Cortex XDR Agent ポリシー設定方法

Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

Cortex XDR Agentは設定されたポリシー(Policy Rules)に従い、動作します。

ポリシーは「ターゲット(対象)」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル(Profiles)を割り当てることで動作します。(初期値としてDefaultのProfileが割り当てられています)

 

ターゲットは端末を単体で設定する以外に、グループ(Endpoint Groups)を割り当てることも可能です。

対象の端末が属するPolicy Rulesが複数存在している場合には、上側に設定されたものがポリシーとして割り当てられます。Policyの概念を下記に記載します。

2020-01-08_15h12_51.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ここでは、一例としてポリシー設定を下記のポリシーにてWindows端末に設定します。

  • Report Modeの設定(検知してもブロックしない設定)
  • アクティビティログの送信

 

1. Cortex XDRの管理コンソールにログイン

1.1. 画面上部の「Endpoints」>「Policy Management」をクリックします。

2020-01-08_15h17_36.png

 

 

 

 

 

 

 

2. Profileの作成

2.1. Malware Profileの作成

 

2.1.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。

2020-01-08_15h34_17.png

 

 

 

 

 

2.1.2. 「SELECT PLATFORM」画面にて Windows > Malwareを選択し、右下のNextをクリックします。

2020-01-08_15h37_33.png

 

 

 

 

 

 

 

 

 

 

 

 

2.1.3. 下記のようにACTION MODEをReportに設定変更して、右下の「Create」をクリックします。

PROFILE NAME...記入必須

Examine Portable Executables and DLLs... ACTION MODEをReport

Examine Office Files with Macros... ACTION MODEをReport

Behavioral Threat Protection... ACTION MODEをReport

Ransomware Protection... ACTION MODEをReport

Prevent Malicious Child Process Execution... ACTION MODEをReport

※Use Default(Block)のチェックを外して選択してください

2020-01-08_15h44_43.png

 

 

 

 

2020-01-08_15h45_16.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2020-01-08_15h46_21.png

 

 

 

 

 

 

 

 

 

 

 

2020-01-08_15h47_51.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.2. Exploit Profileの作成

2.2.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。

2020-01-08_15h34_17.png

 

 

 

 

 

 

2.2.2. 「SELECT PLATFORM」画面にて Windows > EXPLOITを選択し、右下のNextをクリックします。

2020-01-08_17h20_25.png

 

 

 

 

 

 

 

 

 

 

2.2.3. 下記のようにACTION MODEをReportに設定変更して、右下の「Create」をクリックします。

PROFILE NAME...記入必須

Browser Exploits Protection... ACTION MODEをReport

Logical Exploits Protection... ACTION MODEをReport

Known Vulnerable Processes Protection... ACTION MODEをReport

Operating System Exploit Protection... ACTION MODEをReport

Exploit Protection for Additional Processes... ACTION MODEをReport

※Use Default(Block)のチェックを外して選択してください

2020-01-08_17h24_15.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2020-01-08_17h25_24.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.3. Agent Settings Profileの作成

2.3.1. 画面左側の「Profiles」をクリック後、右側の「New Profile」をクリックします。

2020-01-08_15h34_17.png

 

 

 

 

 

 

2.3.2. 「SELECT PLATFORM」画面にて Windows > Agent Settingsを選択し、右下のNextをクリックします。

2020-01-08_17h28_43.png

 

 

 

 

 

 

 

 

 

 

2.3.3. 下記部分のACTION MODEをEnabledに設定変更して、右下の「Create」をクリックします。

PROFILE NAME...記入必須

Monitor and collect enhanced endpoint data... ACTION MODEをEnabled

※Use Default(Disabled)のチェックを外して選択してください

 

また、Cortex XDR Agentを他のウイルス対策製品と共存利用時には、下記設定を行ってください

Windows Security Center Integration...DISABLEDに設定

※Use Default(Disabled)のチェックを外して選択してください

 

2020-01-08_17h31_52.png

 

 

 

 

 

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

2020-01-12_23h04_09.png

 

 

 

 

 

 

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

2020-01-08_17h32_45.png

 

 

 

 

 

 

 

 

 

2.4. Agent Settings Profileの確認

下記のように設定されたことを確認します。

2020-01-08_17h36_51.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Policy Rulesの作成

3.1. 画面左側の「Profiles」をクリック後、右側の「New Policy」をクリックします。

2020-01-08_17h41_06.png

 

 

 

 

 

 

 

 

 

 

 

 

 

3.2. 「Create New Policy」画面が表示されますので、先ほど作成したProfileを割り当てて、「Next」をクリックします。

POLICY NAME...記入必須

PLATFORM...Windowsを選択

EXPLOIT...先ほど作成したPROFILEを選択

MALWARE...先ほど作成したPROFILEを選択

AGENT SETTINGS...先ほど作成したPROFILEを選択

2020-01-08_17h46_53.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.3. 対象を選択する画面が表示されますので、Windows全端末であれば、

  画面左側に「Platform = Windows」とフィルタ表示されていることを確認して、「Next」をクリックします。

  特定端末/グループに対してポリシーを適用したい場合には、端末やポリシーを選択します。

2020-01-08_17h55_48.png

 

 

 

 

 

 

 

 

 

 

3.4. 設定の確認画面が表示されますので、確認後、「Done」をクリックします。

2020-01-08_17h56_49.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.5. 設定を保存するために「Save」をクリックします。

2020-01-08_18h02_11.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.6. 複数のポリシーがある場合には矢印マークにてポリシーの順番を入れ替えることができます。

入れ替えた場合には「Save」することで反映されます。

 

2020-01-08_18h11_29.png

 

 

 

 

 

 

 

以上でポリシーの設定を解説しました。

詳細なProfileやPolicyの割り当てに関してはこちらを参照してください。

タグ(4)
バージョン履歴
改訂番号
8/8
最終更新:
‎01-12-2020 06:09 AM
更新者:
 
寄稿者: