Japan LIVEcommunity

Cortex XDRの管理コンソールにアクセスするための、管理者ユーザを追加するための手順を解説します。

【前提条件】既にカスタマーサポートポータルのSuper User権限を持ち、Cortex XDRにログインしてAccess Managementを操作する権限を持っているCSPユーザアカウントであること

Cortex XDRではパロアルトネットワークス製品共通のCSPユーザアカウントを利用してログインを行います。

 『手順１』

追加したいCSPユーザアカウントをカスタマーサポー

Cortex XDRは標準でDevice Control機能を提供しており、

USB接続のリムーバブルディスクをコントロールすることが可能です。

デスクトップ上のメッセージ

Blockポリシーのリムーバブルディスクを挿入した場合

Read Onlyポリシーのリムーバブルディスクを挿入した場合

実際にデータを書き込もうとするとこんなメッセージが表示されます。

Device Control Violations

Blockポリシーのリムーバブルディスクを挿入した場合、

Dev

 オンプレミスのシステムがクラウド上にシフトしたり、クラウドネイティブなアプリケーションが開発される中で、

SoCチームの監視範囲は拡大しつつあります。

Cortex XDRはクラウド上にあるリソースを可視化し、SoCチームがクラウド上のリソースの状況を把握する機能を

提供しています。

AWS, Azure, GCP上のリソースのうち

Compute Instance, Disk, Storage Bucket, VPC, Subnet, Security Group(Firewall rul

Cortex XDRはエンドポイントやファイアウォールのトラフィックログの他、クラウドサービスの監査ログなど

様々なログを取り込み解析することができます。ここではAWS Cloud Trailログの取り込み方法の概要と、

XQLやAnalyticsでどのように見えるのか簡単なサンプルをご説明します。

AWS Cloud Trailとは

AWS Cloud TrailはユーザアクティビティやAPIなどのイベントを記録し、コンプライアンスの証明や

セキュリティの向上に役立ちます。

この記事ではサードパーティのログを取り込むための１つの例として、

Broker VMのSyslog Collectorを使用してログをCortex XDRに送信する方法、送信したデータをXQLを使用して抽出する方法について説明します。

設定の勘所をお伝えすることを目的にしているので、設定の内容や動作について保証するものではないことをご承知おきください。

またBroker VMの詳細設定はTech Docsを確認してください。(この記事の一番下にリンクを付けています)

ログの送信の概要

コンピュータ犯罪、知的財産の盗難など様々なインシデントが発生するシーンにおいて、

コンピュータ上に残る様々な痕跡を収集することがあります。

Cortex XDRのForensic add-onは、このようなユースケースに必要なフォレンジック機能を提供します。

弊社のUNIT42が提供するMDRサービスにおいてもForensic add-onが使われています。

SANSではWindowsのデジタルフォレンジックにおいてどのようなアーティファクトがあるのか、

またそれがどのように調査で使用され

2022年3月に教育情報セキュリティポリシーに関するガイドラインが改定され、「ネットワーク分離による対策」だけではなく「アクセス制御による対策」が追記されました。この改定により、セキュリティレベルを下げず、現場の利便性を高める校務システムの導入が可能となったといえると思います。また、文部科学省としても将来的にも「アクセス制御による対策」への移行を推奨しているようです。

改定前の教育情報セキュリティポリシーに関するガイドラインでは、当初は教員が利用するネットワークは「校務系」と「校務外部接

Vulnerability Assessment機能を使用すると、エンドポイントにあるセキュリティ脆弱性を特定することができます。

脆弱性情報はNIST National Vulnerability DatabaseからCVEのスコアやメトリクスなど最新のデータを取得します。

全体の確認

右上の「Endpoints」を選択すると、エンドポイント毎に確認できます

右上の「CVES」を選択すると、エンドポイント毎に確認できます

詳細の確認

CVEの詳細を確認する場合は、ホスト名など

Host Inventory機能を使用すると、全てのエンドポイントのインベントリを取得して可視化します。

インベントリは過去30日間分を保持しているため、過去のインベントリと現在のインベントリの状態を比較することができます。

例えばエンドポイントにおいて侵害が確認された場合に、状態に変化点がないかどうか確認することができます。

Host Inventoryは、AutorunやServiceなど様々なインベントリを収集します 

以下のように、「Primary」から比較したいイン