Cortex XDR

現在、本Knowledge Baseは作成中です。今後順次追加予定です。   【Q】Cortex XDRのシステム要件やインストール可能なOSについて教えてください。 【A】こちらを参照してください。   【Q】Cortex XDR Agentでフルスキャンを行うメリットについて教えてください。 【A】Cortex XDR Agentはフルスキャンを行わずとも、実行後にWildFireと連携した検査調査を行うことができますので、フルスキャンを行わなくても感染した端末を検出できますので、その点ではフルスキャンを行う必要はありません。但し、フルスキャンはPC上のファイルを1つ1つ検査を行うため、初期評価の際などに未知アプリケーション（業務アプリケーションなど）をWildFireのクラウド上の脅威インテリジェンスにて解析することで、過検知の状況を事前に確認し、安全に評価や導入を進めることができるメリットがあります。   【Q】Cortex XDR Agentでネットワーク隔離（Isolate）した状態でも、フルスキャンや遠隔操作（Live Terminal）することは可能ですか？ 【A】可能です。また、このようなEDR機能はCortex XDR PREVENTライセンスでご利用頂けます。   【Q】APIを利用した制御を行うことができますか？ 【A】可能です。一例として、APIを利用して不正なネットワーク通信を他製品で発見した場合にAPIを利用してその端末をネットワーク隔離するなどのAPI制御を行うことができます。ドキュメントはこちらを参照ください。   【Q】3rd Party連携ではどのようなことが行うことができますか？ 【A】Cisco, Fortinet, Check Point社のファイアウォールからのトラフィックログをBroker VM経由で解析することで、ネットワークトラフィック分析（NTA）を実現することができます。次世代ファイアウォールに比べた場合、検知可能な項目は少なくなります。アラートの詳細はこちらを参照してください。   【Q】Cortex XDR AgentのみでEPP／EDRに加え、ネットワークトラフィック分析（NTA）／ユーザ行動分析（UBA）機能が提供できますか？ 【A】次世代ファイアウォールが無い環境においてもNTA／UBA機能を提供可能です。Cortex XDR Agentから発生するネットワーク通信や、ユーザが実行するコマンドなどをCortex XDRがクラウド上で分析し、EPP／EDR製品では検知できない高度なマルウェアによる攻撃や、ユーザの不正行為を確認することが可能です。NTA／UBA機能が動作するのは、最低30台以上のCortex XDR Agentが接続されていることに加え、Analytics機能（NTA／UBA）が利用できるライセンスが必要です。

Cortex XDRで検知したセキュリティイベントや各種ログはCortex Data Lakeに保管されますが、メールやSyslogで通知を行いたい場合にはCortex XDRの管理コンソール上ではなく、Log Forwardingの機能を有効化して、Log Forwarding App上で設定を行います。   Syslog転送の場合、クラウド上からSyslog over TLSにて送信されます。 （受け取るSyslogサーバ側には公的機関から発行された証明書を導入しておく必要があります） Syslog転送の場合の送信元IP情報などの詳細はこちらのドキュメントを参照してください   Log Forwarding Appを利用することで、一例として下記が可能となります。 重要度（Severity）が高いセキュリティイベントが発生した場合には、メールで運用管理者に通知する 特定のイベントに関してはSyslogを経由させて社内のSIEMに連携させる   【設定手順】 1. 下記のCortex HubのURLにアクセスし、Sign inを行います。 https://apps.paloaltonetworks.com/apps   2. Log Forwarding内のActivateをクリックします。               3. Activateするための情報を入力して、Activateします                                 4. Activateが終了すると、Log ForwardingがCortex Hub上に追加されます。           5. Log ForwardingをCortex HUBで選択すると、Syslog転送設定またはメール通知設定を行うことができます。 （画面左側のアイコンで選択します） プロファイルは複数作成することができますので、重要度（Severity）が高いセキュリティイベントのみ 管理者にメール通知を行い、重要度が低いセキュリティイベントは記録のためにその他のメールの宛先に送信する動作なども可能です。   一例として、エンドポイントのセキュリティログを通知したい場合には、下記を選択してください。 LOG VENDOR: Traps LOG TYPE: Threat       Log VendorにはFirewallやCortex XDR - Investigation & Response、Cortex XDR Analyticsが選択できます。 その場合、次世代ファイアウォールのログやCortex XDRのAnalyticsのイベントも通知することができます。             Log Forwarding Appの詳細はこちらを参照してください。  

Cortex XDRはVirus TotalやAutofocusの脅威インテリジェンス情報と連携することで、インシデント確認時に画面に情報を表示させることで、より素早く調査を進めることができます。   ・Virus TotalのAPI（無償のコミュニティ版を含む） ・AutofocusのAPI   を追加で連携できます。WildFireの脅威インテリジェンスはCortex XDR標準で利用可能となっています。 下記のように情報を一画面で確認できます。       ◆設定方法 Cortex XDRの管理コンソールにログインし、ギアマーク > Settings > Threat Intelligenceを選択します。 次にVirus TotalやAutofocusのAPI KEYを入力し、Testを行った後で、右下のSaveを押すことで利用可能となります。  

評価ライセンスが発行されると、以下のメールがご担当者様宛に送られます。 Customer Support PortalのWelcomeメール (弊社Customer Support Portalへのユーザー登録がなかった場合） Cortex XDRのWelcomeメール Cortex XDRのWelcomeメールの本文サンプル   送信元は、以下になります。 Do Not Reply <donot-reply@paloaltonetworks.com>   Cortex XDRのWelcomeメールが届きましたら、メールあるCortex HUBへのリンクをクリックするか、以下のURLより、Cortex HUBにアクセスします。 https://apps.paloaltonetworks.com    ①Cortex HUBにアクセスすると以下の画面が表示されます。Sign Inをクリックします。   ② Customer Support Portalに登録したメールアドレス、及びパスワードにてサインインをします。     （Customer Support Portalへのサインインが初めての場合、Forgot Passwordをクリックして 　　　パスワードを初期化してください。もしくはアカウント自体が未登録の場合はこちらを参照 　　　してCustomer Support Portalへのユーザアカウントを登録してください）                             ③ Cortex XDRのアイコンをクリックし、設定に初期設定に進みます。       ④ COMPANY ACCOUNTに、正しいCustomer Support Portalの名前が入っていることを確認します。 ⑤ HUB上に表示されるCortex XDRのインスタンス名をNAMEの欄に入力します。デフォルトでは、[CUSTOMER SUPPORT PORTAL名] - Cortex XDRになっています。 ⑥ SUBDOMAINに、Cortex XDRインスタンスのURLを入力します。この値は、グローバルで一意である必要があります。                                                     ⑦ CORTEX DATA LAKEの欄で、使用するData Lakeを指定します。新規のCortex Data Lakeを作成する場合、 Activate new Cortex Data Lakeを選択します。既存のCortex Data Lakeを選択することも可能ですが、一つのCortex Data Lakeに、XDRインスタンスは一つのみとなっております。 ⑧ Cortex Data Lakeを設置する地域をREGIONから選択します。Cortex XDRは、Cortex Data Lakeと同じ地域に展開されます。 ⑨ Agree ＆ Activateをクリックし、Cortex XDRを有効化させます。                                 ⑩ Activationが開始されたのちに、Activationの結果が表示されます。                       ⑪ Manage Appsをクリックし、表示した画面においてCortex Data Lake、Cortex XDRのStatusに緑色のチェックマークがついていれば、完了です。（完了するまで、10分程度かかります）     ⑫再度、Cortex HUBのTOP画面（https://apps.paloaltonetworks.com）に戻り、上記「Cortex XDR」のアイコンをクリックすることでCortex XDRにログイン可能となります。

Cortex XDRの環境にBroker VM（仮想アプライアンス）を設置することで下記機能を提供します。 Cortex XDR Agentのプロキシとして利用 直接Cortex XDR Agentがインターネットに接続できない場合に利用します Cortex XDR AgentをBroker VM経由でCortex XDRのクラウドサービスに接続（システム要件はこちら） 3rd Partyログの取り込み 3rd Party ログ（Check Point, Fortinet, Ciscoなど）のファイアウォールログを利用したAnalyticsやログ挿入（システム要件はこちら）  ※Broker VMは仮想アプライアンスであり、Cortex XDRを利用しているユーザは追加費用なく利用できます。   ここでは、Cortex XDR AgentのプロキシとしてBroker VMを利用する場合の概要を説明します。     Cortex XDR Agentのプロキシとして利用 Broker VMをCortex XDR Agentの通信をプロキシとして転送する場合には、大まかに下記の事前準備や設定が必要です。詳細はこちらのAdministrator's Guideを参照してください。 1. システム要件確認、Broker VMを動作させるハードウェア準備（ESXi 6.0以降）、通信要件確認 2. Customer Support Portalより、Broker VMのイメージをダウンロードし、 　仮想アプライアンスとして設置／設定し、Cortex XDRのテナントとペアリング 3. Cortex XDR AgentをBroker VM経由で通信するようにProxyの設定   ◆通信フロー Cortex XDR Agent >> Port 8888 >> Broker VM（Proxy） >> Port 443 >> Broker Service(Cloud) Cortex XDRからBroker VMへの通信はPort 8888を利用して行います。そのため、Cortex XDR Agentの初期インストール時にBroker VMに対して正しく通信できるように、msiexec.exeを利用したProxyオプションを利用して指定を行ってください。   ◆Cortex XDR管理コンソール上での登録確認 Broker VMが正しくペアリング（登録）が行われ、Agent Proxyを有効にすると下記のようにAPPSがActiveになります。     ◆Cortex XDR Agentへの設定 下記2つのどちらかの方法で設定を行ってください。 Cortex XDR Agent インストール時にProxy設定を入れ込み（Live Communityでのインストール解説はこちら） 既にCortex XDRサービスに接続されているEndpoint端末に対してProxy設定を実施（下記図参照） Cortex XDR 管理コンソールの上部のEndpoints > Endpoint Managementをクリックし、Broker VMを経由してProxyさせたい端末（もしくはグループ）を1つ以上選択し、右クリックしてSet Endpoint Proxyを指定します。    Broker VMのアドレスとポート番号を指定してSetをクリックすることで設定が配信されます。  

Cortex XDRのシステム要件は下記を参照ください（英語サイトへのリンク） Cortex XDRドキュメントの技術ドキュメントのURLはこちら   Cortex XDR Agent Cortex XDR Agentをインストールすることで、脆弱性防御／既知・未知マルウェア防御（EPP）／サンドボックス自動解析／マルウェア感染後の検知と対処（EDR）機能／ネットワークトラフィック分析（NTA）／ユーザ行動分析（UBA）機能をご利用頂けます。（Cortex XDRのライセンスにより利用可能な機能がございます）   インストール可能OS こちら 3rd Party製品との互換性リスト こちら Windows エージェント こちら MacOS エージェント こちら Linux エージェント こちら Android エージェント こちら   Next Generation Firewall Cortex Data Lakeに送信されたデータはCortex XDRのAnalytics機能により分析され、ネットワークトラフィック分析（NTA）／ユーザ行動分析（UBA）機能をご利用頂けます。PAN-OS 9.0.3以降をご利用いただくことでPanorama不要でCortex Data Lakeにトラフィックを送信する設定が可能です。（下記表参照） PAN-OS Version Panorama コメント 8.0.6以降 別途必要 EAL(Enhanced Application Log)やDirectory Syncが利用できないため、推奨しない 8.1.1以降 別途必要   9.0.3以降 不要   ※必要なCortex Data Lakeの容量を計算するためのCalculatorはこちら   Pathfinder Pathfinder（仮想アプライアンス）を利用することで、Cortex XDR Agentを導入できない環境においても、エージェントレスでエンドポイントのマルウェアスキャンや対処（EDR）を行うことができます。 Pathfinderシステム要件 こちら   Broker VM Broker VM（仮想アプライアンス）を利用することで、下記2つの機能を利用できます。 Cortex XDR AgentをBroker VM経由でCortex XDRのクラウドサービスに接続（システム要件はこちら） 3rd Party ログ（Check Point, Fortinet, Cisco）のファイアウォールログを利用したAnalytics解析、アラート取込（システム要件はこちら）   サポートポリシー ・End of Life Summary https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-summary ・End of Life Policy https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-policy   プライバシーデータシート https://www.paloaltonetworks.com/resources/datasheets/product-privacy-datasheets  

Cortex XDR Agentを導入後、互換性に関する事象や過検知が発生した場合には、除外を行うことで事象を改善することができます。ここでは、代表的な事象についての除外方法を記載します。   1. ローカル分析による検知　ALERT NAME = Local Analysis Malware 2. WildFireによる検知　ALERT NAME = WildFire Malware    2.1. ハッシュ値での除外    2.2. ファイル／フォルダ単位での除外    2.3. WildFireの判定修正依頼 3. BTPによる検知　ALERT NAME = Behavioral Threat 4. エクスプロイト防御による検知　CATEGORY = Exploit 5. Webブラウザが起動／動作しない　※イベント記録なし 6. 特定アプリケーションが起動しない　※イベント記録なし 7. 原因が特定できない　※イベント記録なし     1. ローカル分析による検知　ALERT NAME = Local Analysis Malware Local Analysis Malwareのアラートは、今までWildFireで解析を実施したことない未知ファイル（社内業務アプリケーション等）が機械学習エンジンにより一時的にファイル構造からマルウェアと判定されている場合に検知するアラートです。本アラートと同時にWildFireで解析が行われますので、解析終了後は過検知の判定が自動的に正しく修正されます。修正が行われない場合や、頻繁に業務アプリケーションがLocal Analysis Malwareにて過検知する場合は、後述するフォルダ除外にて対応するかLocal Analysisの機能自体を無効にすることで対応を行ってください。      2. WildFireによる検知　ALERT NAME = WildFire Malware WildFire Malwareのアラートは、WildFireの脅威インテリジェンスにてマルウェア判定されている場合に検知します。除外方法としては「ハッシュ値、ファイル／フォルダ、WildFireの判定修正依頼」の3つの方法があります。   2.1. ハッシュ値での除外 該当するWildFire MalwareのアラートでAnalyzeをクリックします。 分析画面が表示されますので、検知を除外したいファイル（丸い部分）を右クリックして「Whitelist」をクリックします。 確認画面が表示されますので、「Yes」をクリックして、登録は完了です。登録された一覧は管理画面上部のResponse > Action Center > Whitelistの部分で確認することができます。（こちらから登録や管理を行うことも可能です）   2.2. ファイル／フォルダ単位での除外 ファイル／フォルダで除外を行うためには、各Cortex XDR Agentに配信されるポリシー（マルウェアプロファイル）に対象のファイル／フォルダを追加します。 画面上部のEndpoints > Policy Managementをクリックし、Profilesを選択します。 ファイル／フォルダ単位で除外を行いたい端末が所属するマルウェアプロファイルを右クリックしてEditします。特定の端末のみファイル／フォルダ除外を行いたいなど、端末固有の個別設定を行う場合などは、マルウェアプロファイルを新規作成してください。 WHITELIST FILES / FOLDERSにAddで対処のファイル／フォルダを追加します。ワイルドカードの利用も可能です。(例   c:\test\*) 実行形式やDLLを除外したい場合は、「Examine Portable Executables and DLLs」、WordやExcelのマクロファイルを除外したい場合には、「Examine Office Files with Macros」内に登録し、画面右下のSaveを押すことで設定が行われます。   2.3. WildFireの判定修正依頼 2.1. と同様に該当するアラートを右クリックでAnalyzeした後に、分析画面が表示されます。 検知を除外したいファイル（丸）をクリックして、画面下側の「Report Incorrect」をクリックしてください。 マルウェアでない正常なファイルであれば、SUGGESTED VERDICTに「Benign」を選択し、その理由（英語）とメールアドレスを記入してOKを押すことで、パロアルトネットワークスのリサーチャーが再調査を行います。再調査は即時結果が返ってくるわけではありませんので、取り急ぎ除外設定を行いたい場合にはハッシュ値での除外方法をご利用ください。      3. BTPによる検知　ALERT NAME = Behavioral Threat Behavioral Threatのアラートは、BTPの挙動検知によって検出されています。マルウェアに動作が類似した業務アプリケーションなどでは過検知する場合があります。検知したBTPのルールを除外設定することができます。該当するBehavioral Threatアラートを右クリックして「Create alert exception」をクリックしてください。 除外対象をGlobal（全端末）にするのか、Profile（特定のグループや端末に割り当てられるポリシー）に適用するのかを選択して、「Add」をクリックすることで除外されます。 Globalで除外した場合には、画面上部のEndpoints > Policy Management > Global Exceptionsに登録されます。Profileで登録した場合には指定したProfileに登録が追加されます。     4. エクスプロイト防御による検知　CATEGORY = Exploit Exploitのアラートは、内部的にはCortex XDRが持つ様々なテクニックベースで検知ロジックに従って脆弱性攻撃として検知されます。他のセキュリティソフトウェアがOSや各種アプリケーションのメモリを操作などを行っている場合には過検知する場合があります。この場合には検知した対象アプリケーションとテクニックを除外することができます。対象のアラートを右クリックして、「Create alert exception」を選択します。 除外対象をGlobal（全端末）にするのか、Profile（特定のグループや端末に割り当てられるポリシー）に適用するのかを選択して、「Add」をクリックすることで除外されます。 Profileで除外した場合には、画面上部のEndpoints > Policy Management > Profiles内の指定したException Profile内に登録されます。Globalで登録した場合にはGlobal Exceptions内に追加されます。     5. Webブラウザが起動／動作しない Cortex XDR Agentのエクスプロイト防御機能はアプリケーションのメモリを監視しているため、通常と異なるメモリの利用方法を行っている場合、互換性の問題が発生する場合があります。その場合、Webブラウザが正常に起動／動作しない場合があります。Webブラウザのプラグインや、資産管理ソフトウェア／ログ操作取得ツールなどと同居した場合に互換性問題が発生する事例がありますので、その場合にはWebブラウザに関するエクスプロイト防御機能を無効にして事象が解決されるかをご確認ください。 Webブラウザに関するエクスプロイトを無効にするには、対象端末が属しているExploit Profileを編集します。（画面上部のEndpoints > Policy Management > Profilesから、対象端末が属しているException Profileを右クリックしてEdit）※Exploit Profileが無い場合には新規作成し、対象のCortex XDR Agentにポリシーを割り当ててください。 Browser Exploits Protection内のACTION MODEをDisabledにしてSAVEすることで、Webブラウザに対しての脆弱性対策機能が無効となります。     6. 特定アプリケーションが起動しない Cortex XDR Agent導入後、Webブラウザ以外の特定アプリケーションが起動／動作せず、Cortex XDRのセキュリティイベントにも記録されない事象が発生した場合は、特定アプリケーションをCortex XDR Agentの保護対象から除外することができます。ここでは、その手順を解説します。 端末全体に適用するためには、画面上部のEndpoints > Policy Management > Global Exceptionsをクリックします。特定の端末やグループに適応する場合には、Endpoints > Policy Management > ProfilesからException ProfileをEditします。ここではGlobal Exceptionsにて解説します。 Global Exception内（Profileの場合には該当のException Profile内）のProcess exceptionsの項目を確認して、一例としてWindowsでTestApp.exeというプロセスが起動しない場合は、下記のように設定してリターンキーマークを押して追加した後に、Saveをクリックして保存の上で再度確認を行ってください。（Cortex XDR Agentにポリシーを反映させるために、Cortex XDR Agentの管理コンソール上で「今すぐチェックイン」をクリックしてください） PLATFORM:  Windows PROCESS NAME:  TestApp.exe MODULE NAME:  Disable Injection     7. 原因が特定できない Cortex XDR Agent導入後、セキュリティイベントにも記録されず、各種アプリケーションの動作に問題がある事象が発生した場合は、エクスプロイト防御機能の一部の防御モジュールが特定アプリケーションと競合している可能性が高いため、エクスプロイト防御機能自体を無効にした上で再度確認する方法があります。エクスプロイト防御機能をすべて無効のExploit Profileを作成し、対象の端末にポリシーを割りててください。 詳細はこちらのポリシー設定方法を参照して該当端末にポリシーを割り当ててください。    

Cortex XDR Agentの管理を行う「Endpoint Management」についての解説を行います。 ここでは、Endpoint Managementの管理コンソールから可能な管理について簡単に解説します。   Endpoint Managementの管理コンソールから行うことができる主な項目は下記の通りです。 【変更】バージョンアップ、アンインストール、Proxyの指定、ライセンス登録解除（表示削除） 【運用】フルスキャン開始／停止、ネットワーク隔離、Live Terminal、端末上の特定ファイル取得、サポートファイル取得 【表示】端末が関連するインシデント表示、割り当てられたポリシー表示、今まで行われたActionの表示 　※Action Centerには、Endpoint Managementから行う管理項目と重複する管理項目を提供していますので、Action Centerから設定しても同様です   Cortex XDRの管理コンソールにログインし、画面上部のEndpoints > Endpoint ManagementにてCortex XDR Agentのエンドポイント端末管理画面を表示することができます。  ※フィルタ条件を利用することにより、OS、Group、IP、Install日時など、様々な条件で絞り込んだ表示を行うことができます。   端末情報として表示される項目は画面右上のFilterの右側の部分から選択することができます。 （規定値では一部の情報のみ表示される形となっています）                                   Cortex XDR Agentの端末の列を右クリックすると、下記のように様々な各Cortex XDR Agentの端末に対しての管理を行うことが可能です（項目により複数端末を選択することも可能です）。                                     ここでは幾つかの管理項目について解説します。     サポートファイルの取得 端末を選択して、「Retrieve Support File」をクリックします。                       クリック後、「OK」することで、サポートファイルを入手するアクションが開始されます。 画面上部のResponse > Action Centerをクリックすることで、進捗状況を確認することができます。      サポートファイルの取得が完了すると、STATUSが「Completed Successfully」と表示されますので、右クリックして「Additional data」をクリックします。   サポートファイルを取得した端末が一覧表示されますので、右クリックして「Download files」を選択することでサポートファイルを取得することができます。     オンデマンドスキャンの実施 対象となるCortex XDR Agentの端末を選択して、「Initiate Malware Scan」をクリックします。     確認画面が表示されますので、スキャンをする場合には、「OK」をクリックします。                     「OK」をクリック後、サポートファイルを入手するアクションが開始されます。 画面上部のResponse > Action Centerをクリックすることで、進捗状況を確認することができます。  ※初回時のスキャンは特に終了まで時間が必要です。2回目以降は時間が大幅に短縮されます。   Action CenterのMalware Scanの右クリックを押して「Additional data」をクリックすることで、 詳細画面が開きます。     スキャンを実施した対象端末において、右クリックから「View related security events」を選択することで検知したアラートを確認することができます。                                 アラートが表示されますので、必要に応じて、右クリックから対象アラートを「Analyze」することで詳細を調査することができます。     ネットワーク隔離の実施 対象となるCortex XDR Agentの端末を選択して、「Isolate Endpoint」をクリックします。 確認画面が表示されますので、「OK」をクリックします。                     Cortex XDR Agentに指示が行われ、Cortex XDR Agentの端末がネットワーク隔離されます。 端末にログインしているユーザには下記のような表示が一定期間ポップアップされます。             Isolate Endpointを実施後、ネットワーク隔離が行われると、Endpoint Management上の画面でも確認することができます。下記のように（－）マークがENDPOINT NAMEの前に付与されます。     ネットワーク隔離を解除したい場合には同様に端末を選択して、「Cancel Endpoint Isolation」をクリックします。 Cortex XDR Agentに指示が行われ、Cortex XDR Agentの端末がネットワーク隔離解除されます。 端末にログインしているユーザには下記のような表示が一定期間ポップアップされます。               Live Terminalの実施 対象となるCortex XDR Agentの端末を選択して、「Initiate Live Terminal」をクリックします。                       Cortex XDR Agent端末が接続されていれば、Live Terminalが開始されます。 （ネットワーク帯域に応じて少し開始に時間が掛かります） Live Terminalの詳細はこちらを参照してください。 Live Terminalでの操作を終了する場合には、Disconnectをクリックしてください。  

Cortex XDR Agentが導入されているWindows端末上においてテストマルウェアを実行することで、Cortex XDR Agent上で検知させ（ブロックする／しないは設定に依存）、セキュリティイベントを確認する基本的な手順を記載します。   ここでは、2つの無害なテストマルウェアを利用する方法を記載します。 WildFireテストファイルを利用した方法 テスト用Wordマクロファイルを利用した方法（作成中）    1. WildFireテストファイルを利用した方法 1.1. Cortex XDR Agentの端末上でWebブラウザを開き、下記アドレスへアクセスします。 https://wildfire.paloaltonetworks.com/publicapi/test/pe     ダウンロードされるファイル（wildfire-test-pe-file.exe）は毎回ハッシュ値が変更され、未知マルウェアとしてテスト可能な無害な実行ファイルです。アクセスするとWebブラウザの種類により「実行」や「保存」などの選択が行えますので、一旦デスクトップ等に「保存」してください。     1.2. ダウンロードしたファイルを実行してください。ポップアップメッセージが表示されてブロックされたことが確認できます。 ACTION MODEがBlockではなくReportの場合、Cortex XDR Agent上でポップアップメッセージの表示はありませんが、Cortex XDR Agent／管理サーバ側にマルウェアを検知したログが記録されています。 WindowsのSmart Screen機能によりPCが保護された場合には、実行を行ってください。                         1.3. Cortex XDR Agent端末上でWindows OS画面右下のタスクトレイ内のCortex XDR Agentの管理コンソールを開き、イベントをクリックすると、検知しているイベントを確認することができます。                         1.4. Cortex XDRのクラウド上の管理コンソール上にログインし、画面上部の「Investigation」>「Incidents」をクリックします。クリックすると、「Local Analysis Malware generated by XDR agent detected on...」と表示される、Cortex XDR Agent上のLocal Analysis（機械学習エンジン）にて検知したという解説があるインシデントを確認することができます。                 1.5. 該当するインシデントの行で右クリックして、「View Incident」をクリックします。        (インシデントの担当者割り当て／対応状況などの変更も可能ですが割愛します)                       1.6. インシデントの状況を確認できます。ここでは下記のような情報を確認できます。 INCIDENT ID...インシデント毎に固有に割り当てられたID インシデントの状況...New / Under Investigation / Resolved 調査担当者...担当者の割り当て Key Artifacts...関連するファイル（本テストでは単一のテストファイルであるため、1ファイルのみが表示） 　　　　　　　　※ここからファイル単位でAutoFocusやVirusTotalの情報も確認できます。 Key Assets...影響範囲（関連ユーザや端末情報：複数の端末で同じ検体を動作させた場合などは複数表示） ALERTS...関連するアラート（本テストでは単一のテストファイルで検知しているため、1アラートのみ表示）                         1.7. 画面下側のアラートを右クリックして、「Analyze」をクリックすることで、より詳細を確認できます。                       1.8. 「赤い丸」をクリックします。 画面下側に実行ファイルパスやハッシュ値など、今回のテストマルウェアファイルの情報を入手できます。 ここでは、WildFireの解析PDFレポートや、判定に異議がある場合の修正依頼も可能です。 「赤い丸」を右クリックすると、対象プロセスをブラックリストやホワイトリストなどへの追加やファイル隔離することも可能です。 また、「赤い丸」の上側のマークをクリックすることで、実行しようとしたユーザ情報やOS情報、IPアドレスなどの情報を入手できます。その他、画面右上の「Actions」から、「Isolate Host」や「Live Terminal」をクリックすることで、該当端末のネットワーク隔離や遠隔操作を行うことができます。                                                                     2. テスト用Wordマクロファイルを利用した方法（作成中）

Windows OSに対してのインストール手順を解説します。 最新の手順、Msiexecを利用したオプションの詳細、VDI環境へのインストールなどはこちらのインストール手順をご覧ください（英語）   インストーラーの作成と入手 Cortex XDR Agentのインストール Cortex XDR Agentインストール後の確認手順   1. インストーラーの作成と入手   1.1. Cortex XDR管理コンソールにログインし、「Agent Installations」をクリックします。             1.2. 「Create」をクリックします。       1.3. ポップアップが表示されますので、下記を入力／選択し「Create」をクリックします。 NAME...任意の名前を記入 PLATFORM...Windowsへのインストールの場合はWindowsを選択 VERSION...インストールするCortex XDR Agentのバージョンを選択                       1.4. インストーラーが作成されます。右クリックより32 / 64 bit版のインストーラーをダウンロードできます。                 2. Cortex XDR Agentのインストール   ここでは、下記2種類のCortex XDR Agentのインストール手順を解説します。 対話式インストール msiexec.exeを利用したインストール 最新手順、VDI環境やmsiexec.exeを利用したインストールの詳細に関しては、こちらを参照ください。   【事前確認】　※重要 ●システム要件をご確認ください（こちら） ●同居する場合に制限が発生するソフトウェア一覧を確認ください（こちら） 一例として、ウイルスバスター Corp.とTrapsを同居させる場合は「挙動監視」 設定に存在する[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする]を事前に無効にする必要があります ●既存ウイルス対策製品と同居してCortex XDR Agentを導入する場合、事前にCortex XDR 管理コンソール上にて、対象端末に対してWindows Security Center Integrationの設定をDisabledに設定変更してください。また、双方で除外設定を実施することを推奨します。（こちら） ●Cortex XDR Agentに必要な通信要件をご確認ください（こちら） ネットワーク側でSSL複合化している場合には、Cortex XDR Agentの通信を除外する、又は、SSL複合化で利用するサーバ証明書を信頼するために、Windowsのローカルコンピュータの証明書領域の信頼するルート証明機関に証明書をインポートしてください プロキシ利用時にプロキシ側にて接続制御を行っている場合にはUser-Agentを利用した除外が可能です。User-Agentの値は「PaloAltoNetworks-Traps」であり、HTTP CONNECT及び、HTTPヘッダに付与されます。 パロアルトネットワークスの次世代ファイアウォール製品を利用している場合にはApp-IDを利用した除外が可能です。   ・プロキシ利用時にはCortex XDR Agentにプロキシ設定を行う方法がありますので、どちらかをご利用ください。 WindowsのログインアカウントのPACを読み込む方法 （PAC利用時はWindowsのログオフ状態ではPACを読み込めないためプロキシ通信ができません） Cortex XDR Agent自体にProxy設定を行う方法 （ログオフ状態含めてプロキシ接続が可能） Cortex XDR Agentインストール時に設定する方法 Cortex XDR AgentがCortex XDRに接続後に、Cortex XDR管理コンソールから設定する方法   2.1. 対話式インストール ※こちらはWindows 10 64ビットOSにインストールした場合の画面となります。   2.1.1. ダウンロードしたインストーラーを起動して（要管理者権限）「Next」をクリックします。                           2.1.2. 上記の使用許諾契約（EULA）が表示されますので、同意いただける場合には「I accept the terms in the License Agreement」の左側にチェックを入れて、「Next」をクリックします。                           2.1.3. 「Install」をクリックすると、インストールが開始されます。                           2.1.4. ユーザアカウント制御の画面が表示された場合には「はい」をクリックしてください。                         2.1.5. 「Finish」をクリックしてインストールが完了です。     2.2. msiexec.exeを利用したインストール   2.1.1. ダウンロードしたインストラーをmsiexec.exeコマンドでインストールします。   msiexec.exeを利用したインストールでは、Proxy設定を入れ込んだ状態でのインストールや、 VDI環境、サイレントインストールなどに対応しています。   ここでは一例として下記の条件での解説を行います。 インストーラーが配置しているパス： c:\XDRInstaller\Windows_Installer_x64.msi (/i c:\XDRInstaller\Windows_Installer_x64.msi) サイレントインストールを行う(/qn) プロキシを利用し、プロキシのIP Address = 192.168.1.201, Port番号は8888 (proxy_list="192.168.1.201:8888") （例） msiexec.exe /i c:\XDRInstaller\Windows_Installer_x64.msi /qn proxy_list="192.168.1.201:8888"   msiexec.exeを利用したコマンドの詳細はこちらを参照してください   3. Cortex XDR Agentインストール後の確認手順   3.1. Cortex XDR Agent インストール後、Cortex XDRと接続されていれば、 WindowsのタスクトレイアイコンにTrapsのアイコンが緑色で表示されます。 （インストール後、接続できない場合には赤いアイコンとなります）         3.2. アイコンをダブルクリックすると下記のようにCortex XDR Agentの管理コンソールが表示され、 　　「接続済み」と表示されていれば接続が完了しています。                 接続できない場合には、ネットワーク設定などを再度ご確認ください。

ウイルス対策製品とCortex XDR Agentを共存する場合には、下記3つの設定が必要となります。   Windows Security Centerへの登録を無効化 他社ウイルス対策製品での除外設定 Cortex XDRでの検索除外設定   1. Windows Security Centerへの登録を無効化 Cortex XDRの管理コンソール上で設定する項目となります。この設定を行うことで、Cortex XDR AgentがWindows標準のウイルス対策製品として登録されなくなります。Cortex XDR Agentを一時的に既存ウイルス対策製品と共存させる場合などはこの設定が必要となります。 設定方法はこちらの「Agent Settings Profileの作成」を参照してください。     2. 他社ウイルス対策製品での除外設定 他社ウイルス対策製品側で下記のCortex XDR Agentが利用するファイル／フォルダの検索除外設定を行ってください。   【１】cyinjct.# C:\windows\temp\フォルダに存在します。 (#)は数字になります。 WildCard指定が出来ることを前提とした場合、C:\windows\temp\cyinjct.* のような形式で除外の指定を行ってください。   【２】DLL ファイル “system32” および “sysWOW64” (64 Bit OSの場合) フォルダに存在します。   a. Cyvrtrap.dll (system32 および SysWOW64) b. Cyverau.dll c. Cyvera.dll (system32 および SysWOW64) d. Cyinjct.dll (system32 および SysWOW64) e. ntnativeapi.dll (system32 および SysWOW64)   【３】フォルダ除外 a. C:\Program Files\Palo Alto Networks b. C:\ProgramData\Cyvera   【その他】ウイルスバスター Corp.と同居させる場合 「挙動監視」 設定に存在する[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする]を無効にしてください。   3. Cortex XDRでの検索除外設定 お互いに検知するなどの競合を回避するためにCortex XDR管理コンソール上でウイルス対策製品側で利用するフォルダの除外設定を実施してください。Cortex XDR側では、ポリシーで利用するMalware Profileを編集し、下記Whitelist Files内にウイルス対策製品が利用するフォルダを除外指定してください。   ・Examine Portable Executables and DLLs ・Examine Office Files with Macros ・Scan Endpoints

Cortex XDR Agentは設定されたポリシー（Policy Rules）に従い、動作します。 ポリシーは「ターゲット（対象）」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル（Profiles）を割り当てることで動作します。（初期値としてDefaultのProfileが割り当てられています）   ターゲットは端末を単体で設定する以外に、グループ（Endpoint Groups）を割り当てることも可能です。 対象の端末が属するPolicy Rulesが複数存在している場合には、上側に設定されたものがポリシーとして割り当てられます。Policyの概念を下記に記載します。                               ここでは、一例としてポリシー設定を下記のポリシーにてWindows端末に設定します。 Report Modeの設定（検知してもブロックしない設定） アクティビティログの送信   1. Cortex XDRの管理コンソールにログイン 1.1. 画面上部の「Endpoints」＞「Policy Management」をクリックします。               2. Profileの作成 2.1. Malware Profileの作成   2.1.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。           2.1.2. 「SELECT PLATFORM」画面にて Windows > Malwareを選択し、右下のNextをクリックします。                         2.1.3. 下記のようにACTION MODEをReportに設定変更して、右下の「Create」をクリックします。 PROFILE NAME...記入必須 Examine Portable Executables and DLLs... ACTION MODEをReport Examine Office Files with Macros... ACTION MODEをReport Behavioral Threat Protection... ACTION MODEをReport Ransomware Protection... ACTION MODEをReport Prevent Malicious Child Process Execution... ACTION MODEをReport ※Use Default(Block)のチェックを外して選択してください                                                                                                       2.2. Exploit Profileの作成 2.2.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。             2.2.2. 「SELECT PLATFORM」画面にて Windows > EXPLOITを選択し、右下のNextをクリックします。                     2.2.3. 下記のようにACTION MODEをReportに設定変更して、右下の「Create」をクリックします。 PROFILE NAME...記入必須 Browser Exploits Protection... ACTION MODEをReport Logical Exploits Protection... ACTION MODEをReport Known Vulnerable Processes Protection... ACTION MODEをReport Operating System Exploit Protection... ACTION MODEをReport Exploit Protection for Additional Processes... ACTION MODEをReport ※Use Default(Block)のチェックを外して選択してください                                                                         2.3. Agent Settings Profileの作成 2.3.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。             2.3.2. 「SELECT PLATFORM」画面にて Windows > Agent Settingsを選択し、右下のNextをクリックします。                     2.3.3. 下記部分のACTION MODEをEnabledに設定変更して、右下の「Create」をクリックします。 PROFILE NAME...記入必須 Monitor and collect enhanced endpoint data... ACTION MODEをEnabled ※Use Default(Disabled)のチェックを外して選択してください   また、Cortex XDR Agentを他のウイルス対策製品と共存利用時には、下記設定を行ってください Windows Security Center Integration...DISABLEDに設定 ※Use Default(Disabled)のチェックを外して選択してください             ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～             ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～ ～                   2.4. Agent Settings Profileの確認 下記のように設定されたことを確認します。                                 3. Policy Rulesの作成 3.1. 画面左側の「Profiles」をクリック後、右側の「New Policy」をクリックします。                           3.2. 「Create New Policy」画面が表示されますので、先ほど作成したProfileを割り当てて、「Next」をクリックします。 POLICY NAME...記入必須 PLATFORM...Windowsを選択 EXPLOIT...先ほど作成したPROFILEを選択 MALWARE...先ほど作成したPROFILEを選択 AGENT SETTINGS...先ほど作成したPROFILEを選択                                 3.3. 対象を選択する画面が表示されますので、Windows全端末であれば、 　　画面左側に「Platform = Windows」とフィルタ表示されていることを確認して、「Next」をクリックします。 　　特定端末／グループに対してポリシーを適用したい場合には、端末やポリシーを選択します。                     3.4. 設定の確認画面が表示されますので、確認後、「Done」をクリックします。                                 3.5. 設定を保存するために「Save」をクリックします。                               3.6. 複数のポリシーがある場合には矢印マークにてポリシーの順番を入れ替えることができます。 入れ替えた場合には「Save」することで反映されます。                 以上でポリシーの設定を解説しました。 詳細なProfileやPolicyの割り当てに関してはこちらを参照してください。

Cortex XDR Agentをアンインストールする方法として下記2つの方法があります。   Cortex XDR 管理コンソール上からのアンインストール （通常はこちら） Cortex XDR Agent端末上でのアンインストール （Cortex XDR Agentがネットワーク接続できない場合）   1. Cortex XDR 管理コンソール上からのアンインストール 本設定をCortex XDR管理コンソールで実施すると、次回のCortex XDR Agent接続時に自動的にアンインストールが行われます。   1.1. Cortex XDR 管理コンソールにログインし、Action Centerをクリックします。   1.2. 画面右上の 「+ New Action」をクリックします。   1.3. 「Agent Uninstall」をクリックし、画面右下の「Next」をクリックします。                               1.4. アンインストールする端末を選択して「Next」をクリックします。 Filterを利用することで、特定のドメインやグループ、IPアドレスなど、各種条件で表示内容を絞り込むことができます。    1.5. 内容を確認して「Done」をクリックすることで、アンインストールのアクションが設定されます。                     1.6. 設定されると、All Actionsの中でアンインストールの進捗状況を確認することができます。 右クリックして「Additional data」をクリックすると、端末単位での進捗状況を確認することもできます。                 1.7. 正しくアンインストールが行われると、下記のようにSTATUSがCompleted Successfullyと表示されます。           1.8. 右クリックして「Additional data」をクリックすると下記のように確認できます。   2. Cortex XDR Agent端末上でのアンインストール   ネットワーク接続できない場合にはCortex XDR Agent端末上でアンインストールを行うことができます。 最初にCortex XDR AgentのTemper Protection機能を無効にした上で、Windowsのアプリと機能からアンインストールを行います。   2.1. コマンドプロンプトを管理者権限で起動して、Cortex XDR Agentのインストールパスに移動します 通常は下記のパスとなります。 cd c:\Program Files\Palo Alto Networks\Traps   2.2  下記コマンドを入力し、その後Cortex XDR管理コンソール上で事前に指定したパスワードを入力します。 cytool protect disable   下記のように表示されれば、Temper Protection機能は無効（Disabled）となっています。   2.3. アプリと機能（Windows 10の場合）を開き、アンインストールをクリックしてください。   2.4. 下記メッセージが表示された場合には、「アンインストール」をクリックしてください         2.5. アンインストールが開始されます。             2.6. こちらの画面が表示された場合には、「OK」をクリックしてください。             2.7. ユーザーアカウント制御画面が表示された場合には、「はい」をクリックしてください。                   2.8. アンインストールが完了するまでお待ちください。

Cortex XDRに関連するテクニカルドキュメントは下記に公開しております。     Cortex XDR Cortex XDRの管理者ガイドやリリースノートです。AnalyticsとInvestigate & Responseに分かれています。 https://docs.paloaltonetworks.com/cortex/cortex-xdr.html Cortex XDR Setup Guide Cortex XDRをセットアップする際の手順や必要な要件について記載しています。 https://docs.paloaltonetworks.com/cortex/cortex-xdr/cortex-xdr-setup.html Cortex Hub 各種アプリケーションのプラットフォームであるCortex Hubについて記載しています。 https://docs.paloaltonetworks.com/cortex/cortex-hub.html Cortex Data Lake Cortex XDRを利用する上で必ず必要となるデータを集約するCortex Data Lakeについて記載しています。 https://docs.paloaltonetworks.com/cortex/cortex-data-lake.html Cortex XDR API Reference APIを利用してエンドポイントの情報入手や、ネットワーク隔離などをAPIを利用して実施できます。 https://docs.paloaltonetworks.com/cortex/cortex-xdr/cortex-xdr-api.html      下記はCortex XDR利用時に使用を検討するCortex Hub上のアプリケーションとなります。 Directory Sync Service 社内のActive DirectoryとOU情報などを同期する際に利用します https://docs.paloaltonetworks.com/cortex/directory-sync-service.html Log Forwarding App 外部SIEM等にCortex XDRで検知したアラートなどを転送する際に利用します https://docs.paloaltonetworks.com/cloud-services/apps/log-forwarding/log-forwarding-app-getting-started.html Explore Cortex Data Lakeに保管されたデータを抽出して表示／エクスポートする際に利用します https://docs.paloaltonetworks.com/cortex/explore.html Security Lifecycle Review (SLR) Cortex Data Lakeに保管されたデータから、SLRのレポートを生成する際に利用します https://docs.paloaltonetworks.com/cloud-services/apps/security-lifecycle-review/security-lifecycle-review-getting-started.html     別途、センサーとして次世代FirewallやTrapsを利用する場合には、そちらのテクニカルドキュメントを参照してください。

Palo Alto Networks ブログで公開されているCortex XDR関連の記事となります。   Cortex XDR 2.0のご紹介 https://blog.paloaltonetworks.com/2019/12/cortex-announcing-cortex-xdr-2/?lang=ja   Cortex XDRとTraps MITREで最も高い評価 https://blog.paloaltonetworks.com/2019/06/xdr-cortex-xdr-sets-standard-mitres-attck-evaluations/?lang=ja   Cortex XDRによる永続的マルウェアの探索 https://blog.paloaltonetworks.com/2019/05/xdr-tales-from-the-soc-hunting-for-persistent-malware/?lang=ja   Cortex XDRの紹介 https://blog.paloaltonetworks.com/2019/04/introducing-cortex-jp/?lang=ja

下記にCortex XDRに関するビデオを紹介しております。   ◆Cortex XDR概要ムービー（5分39秒） https://youtu.be/FQxMZXH4Qnk