Cortex XDR Agent 除外設定

Printer Friendly Page
この記事は役に立ちましたか? はい いいえ
評価なし

Cortex XDR Agentを導入後、互換性に関する事象や過検知が発生した場合には、除外を行うことで事象を改善することができます。ここでは、代表的な事象についての除外方法を記載します。

 

1. ローカル分析による検知 ALERT NAME = Local Analysis Malware
2. WildFireによる検知 ALERT NAME = WildFire Malware
   2.1. ハッシュ値での除外
   2.2. ファイル/フォルダ単位での除外
   2.3. WildFireの判定修正依頼
3. BTPによる検知 ALERT NAME = Behavioral Threat
4. エクスプロイト防御による検知 CATEGORY = Exploit
5. Webブラウザが起動/動作しない ※イベント記録なし
6. 特定アプリケーションが起動しない ※イベント記録なし
7. 原因が特定できない ※イベント記録なし

 

 

1. ローカル分析による検知 ALERT NAME = Local Analysis Malware

2020-01-16_20h07_14.png

Local Analysis Malwareのアラートは、今までWildFireで解析を実施したことない未知ファイル(社内業務アプリケーション等)が機械学習エンジンにより一時的にファイル構造からマルウェアと判定されている場合に検知するアラートです。本アラートと同時にWildFireで解析が行われますので、解析終了後は過検知の判定が自動的に正しく修正されます。修正が行われない場合や、頻繁に業務アプリケーションがLocal Analysis Malwareにて過検知する場合は、後述するフォルダ除外にて対応するかLocal Analysisの機能自体を無効にすることで対応を行ってください。

 

 

 2. WildFireによる検知 ALERT NAME = WildFire Malware

2020-01-16_20h17_19.png

WildFire Malwareのアラートは、WildFireの脅威インテリジェンスにてマルウェア判定されている場合に検知します。除外方法としては「ハッシュ値、ファイル/フォルダ、WildFireの判定修正依頼」の3つの方法があります。

 

2.1. ハッシュ値での除外

2020-01-16_20h24_19.png

該当するWildFire MalwareのアラートでAnalyzeをクリックします。

2020-01-17_08h27_44.png

分析画面が表示されますので、検知を除外したいファイル(丸い部分)を右クリックして「Whitelist」をクリックします。

2020-01-17_08h30_27.png

確認画面が表示されますので、「Yes」をクリックして、登録は完了です。登録された一覧は管理画面上部のResponse > Action Center > Whitelistの部分で確認することができます。(こちらから登録や管理を行うことも可能です)

 

2.2. ファイル/フォルダ単位での除外

ファイル/フォルダで除外を行うためには、各Cortex XDR Agentに配信されるポリシー(マルウェアプロファイル)に対象のファイル/フォルダを追加します。

2020-01-17_08h46_10.png

画面上部のEndpoints > Policy Managementをクリックし、Profilesを選択します。

2020-01-17_08h53_20.png

ファイル/フォルダ単位で除外を行いたい端末が所属するマルウェアプロファイルを右クリックしてEditします。特定の端末のみファイル/フォルダ除外を行いたいなど、端末固有の個別設定を行う場合などは、マルウェアプロファイルを新規作成してください。

2020-01-17_08h57_30.png

WHITELIST FILES / FOLDERSにAddで対処のファイル/フォルダを追加します。ワイルドカードの利用も可能です。(例   c:\test\*)

実行形式やDLLを除外したい場合は、「Examine Portable Executables and DLLs」、WordやExcelのマクロファイルを除外したい場合には、「Examine Office Files with Macros」内に登録し、画面右下のSaveを押すことで設定が行われます。

 

2.3. WildFireの判定修正依頼

2.1. と同様に該当するアラートを右クリックでAnalyzeした後に、分析画面が表示されます。

2020-01-17_08h34_40.png

検知を除外したいファイル(丸)をクリックして、画面下側の「Report Incorrect」をクリックしてください。

2020-01-17_08h39_37.png

マルウェアでない正常なファイルであれば、SUGGESTED VERDICTに「Benign」を選択し、その理由(英語)とメールアドレスを記入してOKを押すことで、パロアルトネットワークスのリサーチャーが再調査を行います。再調査は即時結果が返ってくるわけではありませんので、取り急ぎ除外設定を行いたい場合にはハッシュ値での除外方法をご利用ください。

 

 

 3. BTPによる検知 ALERT NAME = Behavioral Threat

2020-01-17_09h22_30.png

Behavioral Threatのアラートは、BTPの挙動検知によって検出されています。マルウェアに動作が類似した業務アプリケーションなどでは過検知する場合があります。検知したBTPのルールを除外設定することができます。該当するBehavioral Threatアラートを右クリックして「Create alert exception」をクリックしてください。

