キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Browse the Community

Pre-Sales

プリセールス(販売、設定、構築など)に関する情報

19 Posts

Post-Sales

ポストセールス(購入後のサポート)に関する情報

Activity in Cortex

[Cortex XSOAR] 不審メール処理のユースケース

CSIRTやSOCの業務として、従業員に対して送られてきた不審なメールが、本当に問題があるメールなのかを調査し判断することをしています。判断が容易である場合も多いですが、他の業務もある中で件数が多くなってくると負担になってしまいます。ここでは、一般的に行う不審メール処理のフローとCortex XSOARにより効率化されたフローを比較した結果を記載します。

 

◆ 一般的によく行われている不審メール処理フロー

通常、不審なメールを受け取ったユーザーは、CSIRTやSOCの担当者に対して報告を行い

...

スクリーンショット 2022-05-02 16.47.04.png
スクリーンショット 2022-05-02 16.53.51.png
スクリーンショット 2022-05-02 15.55.51.png
スクリーンショット 2022-05-06 15.16.41.png
aikenaga 投稿者 L1 Bithead
  • 55 閲覧回数
  • 0 返信
  • 0 賞賛

[Cortex XDR] よくあるQ&A

よくある質問を記載しています。執筆時点での情報となり、情報は変更される場合があります。最新情報は公式ドキュメントを参照ください。

 

◆一般

【Q】Cortex XDRのライセンス(Cortex XDR Prevent, Cortex XDR Pro per Endpoint, Cortex XDR Pro per TB)によって利用できる機能差異について教えてください。

【A】こちらを参照してください。

 

【Q】Cortex XDRのシステム要件やインストール可能なOSについて教えてくださ

...

tmuroi 投稿者 L4 Transporter
  • 7599 閲覧回数
  • 0 返信
  • 0 賞賛

脅威インテリジェンス連携

Cortex XDRはVirus TotalやAutofocusの脅威インテリジェンス情報と連携することで、インシデント確認時に画面に情報を表示させることで、より素早く調査を進めることができます。

 

・Virus TotalのAPI(無償のコミュニティ版を含む)

・AutofocusのAPI

 

を追加で連携できます。WildFireの脅威インテリジェンスはCortex XDR標準で利用可能となっています。

下記のように情報を一画面で確認できます。

 

 

 

◆設定方法

Cortex XD

...

tmuroi_3-1579513688266.png
tmuroi_1-1579513169833.png
tmuroi_2-1579513341579.png
tmuroi 投稿者 L4 Transporter
  • 2177 閲覧回数
  • 0 返信
  • 0 賞賛

Broker VM について

Cortex XDR環境にBroker VM(仮想アプライアンス)を設置することで下記機能を提供します。

 

  • Agent Proxy
    • 直接Cortex XDR Agentがインターネットに接続できない場合に利用し、プロキシとして動作します
  • Syslog Collector(要Pro per Endpoint または Pro per TBライセンス)
    • 3rd Party ログ(Check Point, Fortinet, Ciscoなど)やアラートを取り込み、Analyticsによる解析が可能
...

2020-11-12_14h12_44.png
tmuroi 投稿者 L4 Transporter
  • 3965 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR Agent 除外設定

Cortex XDR Agentを導入後、互換性に関する事象や過検知が発生した場合には、除外を行うことで事象を改善することができます。ここでは、代表的な事象についての除外方法を記載します。

 

1. ローカル分析による検知 ALERT NAME = Local Analysis Malware
2. WildFireによる検知 ALERT NAME = WildFire Malware
   2.1. ハッシュ値での除外
   2.2. ファイル/フォルダ単位での除外
   2.3. WildFire

...

2020-01-16_20h07_14.png
2020-01-16_20h17_19.png
2020-01-16_20h24_19.png
2020-01-17_08h27_44.png
tmuroi 投稿者 L4 Transporter
  • 5530 閲覧回数
  • 0 返信
  • 1 賞賛

Cortex XDR Agent 管理

Cortex XDR Agentの管理を行う「Endpoint Management」についての解説を行います。

ここでは、Endpoint Managementの管理コンソールから可能な管理について簡単に解説します。

 

Endpoint Managementの管理コンソールから行うことができる主な項目は下記の通りです。

【変更】バージョンアップ、アンインストール、Proxyの指定、ライセンス登録解除(表示削除)

【運用】フルスキャン開始/停止、ネットワーク隔離、Live Terminal、

...

2020-01-14_17h40_16.png
2020-01-14_19h17_09.png
2020-01-14_17h42_28.png
2020-01-14_18h04_44.png
tmuroi 投稿者 L4 Transporter
  • 3412 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR Agent テストマルウェアによる確認

Cortex XDR Agentが導入されているWindows端末上においてテストマルウェアを実行することで、Cortex XDR Agent上で検知させ(ブロックする/しないは設定に依存)、セキュリティイベントを確認する基本的な手順を記載します。

 

ここでは、2つの無害なテストマルウェアを利用する方法を記載します。

  1. WildFireテストファイルを利用した方法
  2. テスト用Wordマクロファイルを利用した方法(作成中)

  

1. WildFireテストファイルを利用した方法

1.1. Cort

...

2020-01-13_17h05_35.png
2020-01-13_17h07_28.png
2020-01-13_17h13_22.png
2020-01-13_17h20_03.png
tmuroi 投稿者 L4 Transporter
  • 4689 閲覧回数
  • 0 返信
  • 0 賞賛

ウイルス対策製品とCortex XDR Agentの共存

ウイルス対策製品とCortex XDR Agentを共存する場合はこちらの3rd Partyセキュリティ製品との互換性情報を事前にご確認ください。特定機能や製品の同居自体がサポート外の情報が記載されています。

 

ウイルス対策製品とCortex XDR Agentを共存する場合には、下記3つの設定の考慮が必要です。

 

  1. Windows Security Centerへの登録を無効化
  2. 他社ウイルス対策製品での除外設定
  3. Cortex XDRでの検索除外設定

 

1. Windows Security

...

tmuroi 投稿者 L4 Transporter
  • 4207 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR Agent ポリシー設定方法

Cortex XDR Agentは設定されたポリシー(Policy Rules)に従い、動作します。

ポリシーは「ターゲット(対象)」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル(Profiles)を割り当てることで動作します。(初期値としてDefaultのProfileが割り当てられています)

 

ターゲットは端末を単体で設定する以外に、グループ(Endpoint Groups)を割り当てることも可能です。

対象の端

...

2020-01-08_15h12_51.png
2020-01-08_15h17_36.png
2020-01-08_15h34_17.png
2020-01-08_15h37_33.png
tmuroi 投稿者 L4 Transporter
  • 3163 閲覧回数
  • 0 返信
  • 0 賞賛

Log Forwarding 通知設定

Cortex XDRで検知したアラートはメールやSyslog, Slackによる通知を行うことができます。

これらの設定はCortex XDRの管理コンソール上で設定を行います。最新の設定方法はこちらからご確認ください。

 

 

【設定手順】

1. Cortex XDRの管理コンソールにログインし、画面右上の設定アイコン(ギアマーク)からSettingsをクリックします。

 

 

 

 

 

 

 

 

 

2. SyslogやSlackを利用して通知を行う場合には、画面左側のIntegra

...

2020-04-06_12h35_06.png
2020-04-06_12h39_12.png
2020-04-06_12h41_13.png
2020-04-06_12h48_13.png
tmuroi 投稿者 L4 Transporter
  • 2682 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR Agent インストール手順(Windows)

Windows OSに対してのインストール手順を解説します。

最新の手順、Msiexecを利用したオプションの詳細、VDI環境へのインストールなどはこちらのインストール手順をご覧ください(英語)

 

  1. インストーラーの作成と入手

  2. Cortex XDR Agentのインストール

  3. Cortex XDR Agentインストール後の確認手順

 

1. インストーラーの作成と入手

 

1.1. Cortex XDR管理コンソールにログインし、「Agent Installations」をクリックします。

...

2019-12-27_13h54_38.png
2019-12-27_14h01_12.png
2019-12-27_14h03_46.png
2019-12-27_14h08_28.png
tmuroi 投稿者 L4 Transporter
  • 5985 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR Agent アンインストール手順

Cortex XDR Agentをアンインストールする方法として下記2つの方法があります。

 

  • Cortex XDR 管理コンソール上からのアンインストール
    (通常はこちら)
  • Cortex XDR Agent端末上でのアンインストール
    (Cortex XDR Agentがネットワーク接続できない場合)
     

1. Cortex XDR 管理コンソール上からのアンインストール

本設定をCortex XDR管理コンソールで実施すると、次回のCortex XDR Agent接続時に自動的にアンインストールが行

...

2019-12-27_09h35_01.png
2019-12-27_09h38_00.png
2019-12-27_09h40_55.png
2019-12-27_10h12_46.png
tmuroi 投稿者 L4 Transporter
  • 6029 閲覧回数
  • 0 返信
  • 0 賞賛

評価版 ライセンス有効化手順

評価ライセンスが発行されると、以下のメールがご担当者様宛に送られます。

  • Customer Support Portal(CSP)のWelcomeメール
    (Customer Support Portalへのユーザー登録がなかった場合)
  • Cortex XDRのWelcomeメール
    ※利用者側の環境によって、これらのメールがスパムメールフォルダに入る場合がありますので、ご注意ください

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Cortex XDRのWelcomeメールの本文サンプル

 

...

2020-07-01_22h46_08.png
tmuroi_0-1622078720151.png
tmuroi_1-1622078770958.png
tmuroi_2-1622078906896.png
tmuroi 投稿者 L4 Transporter
  • 4636 閲覧回数
  • 0 返信
  • 0 賞賛

システム要件/サポートポリシー

Cortex XDRのシステム要件は下記を参照ください(英語サイトへのリンク)

Cortex XDRドキュメントの技術ドキュメントのURLはこちら

 

Cortex XDR Agent

Cortex XDR Agentをインストールすることで、脆弱性防御/既知・未知マルウェア防御(EPP)/サンドボックス自動解析/マルウェア感染後の検知と対処(EDR)機能/ネットワークトラフィック分析(NTA)/ユーザ行動分析(UBA)機能をご利用頂けます。(Cortex XDRのライセンスにより利用可能な機

...

tmuroi 投稿者 L4 Transporter
  • 4667 閲覧回数
  • 0 返信
  • 0 賞賛

Cortex XDR ブログ記事

Palo Alto Networks ブログで公開されているCortex XDR(Secure the future)関連の記事となります。

 

Cortex XDR / Cortex XSOAR関連ブログ(英語)

https://blog.paloaltonetworks.com/security-operations/

 

 

tmuroi 投稿者 L4 Transporter
  • 2348 閲覧回数
  • 0 返信
  • 0 賞賛
Register or Sign-in
トップ寄稿者

Latest from our Blog

Ignite Call for Papers Opens June 14!

After a few years of Ignite taking place virtually, we are so happy to say that we will finally be able to see you all face-to-face for Ignite 2022! Palo Alto Networks' annual security conference will...

1 コメント

New How-to Videos for Cloud NGFW for AWS!

Managed by Palo Alto Networks and easily procured in AWS Marketplace, Cloud NGFW for AWS has been designed to easily deliver our best-in-class security protections with AWS simplicity and scale, aimed...

0 コメント

Zero Trust Network Access (ZTNA) 2.0 is Here

The security landscape has changed drastically in the past few years and cyberattacks have become common, near daily events. Every week there's a new headline talking about security breaches or a comp...

0 コメント