示されます。
ブロックされたリムーバブルディスクを例外的に使わせたい場合、
イベントを右クリックしてExceptionとして追加することもできます。
Read Onlyポリシーの設定例
ここでは全体のプロファイルではDisk Drivesをブロックとし、特定のUSBメモリを例外としてRead Onlyとする
方法を説明します。設定方法の詳細は一番下にあるTech Docのリンクを参照ください。
Device Configurationの「Disk Drives」で「Block」を設定してプロファイルを保存します。
「Device Exceptions」でRead OnlyにするUSBメモリの情報を登録します。ここではシリアル番号まで登録します。
Type: Disk Drive
Permission: Read Only
Vendor: vendor ID。16進数で設定するので文字列の先頭に0xを付けて設定してください。
Product: product ID。16進数で設定するので文字列の先頭に0xを付けて設定してください。
Serial Number: デバイスに登録されているシリアルナンバー
XQL
シリアル番号の確認
Presetでdevice_controlを設定すると、シリアル番号やデバイスのイベント(DEVICE_PLUG, DEVICE_UNPLUG)などを
確認できます。OSのデバイスマネージャからも確認することができます。
デバイスにデータを書き出しした時のアクティビティ
xdr_data データセットを使用し、書き出したファイルやデバイスの情報を取得することができます。
以下はxqlのサンプルです。
dataset = xdr_data
| filter event_sub_type = FILE_CREATE_NEW
| alter Drive_Type = json_extract(to_json_string(action_file_device_info),"$.storage_device_drive_type"), Filesystem = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_filesystem"), Drive_Letter = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_mount_point"), Device_Serial_Number = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_serial_number"), Device_Vendor_ID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_vendor_id"), Device_Product_ID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_product_id"), Device_GUID = json_extract_scalar(to_json_string(action_file_device_info),"$.storage_device_volume_guid")
| filter drive_type = "2" // Filtering by drive type 2 which is 'Removable Media'
| fields action_file_path as File_Path, actor_effective_username as Username, agent_hostname as HostName, Filesystem, Drive_Letter, Device_Serial_Number, Device_Vendor_ID, Device_Product_ID, Device_GUID
カスタムデバイスクラスの活用
デバイスクラスのGUIDを使用することで、USBインタフェースのネットワークアダプタなど
幅広いUSBインタフェースの機器を制御することが可能です。
Tech Doc
Device Controlの設定方法についてはこちら
この記事を評価:
- 2715 閲覧回数
- 0 コメント
- 0 賞賛
ラベル
-
Active Attack Surface Management
2 -
AI
2 -
Allow List
1 -
Aperture
1 -
App-ID
1 -
Apple
1 -
Artificial Intelligence
1 -
ASM
2 -
Attack Surface Management
2 -
AuditLogs
1 -
autofocus
2 -
Automation
1 -
Autonomous SOC
1 -
AWS
1 -
AWS CloudTrail
1 -
Azure AD
1 -
BIOC
2 -
Block List
1 -
Box
1 -
Broker VM
6 -
CIS Benchmark
1 -
Cloud
2 -
Cloud Inventory
1 -
comp
1 -
Copilot
1 -
Correlation Rules
1 -
Cortex
8 -
Cortex Agent
1 -
Cortex XDR
41 -
Cortex Xpanse
2 -
Cortex XSIAM
43 -
Cortex XSOAR
1 -
cyber hygiene
2 -
Dashboard
1 -
dedup
1 -
Demo
1 -
Device Control
1 -
DHCP
1 -
EASM
2 -
Endpoint
5 -
external alert
1 -
filter
1 -
Forensic Module
1 -
Forrester
1 -
GigaOm
1 -
Host Firewall
2 -
Host Insights
1 -
HTTP Collector
1 -
IaaS
1 -
Identity Threat Detection and Response
1 -
IOC
1 -
iOS
1 -
iPad
1 -
ISMAP
1 -
ISO
1 -
Isolation
1 -
ITDR
1 -
Kubernetes
1 -
Logs
1 -
Lookup
1 -
machine learning
1 -
Microsoft 365
1 -
MITRE Engenuity
1 -
NDR
1 -
network_story
1 -
ngfw
1 -
Parsing Rules
2 -
Prevent
5 -
Prisma Access
1 -
privacy
1 -
Pro per EP
18 -
Pro per GB
10 -
Pro per TB
7 -
Release Information
1 -
Report template
1 -
Reports
1 -
Response Action
1 -
Restriction Security Profile
1 -
Risk Management
1 -
SaaS
1 -
Scheduled Queries
1 -
SOAR
1 -
SOC
1 -
SOC2
1 -
syslog collector
1 -
Threat
3 -
trust center
1 -
UEBA
1 -
User Notifications
1 -
User-ID
1 -
VPC Flow logs
1 -
WEF
1 -
Widgets
1 -
WildFire
3 -
XDR Collector
1 -
XQL
12 -
XSIAM
1 -
概要や特徴説明
4 -
製品機能
3
- « 前へ
- 次へ »
LEGAL NOTICES
Copyright 2007 - 2024 - Palo Alto Networks