Cortex XDR 運用支援機能

告知
Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

Cortex XDRはEPP, EDR, NDR, UBAを統合し、エンドポイントのEPP, EDRの運用支援機能のみならず、ネットワークやクラウドを含めて運用支援機能を提供しています。Cortex XDRはエンドユーザ様自身での運用を支援するため、または運用を提供する販売パートナー様自身で運用するための機能を提供しています。

ここでは、主な運用支援機能をご紹介します。

 

01.管理サーバの維持工数/コストがゼロ

02.パターンファイル配信不要

03.エージェントのバージョンアップを自動化

04.マルウェア解析を自動化

05.誤検知の自動修正

06.重要度、影響範囲、関連アラート統合によるインシデント化

07.レスポンス機能

08.レポート生成

 

01.管理サーバの維持工数/コストがゼロ

Cortex XDRはクラウドから提供されるサービスであるため、オンプレミス型のウイルス対策製品と異なり、下記の運用メリットがあります。

 ・サーバハードウェアやOSのコスト、OSのパッチ適用などのメンテナンス不要

 ・ウイルス対策製品の管理サーバ側の定期的なバージョンアップやパッチ適用作業が不要

 ・場所にとらわれず、インターネット接続環境のみで管理が可能

 

02.パターンファイル配信不要

Cortex XDRのエンドポイントは日々のパターンファイル配信を行わず、パターンファイル配信の管理運用が不要です。また、クラウド上の世界最大規模の脅威インテリジェンスWildFireと連携することで、常に最新のマルウェア情報を入手可能であり、今までのウイルス対策で発生していたパターンファイル配信までのマルウェア感染リスクを低減します。

 

また、Cortex XDRエージェントはローカル上に各種エンジン(各種エクスプロイト防御、マルウェア防御(静的解析、ふるまい防御)を搭載しており、インターネットに接続できない場合でも、攻撃を阻止する機能が継続されます。

 

03.エージェントのバージョンアップを自動化

エージェントのバージョンアップは運用者にとって負担となりますが、エージェントのバージョンアップを自動化することができます。互換性問題による営業なども考慮して、マイナーバージョンのバージョンアップのみ完全自動化するなどの機能を利用可能であり、運用負荷を軽減します。

 

04.マルウェア解析を自動化

2021-03-04_16h48_49.png

Cortex XDRは未知プログラムは全て自動的にWildFireで解析を行います。そのため、マルウェア疑いがあるファイルを発見した場合に、マルウェアファイルの入手や、メーカへの解析調査依頼などを行う必要はなく、Web管理コンソール上で解析結果を即時入手することが可能です。万が一、WildFireの判定結果が誤検知の疑いがある場合もWeb管理コンソールから修正/再調査依頼を行うことができます。

※右図はWebブラウザで自動翻訳された画面

 

05.誤検知の自動修正

昨今は機械学習技術により、ファイル構造からマルウェアに特徴が類似したファイルは、マルウェアとして判定できるようになりましたが、運用の観点からは、機械学習による判定は誤検知が発生しやすい技術です。

Cortex XDRはローカルの機械学習とクラウドのWildFireの脅威インテリジェンスでの解析でダブルチェックすることにより、誤検知を低減しています。この仕組みにより、機械学習エンジンにより発生しやすい誤検知の課題を自動修正することができますので、日々の運用で誤検知の対処の運用工数を低減することができます。

 

06.重要度、影響範囲、関連アラート統合によるインシデント化

Cortex XDRで検知されたセキュリティイベントは、自動的に関連するアラートが統合されて、1つのインシデントとして対応することができます。そのため、1つ1つのアラート単位で運用者が対応する必要がなく、インシデント単位で対応することができることが大きなCortex XDRの運用メリットになっています。

また、各インシデント、アラート毎に重要度が自動判断され、実際に対応が必要なマルウェア感染疑いがあるものは重要度高として自動判断されます。一例としては下記のような

   ・プログラム実行後に、そのプログラムがマルウェアと判定変更された

   ・ランサムウェアが実行され、暗号化する行動を阻止した

   ・マルウェアによって行われる、カーネル脆弱性を悪用する管理者権限を奪取する攻撃を検知した

2021-03-04_17h11_08.png

 

07.レスポンス機能

マルウェア感染疑いがある場合に、Cortex XDRでは、Cortex XDRエージェントをリモートでの隔離機能(ホワイトリスト機能付き)やプロセス停止/ファイル隔離などのレスポンス機能を実装しています。その他、スクリプトの実行による各種情報収集や、ハッシュ値を利用した瞬時の検索やファイル削除機能を実装しています。

 

一例として、重要度高のインシデント発生時に、端末をリモートで隔離し、マルウェアによる横感染のリスクを除いた状態において、端末の情報収集やフルスキャン、Live Terminalなどの各種対応を行うことができます。

 

Live Terminalは管理者がCortex XDRの管理コンソールから、遠隔で端末に入り込み、下記のような対処が可能です。

・タスクマネージャによる起動プロセスのチェックや停止

・各種ファイル操作

・コマンドラインやPowerShell, スクリプトの実行

 

08.レポート生成

定期レポートやオンデマンドでレポートを作成し、Cortex XDR上でのイベント検知状況や、接続されているエージェント数やバージョン、各種ネットワークやクラウドからのログの取り込み状況などのレポートを自動的に生成し、状況を確認することができます。

2021-03-04_17h29_36.png

 

タグ(5)
Register or Sign-in
バージョン履歴
最終更新:
‎03-04-2021 12:56 AM
更新者:
寄稿者: