よくあるQ&A

Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

よくある質問を記載しています。執筆時点での情報となり、情報は変更される場合があります。最新情報は公式ドキュメントを参照ください。

 

◆一般

【Q】Cortex XDRのライセンス(Cortex XDR Prevent, Cortex XDR Pro per Endpoint, Cortex XDR Pro per TB)によって利用できる機能差異について教えてください。

【A】こちらを参照してください。

 

【Q】Cortex XDRのシステム要件やインストール可能なOSについて教えてください。

【A】こちらを参照してください。

 

Q】管理コンソールはクラウド上にあるのでしょうか?

【A】はい、クラウド上で管理コンソールを提供しています。そのため、管理サーバ用のハードウェアを準備/運用して頂く必要はありません。

 

Q】Cortex XDRがホストされているデータセンターは日本にあるのでしょうか?

【A】はい、日本のデータセンターを選択頂くことも可能になっております。

 

Q】評価版は提供しているのでしょうか?

【A】はい、評価版を提供しております。販売パートナー、またはパロアルトネットワークスの担当営業までご相談ください。

 

Q】Cortex XDR Agentがインターネットに接続できない環境で利用することはできますか?

【A】一切インターネットに接続できない環境ではご利用頂けませんが、1度接続すればその後はオフライン状態でも利用可能です。

   また、Broker VMを利用することで、Broker VMがProxyとして動作しますので、直接インターネットに接続はできないが、

   経由することにより接続可能であれば、こちらの方法をご利用ください。

 

【Q】ログの保管期間は定義されていますか?

【A】Cortex XDRの検知アラートなどのログはCortex Data Lakeに保管され、30日間はログの保存が保証されています。

   Cortex Data Lakeには保存容量が割り当てられているため、その容量を超えない限りログは保存され続けます。

   一部のログ(Audit Log)はログ期間が固定なものもありますので必要に応じてLog Forwarding機能をご利用ください。

 

Q】Log Forwardingとは何ですか?

【A】Cortex XDRにて検知されたアラートログなどをSyslog, Email, Slackにて外部に送信することができるCortex XDRの機能です。

 

Q】クラウド上で保存されるデータにはどのようなものがあるか教えてください。

【A】こちらのPrivacy Data Sheetを参照してください。

 

Q】SOC2認定を受けていますか?

【A】Cortex XDR, Cortex Data Lake, WildFireはSOC2 TYPE2 Plus認定を受けております。詳細はこちらを参照してください。

 

Q】Cortex XDR Agentのライセンスはユーザ単位でしょうか?それともデバイス単位で管理されているのでしょうか?

【A】インストールされたデバイス単位で管理されております。

 

Q】Cortex XDR PREVENTからCortex XDR PROに移行することは可能でしょうか?

【A】可能です。

 

【Q】Cortex XDR PREVENTからCortex XDR PROに移行する際には再インストールが必要ですか?

【A】不要です。Cortex XDR Agentのインストーラー自体は同一のものとなっており、XDR Pro設定を有効にすることでProの機能をご利用頂けます。

 

Q】管理コンソールへのログインに2要素認証は利用できますか?

【A】はい、ご利用頂けます。

  

◆Cortex XDR Prevent

【Q】Cortex XDR Agentではどのようにマルウェア感染から保護しているのですか?

【A】Cortex XDR Agentは多くのマルウェアからの感染阻止機能を実装しており、動き始めた後も常に動きをチェックしています。今までのパターンファイルの日々の配信を行うことなく、常に最新の情報をクラウド上の脅威インテリジェンス(WildFire)と連携して、不正プログラムを実行前に阻止し、未知プログラムもローカルに搭載された機械学習エンジンにより自動的に判断します。また、BTP(Behavioral Threat Protection)機能により、常にPC上の行動を監視することでマルウェア感染の疑いがある振る舞いを阻止することができます。BTPによりマルウェア本体が動作し始める前のスクリプト、Powershellを利用するようなファイルレス攻撃や、マルウェア本体が動き始めた後にも、ローカル上で即時に疑わしい振る舞いを阻止することができます。その他、ランサムウェアに特化した防御モジュール、不正なパスワードを取得されない防御モジュールなど、様々な防御モジュールを搭載しています。

 

【Q】サンドボックスの解析や、検体解析レポートを入手できますか?

【A】はい、Cortex XDR Preventは標準でWildFireのサンドボックスを利用することができますので、未知検体は自動的にWildFireのサンドボックス上で検体解析を行い、解析結果のレポートを入手することができます。

 

【Q】後追いで、実行したプロセスがマルウェアと判定された場合にプロセスを自動停止する機能がありますか?

【A】はい、Cortex XDRではPOST DETECTIONにより、プロセス実行後にMalware判定に変更された場合、該当プロセスを自動停止させることで感染拡大を最小限にする機能が標準搭載されております。

 

【Q】パターンファイルを配信して保護するウイルス対策製品との大きな違いは何でしょうか?

【A】Cortex XDR Agentは従来の非効率なパターンファイル配信に代わり、直接世界中で常に共有された高精度なクラウド上の脅威インテリジェンス(WildFire)を活用しています。そのため、ファイルレベルの検査においては、下記のようなメリットがあります。

  • パターンファイルをPCのメモリ上に展開しないため、PC負荷が軽い
  • リアルタイムに世界中からの未知検体を解析して、世界中に配信するWildFireを利用しているため、未知ファイルへの対応速度が速い
  • 解析機能(サンドボックス機能)を標準で利用できるため、マルウェアと判定した証拠を確認可能
  • 万が一の誤検知などが発生した場合も、PCからの検体収集などは不要でクラウド上で即座にパロアルトネットワークスのリサーチャに再解析を依頼できる

また、Cortex XDR AgentはMicrosoftのWordマクロなど、マクロ部分だけのファイルハッシュ値を取得し、脅威インテリジェンスへの確認やローカル機械学習での判定を行うことができるなど、ファイルレベルの検査だけを見ても高度な様々な機能を有しています。

 

【Q】Cortex XDR Agentでは脆弱性対策はできるのでしょうか?

【A】はい、一般的に利用されるルールベースの脆弱性対策ではなく、テクニックベースでの脆弱性対策機能を有しています。攻撃者が利用する攻撃テクニックは共通化されている部分があるため、脆弱性を悪用するテクニックを判断して脆弱性からの攻撃を保護します。具体的にはアプリケーションのメモリを監視して、バッファオーバーフローなどの異常な動作や不正なプログラム実行のテクニックなどを発見して阻止します。そのため、OSのパッチが適用できない環境などにおいても、Cortex XDR Agentを入れることで脆弱性対策を行うことができます。

 

【Q】Cortex XDR Agentでフルスキャンを行うメリットについて教えてください。

【A】Cortex XDR Agentはフルスキャンを行わずとも、実行後にWildFireと連携した検査調査を行うことができますので、フルスキャンを行わなくても感染した端末を検出できますので、その点ではフルスキャンを行う必要はありません。但し、フルスキャンはPC上のファイルを1つ1つ検査を行うため、初期評価の際などに未知アプリケーション(業務アプリケーションなど)をWildFireのクラウド上の脅威インテリジェンスにて解析することで、過検知の状況を事前に確認し、安全に評価や導入を進めることができるメリットがあります。

 

【Q】Cortex XDR Agentでネットワーク隔離(Isolate)した状態でも、フルスキャンや遠隔操作(Live Terminal)することは可能ですか?

【A】可能です。ネットワーク隔離や遠隔操作(Live Terminal)などのEDR機能はCortex XDR Preventライセンスの標準機能としてご利用頂けます。

 

【Q】APIを利用した制御を行うことができますか?

【A】可能です。一例として、APIを利用して不正なネットワーク通信を他製品で発見した場合にAPIを利用してその端末をネットワーク隔離するなどのAPI制御を行うことができます。ドキュメントはこちらを参照ください。

 

【Q】コンテンツアップデートでの配信ルールはCortex XDR Agentに自動的に配信されますか?

【A】規定値の設定では自動配信されます。配信の遅延設定や配信を行わない変更も可能です。

 

【Q】スクリプトの実行機能はCortex XDR PREVENTライセンスで利用可能でしょうか?

【A】Pythonを利用したスクリプトによる管理機能に関してはCortex XDR Pro per Endpointのライセンスが必要となります。

 

◆Cortex XDR Pro per Endpoint

【Q】Cortex XDR PreventとPro per Endpointでの主な違いを教えてください

【A】主に下記のような違いがあります

  • EDRデータ収集機能により、PC上の詳細なアクティビティをクラウドに送信しクラウド上で検知や、過去のアクティビティから調査が可能
  • クラウド上での調査ツールを豊富に用意
  • 高度なマルウェア攻撃や内部不正の検知を行う特許取得済の行動分析テクノロジー
  • スクリプトの実行や脆弱性スキャン、アプリケーションインベントリ取得など、単なるウイルス対策ではなく運用を支援する機能が充実

 

【Q】EDRデータ収集機能にて収集しているデータはどのようなものがありますか?

【A】こちらのドキュメントを参照してください。

 

【Q】エージェント未導入の端末を可視化することができますか?

【A】はい、Broker VMのNetwork Mapper機能をご利用頂くことで、エージェント未導入の端末を可視化することができます。

 

【Q】Cortex XDR AgentのみでEPP/EDRに加え、ネットワークトラフィック分析(NTA)/ユーザ行動分析(UBA)機能が提供できますか?

【A】次世代ファイアウォールが無い環境においてもNTA/UBA機能を提供可能です。Cortex XDR Agentから発生するネットワーク通信や、ユーザが実行するコマンドなどをCortex XDRがクラウド上で分析し、EPP/EDR製品では検知できない高度なマルウェアによる攻撃や、ユーザの不正行為を確認することが可能です。NTA/UBA機能が動作するのは、最低30台以上のCortex XDR Agentが接続されていることに加え、Analytics機能(NTA/UBA)が利用できるライセンスが必要です。次世代ファイアウォールのみでAnalyticsを動作させる場合には、2週間の期間、30デバイスが接続されていることが必要です。

 

【Q】Managed Threat Huntingとは何ですか?

【A】パロアルトネットワークスのUnit42と呼ばれる脅威ハンターが24時間365日、Cortex XDR pro per Endpointを利用している顧客に対して提供しているサービスです。(Webはこちら)製品だけでは発見できない攻撃をセキュリティの専門家が監視し、レポート提供も行います。運用を代行するMSS/MDRサービスではありませんので、ご注意ください。

 

【Q】Host Insightsとは何ですか?

【A】Host InsightsはCortex XDR Pro per Endpointを利用している場合に追加で機能を拡張可能なアドオンモジュール(有償)です。

Host Insightにより、主に下記の価値を提供します

・脆弱性スキャンにより、端末の脆弱性管理

・Search & Destroy機能によるハッシュ値による端末上のファイル検索と削除

・端末の各種情報(インストールされているアプリケーション、ドライバ、ファイル共有、サービスなど)を日々記録し、現在と過去の状態の比較が可能に

 

◆Cortex XDR Pro per TB

【Q】Cortex XDR Pro per TBとはどのようなライセンスですか?

【A】エージェントレスで、ネットワークのデータを活用にてNDR(Network Detection and Response)を実現するソリューションとなります。

 

【Q】Cortex XDR Pro per TBを利用するとどのようなメリットがありますか?

【A】内部ネットワークを可視化することができますので、内部対策としてご活用頂けます。また、特許取得済の行動分析テクノロジーを利用して、トラフィックデータから、高度なマルウェアの攻撃の発見、内部不正の発見を行うことができます。

 

【Q】ネットワークのデータをどのように収集するのですか?

【A】パロアルトネットワークスの次世代ファイアウォールをセンサーとして利用し、クラウド上のCortex Data Lakeにトラフィックデータを送信します。また、Prisma Accessや3rd Partyのトラフィックデータも収集することができます。

 

【Q】現在次世代ファイアウォールを利用しています。別途次世代ファイアウォールをセンサーとして購入する必要がありますか?

【A】別途次世代ファイアウォールを購入することを推奨しておりますが、現在利用している次世代ファイアウォールを活用できるケースも考えられます。下記の考慮が必要となるため、詳細は販売パートナーまでご相談ください。そのた、3rd Partyのファイアウォールにも対応しています。

  • インターネットの出入口ではなく、PC間の通信をモニターする必要があるため構成上の考慮
  • 次世代ファイアウォールの対応バージョン

 

【Q】3rd Partyとはどのようなデバイスでしょうか?

【A】Cisco, Fortinet, Check Point社のファイアウォールからのトラフィックログをBroker VM経由でクラウドにデータを送信することができます。但し、3rd Partyのデバイスを利用した場合、クラウド上で検知できる精度は低下します。

 

【Q】エージェントレスのため、エンドポイントの調査はできないのですか?

【A】Broker VMを利用することで、エンドポイントの調査や対処を実現します。不審な端末を発見した場合に、エンドポイントに一時エージェントを自動的に導入することで、不審な端末の動作を一定期間監視することができます。監視している中で、マルウェアの兆候などがあればアラートとして更なる調査が可能です。

 

【Q】Broker VMはは別途購入する必要があるのでしょうか?

【A】Broker VMはCortex XDR利用ユーザに仮想アプライアンスで提供しているものです。仮想基盤は準備頂く必要がございます。

 

【Q】Pathfinderは何台設置する必要があるのでしょうか?

【A】Pathfinderは1台で10,000台までの端末を収容することができます。端末数が10,000を超える毎に1台追加を行ってください。

バージョン履歴
改訂番号
8/8
最終更新:
2 週間前
更新者:
 
寄稿者: