CSIRTやSOCの業務として、従業員に対して送られてきた不審なメールが、本当に問題があるメールなのかを調査し判断することをしています。判断が容易である場合も多いですが、他の業務もある中で件数が多くなってくると負担になってしまいます。ここでは、一般的に行う不審メール処理のフローとCortex XSOARにより効率化されたフローを比較した結果を記載します。

◆ 一般的によく行われている不審メール処理フロー

通常、不審なメールを受け取ったユーザーは、CSIRTやSOCの担当者に対して報告を行い

よくある質問を記載しています。執筆時点での情報となり、情報は変更される場合があります。最新情報は公式ドキュメントを参照ください。

◆一般

【Q】Cortex XDRのライセンス（Cortex XDR Prevent, Cortex XDR Pro per Endpoint, Cortex XDR Pro per TB）によって利用できる機能差異について教えてください。

【A】こちらを参照してください。

【Q】Cortex XDRのシステム要件やインストール可能なOSについて教えてくださ

Cortex XDR環境にBroker VM（仮想アプライアンス）を設置することで下記機能を提供します。

• Agent Proxy
  • 直接Cortex XDR Agentがインターネットに接続できない場合に利用し、プロキシとして動作します
• Syslog Collector（要Pro per Endpoint または Pro per TBライセンス）
  • 3rd Party ログ（Check Point, Fortinet, Ciscoなど）やアラートを取り込み、Analyticsによる解析が可能

Cortex XDR Agentを導入後、互換性に関する事象や過検知が発生した場合には、除外を行うことで事象を改善することができます。ここでは、代表的な事象についての除外方法を記載します。

1. ローカル分析による検知 ALERT NAME = Local Analysis Malware
2. WildFireによる検知 ALERT NAME = WildFire Malware
   2.1. ハッシュ値での除外
   2.2. ファイル／フォルダ単位での除外
   2.3. WildFire

Cortex XDR Agentの管理を行う「Endpoint Management」についての解説を行います。

ここでは、Endpoint Managementの管理コンソールから可能な管理について簡単に解説します。

Endpoint Managementの管理コンソールから行うことができる主な項目は下記の通りです。

【変更】バージョンアップ、アンインストール、Proxyの指定、ライセンス登録解除（表示削除）

【運用】フルスキャン開始／停止、ネットワーク隔離、Live Terminal、

Cortex XDR Agentが導入されているWindows端末上においてテストマルウェアを実行することで、Cortex XDR Agent上で検知させ（ブロックする／しないは設定に依存）、セキュリティイベントを確認する基本的な手順を記載します。

ここでは、2つの無害なテストマルウェアを利用する方法を記載します。

1. WildFireテストファイルを利用した方法
2. テスト用Wordマクロファイルを利用した方法（作成中）

1. WildFireテストファイルを利用した方法

1.1. Cort

ウイルス対策製品とCortex XDR Agentを共存する場合はこちらの3rd Partyセキュリティ製品との互換性情報を事前にご確認ください。特定機能や製品の同居自体がサポート外の情報が記載されています。

ウイルス対策製品とCortex XDR Agentを共存する場合には、下記3つの設定の考慮が必要です。

1. Windows Security Centerへの登録を無効化
2. 他社ウイルス対策製品での除外設定
3. Cortex XDRでの検索除外設定

1. Windows Security

Cortex XDR Agentは設定されたポリシー（Policy Rules）に従い、動作します。

ポリシーは「ターゲット（対象）」に対し、「Exploit」「Malware」「Restriction」「Agent」「Exception」のプロファイル（Profiles）を割り当てることで動作します。（初期値としてDefaultのProfileが割り当てられています）

ターゲットは端末を単体で設定する以外に、グループ（Endpoint Groups）を割り当てることも可能です。

対象の端

Cortex XDRで検知したアラートはメールやSyslog, Slackによる通知を行うことができます。

これらの設定はCortex XDRの管理コンソール上で設定を行います。最新の設定方法はこちらからご確認ください。

【設定手順】

1. Cortex XDRの管理コンソールにログインし、画面右上の設定アイコン（ギアマーク）からSettingsをクリックします。

2. SyslogやSlackを利用して通知を行う場合には、画面左側のIntegra

Windows OSに対してのインストール手順を解説します。

最新の手順、Msiexecを利用したオプションの詳細、VDI環境へのインストールなどはこちらのインストール手順をご覧ください（英語）

1. インストーラーの作成と入手

2. Cortex XDR Agentのインストール

3. Cortex XDR Agentインストール後の確認手順

1. インストーラーの作成と入手

1.1. Cortex XDR管理コンソールにログインし、「Agent Installations」をクリックします。

Cortex XDR Agentをアンインストールする方法として下記2つの方法があります。

• Cortex XDR 管理コンソール上からのアンインストール
  （通常はこちら）
• Cortex XDR Agent端末上でのアンインストール
  （Cortex XDR Agentがネットワーク接続できない場合）
   

1. Cortex XDR 管理コンソール上からのアンインストール

本設定をCortex XDR管理コンソールで実施すると、次回のCortex XDR Agent接続時に自動的にアンインストールが行

評価ライセンスが発行されると、以下のメールがご担当者様宛に送られます。

• Customer Support Portal（CSP）のWelcomeメール
  (Customer Support Portalへのユーザー登録がなかった場合）
• Cortex XDRのWelcomeメール
  ※利用者側の環境によって、これらのメールがスパムメールフォルダに入る場合がありますので、ご注意ください

Cortex XDRのWelcomeメールの本文サンプル

Cortex XDRのシステム要件は下記を参照ください（英語サイトへのリンク）

Cortex XDRドキュメントの技術ドキュメントのURLはこちら

Cortex XDR Agent

Cortex XDR Agentをインストールすることで、脆弱性防御／既知・未知マルウェア防御（EPP）／サンドボックス自動解析／マルウェア感染後の検知と対処（EDR）機能／ネットワークトラフィック分析（NTA）／ユーザ行動分析（UBA）機能をご利用頂けます。（Cortex XDRのライセンスにより利用可能な機

Palo Alto Networks ブログで公開されているCortex XDR（Secure the future）関連の記事となります。

Cortex XDR / Cortex XSOAR関連ブログ（英語）

https://blog.paloaltonetworks.com/security-operations/