2020-01-17_14h13_48.png

除外対象をGlobal(全端末)にするのか、Profile(特定のグループや端末に割り当てられるポリシー)に適用するのかを選択して、「Add」をクリックすることで除外されます。

2020-01-17_14h16_01.png

Globalで除外した場合には、画面上部のEndpoints > Policy Management > Global Exceptionsに登録されます。Profileで登録した場合には指定したProfileに登録が追加されます。

 

 

4. エクスプロイト防御による検知 CATEGORY = Exploit

2020-01-17_14h28_32.png

Exploitのアラートは、内部的にはCortex XDRが持つ様々なテクニックベースで検知ロジックに従って脆弱性攻撃として検知されます。他のセキュリティソフトウェアがOSや各種アプリケーションのメモリを操作などを行っている場合には過検知する場合があります。この場合には検知した対象アプリケーションとテクニックを除外することができます。対象のアラートを右クリックして、「Create alert exception」を選択します。

2020-01-17_14h35_56.png

除外対象をGlobal(全端末)にするのか、Profile(特定のグループや端末に割り当てられるポリシー)に適用するのかを選択して、「Add」をクリックすることで除外されます。

2020-01-17_14h40_13.png

Profileで除外した場合には、画面上部のEndpoints > Policy Management > Profiles内の指定したException Profile内に登録されます。Globalで登録した場合にはGlobal Exceptions内に追加されます。

 

 

5. Webブラウザが起動/動作しない

Cortex XDR Agentのエクスプロイト防御機能はアプリケーションのメモリを監視しているため、通常と異なるメモリの利用方法を行っている場合、互換性の問題が発生する場合があります。その場合、Webブラウザが正常に起動/動作しない場合があります。Webブラウザのプラグインや、資産管理ソフトウェア/ログ操作取得ツールなどと同居した場合に互換性問題が発生する事例がありますので、その場合にはWebブラウザに関するエクスプロイト防御機能を無効にして事象が解決されるかをご確認ください。

2020-01-17_14h48_36.png

Webブラウザに関するエクスプロイトを無効にするには、対象端末が属しているExploit Profileを編集します。(画面上部のEndpoints > Policy Management > Profilesから、対象端末が属しているException Profileを右クリックしてEdit)※Exploit Profileが無い場合には新規作成し、対象のCortex XDR Agentにポリシーを割り当ててください。

Browser Exploits Protection内のACTION MODEをDisabledにしてSAVEすることで、Webブラウザに対しての脆弱性対策機能が無効となります。

 

 

6. 特定アプリケーションが起動しない

Cortex XDR Agent導入後、Webブラウザ以外の特定アプリケーションが起動/動作せず、Cortex XDRのセキュリティイベントにも記録されない事象が発生した場合は、特定アプリケーションをCortex XDR Agentの保護対象から除外することができます。ここでは、その手順を解説します。

端末全体に適用するためには、画面上部のEndpoints > Policy Management > Global Exceptionsをクリックします。特定の端末やグループに適応する場合には、Endpoints > Policy Management > ProfilesからException ProfileをEditします。ここではGlobal Exceptionsにて解説します。

2020-01-17_15h03_40.png

Global Exception内(Profileの場合には該当のException Profile内)のProcess exceptionsの項目を確認して、一例としてWindowsでTestApp.exeというプロセスが起動しない場合は、下記のように設定してリターンキーマークを押して追加した後に、Saveをクリックして保存の上で再度確認を行ってください。(Cortex XDR Agentにポリシーを反映させるために、Cortex XDR Agentの管理コンソール上で「今すぐチェックイン」をクリックしてください)

PLATFORM:  Windows

PROCESS NAME:  TestApp.exe

MODULE NAME:  Disable Injection

 

 

7. 原因が特定できない

Cortex XDR Agent導入後、セキュリティイベントにも記録されず、各種アプリケーションの動作に問題がある事象が発生した場合は、エクスプロイト防御機能の一部の防御モジュールが特定アプリケーションと競合している可能性が高いため、エクスプロイト防御機能自体を無効にした上で再度確認する方法があります。エクスプロイト防御機能をすべて無効のExploit Profileを作成し、対象の端末にポリシーを割りててください。

詳細はこちらのポリシー設定方法を参照して該当端末にポリシーを割り当ててください。

2020-01-17_15h19_58.png

 

 

タグ(6)
バージョン履歴
改訂番号
5/5
最終更新:
‎01-16-2020 10:33 PM
更新者:
 
寄稿者: