よくあるQ&A

Printer Friendly Page

よくある質問を記載しています。執筆時点での情報となり、情報は変更される場合がございますので、最新の情報は公式ドキュメントを参照してください。

 

◆一般

【Q】Cortex XDRのライセンス(Cortex XDR Prevent, Cortex XDR Pro per Endpoint, Cortex XDR Pro per TB)によって利用できる機能差異について教えてください。

【A】こちらを参照してください。

 

【Q】Cortex XDRのシステム要件やインストール可能なOSについて教えてください。

【A】こちらを参照してください。

 

Q】Cortex XDR Agentがインターネットに接続できない環境で利用することはできますか?

【A】一切インターネットに接続できない環境ではご利用頂けませんが、1度接続すればその後はオフライン状態でも利用可能です。

   また、Broker VMを利用することで、Broker VMがProxyとして動作しますので、直接インターネットに接続はできないが、

   経由することにより接続可能であれば、こちらの方法をご利用ください。

 

【Q】ログの保管期間は定義されていますか?

【A】Cortex XDRの検知アラートなどのログはCortex Data Lakeに保管され、30日間はログの保存が保証されています。

   Cortex Data Lakeには保存容量が割り当てられているため、その容量を超えない限りログは保存され続けます。

   一部のログ(Audit Log)はログ期間が固定なものもありますので必要に応じてLog Forwarding機能をご利用ください。

 

Q】Log Forwardingとは何ですか?

【A】Cortex XDRにて検知されたアラートログなどをSyslog, Email, Slackにて外部に送信することができるCortex XDRの機能です。

 

Q】クラウド上で保存されるデータにはどのようなものがあるか教えてください。

【A】こちらのPrivacy Data Sheetを参照してください。

 

Q】SOC2認定を受けていますか?

【A】Cortex XDR, Cortex Data Lake, WildFireはSOC2 TYPE2 Plus認定を受けております。詳細はこちらを参照してください。

 

Q】Cortex XDR Agentのライセンスはユーザ単位でしょうか?それともデバイス単位で管理されているのでしょうか?

【A】インストールされたデバイス単位で管理されております。

 

Q】Cortex XDR PREVENTからCortex XDR PROに移行することは可能でしょうか?

【A】可能です。

 

【Q】Cortex XDR PREVENTとCortex XDR PROを共存させることは可能でしょうか?

【A】可能です。

 

【Q】Cortex XDR PREVENTからCortex XDR PROに移行する際には再インストールが必要ですか?

【A】不要です。Cortex XDR Agentのインストーラー自体は同一のものとなっており、Enhanced Data Collection機能を有効にすることでProの機能をご利用頂けます。

  

【Q】Cortex XDR Agentでフルスキャンを行うメリットについて教えてください。

【A】Cortex XDR Agentはフルスキャンを行わずとも、実行後にWildFireと連携した検査調査を行うことができますので、フルスキャンを行わなくても感染した端末を検出できますので、その点ではフルスキャンを行う必要はありません。但し、フルスキャンはPC上のファイルを1つ1つ検査を行うため、初期評価の際などに未知アプリケーション(業務アプリケーションなど)をWildFireのクラウド上の脅威インテリジェンスにて解析することで、過検知の状況を事前に確認し、安全に評価や導入を進めることができるメリットがあります。

 

【Q】Cortex XDR Agentでネットワーク隔離(Isolate)した状態でも、フルスキャンや遠隔操作(Live Terminal)することは可能ですか?

【A】可能です。また、このようなEDR機能はCortex XDR PREVENTライセンスの標準機能としてご利用頂けます。

 

【Q】APIを利用した制御を行うことができますか?

【A】可能です。一例として、APIを利用して不正なネットワーク通信を他製品で発見した場合にAPIを利用してその端末をネットワーク隔離するなどのAPI制御を行うことができます。ドキュメントはこちらを参照ください。

 

【Q】コンテンツアップデートでの配信ルールはCortex XDR Agentに自動的に配信されますか?

【A】規定値の設定では自動配信されます。配信の遅延設定や配信を行わない変更も可能です。

 

【Q】スクリプトの実行機能はCortex XDR PREVENTライセンスで利用可能でしょうか?

【A】Pythonを利用したスクリプトによる管理機能に関してはCortex XDR Pro per Endpointのライセンスが必要となります。

 

◆Cortex XDR Pro

【Q】3rd Party連携ではどのようなことが行うことができますか?

【A】Cisco, Fortinet, Check Point社のファイアウォールからのトラフィックログをBroker VM経由で解析することで、ネットワークトラフィック分析(NTA)を実現することができます。次世代ファイアウォールに比べた場合、検知可能な項目は少なくなります。アラートの詳細はこちらを参照してください。

 

【Q】Cortex XDR AgentのみでEPP/EDRに加え、ネットワークトラフィック分析(NTA)/ユーザ行動分析(UBA)機能が提供できますか?

【A】次世代ファイアウォールが無い環境においてもNTA/UBA機能を提供可能です。Cortex XDR Agentから発生するネットワーク通信や、ユーザが実行するコマンドなどをCortex XDRがクラウド上で分析し、EPP/EDR製品では検知できない高度なマルウェアによる攻撃や、ユーザの不正行為を確認することが可能です。NTA/UBA機能が動作するのは、最低30台以上のCortex XDR Agentが接続されていることに加え、Analytics機能(NTA/UBA)が利用できるライセンスが必要です。次世代ファイアウォールのみでAnalyticsを動作させる場合には、675MB以上のネットワークトラフィックログの受信が必要です。(過去24時間以内)

 

【Q】EDRデータ収集機能にて収集しているデータはどのようなものがありますか?

【A】こちらのドキュメントを参照してください。

 

【Q】Pathfinderは別途購入する必要があるのでしょうか?

【A】PathfinderはPro per TBのライセンスに含まれております。

 

【Q】5000台の端末がありますが、Pathfinderは何台設置する必要があるのでしょうか?

【A】Pathfinderは1台で10,000台までの端末を収容することができます。端末数が10,000を超える毎に1台追加を行ってください。

Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
4/4
最終更新:
2 週間前
更新者:
 
寄稿者: