Cortex XDR Agent テストマルウェアによる確認

Cortex XDR Agentが導入されているWindows端末上においてテストマルウェアを実行することで、Cortex XDR Agent上で検知させ（ブロックする／しないは設定に依存）、セキュリティイベントを確認する基本的な手順を記載します。

ここでは、2つの無害なテストマルウェアを利用する方法を記載します。

1. WildFireテストファイルを利用した方法
2. テスト用Wordマクロファイルを利用した方法（作成中）

1. WildFireテストファイルを利用した方法

1.1. Cortex XDR Agentの端末上でWebブラウザを開き、下記アドレスへアクセスします。

https://wildfire.paloaltonetworks.com/publicapi/test/pe

ダウンロードされるファイル（wildfire-test-pe-file.exe）は毎回ハッシュ値が変更され、未知マルウェアとしてテスト可能な無害な実行ファイルです。アクセスするとWebブラウザの種類により「実行」や「保存」などの選択が行えますので、一旦デスクトップ等に「保存」してください。

1.2. ダウンロードしたファイルを実行してください。ポップアップメッセージが表示されてブロックされたことが確認できます。

ACTION MODEがBlockではなくReportの場合、Cortex XDR Agent上でポップアップメッセージの表示はありませんが、Cortex XDR Agent／管理サーバ側にマルウェアを検知したログが記録されています。

WindowsのSmart Screen機能によりPCが保護された場合には、実行を行ってください。

1.3. Cortex XDR Agent端末上でWindows OS画面右下のタスクトレイ内のCortex XDR Agentの管理コンソールを開き、イベントをクリックすると、検知しているイベントを確認することができます。

1.4. Cortex XDRのクラウド上の管理コンソール上にログインし、画面上部の「Investigation」>「Incidents」をクリックします。クリックすると、「Local Analysis Malware generated by XDR agent detected on...」と表示される、Cortex XDR Agent上のLocal Analysis（機械学習エンジン）にて検知したという解説があるインシデントを確認することができます。

1.5. 該当するインシデントの行で右クリックして、「View Incident」をクリックします。

       (インシデントの担当者割り当て／対応状況などの変更も可能ですが割愛します)

1.6. インシデントの状況を確認できます。ここでは下記のような情報を確認できます。

INCIDENT ID...インシデント毎に固有に割り当てられたID

インシデントの状況...New / Under Investigation / Resolved

調査担当者...担当者の割り当て

Key Artifacts...関連するファイル（本テストでは単一のテストファイルであるため、1ファイルのみが表示）

　　　　　　　　※ここからファイル単位でAutoFocusやVirusTotalの情報も確認できます。

Key Assets...影響範囲（関連ユーザや端末情報：複数の端末で同じ検体を動作させた場合などは複数表示）

ALERTS...関連するアラート（本テストでは単一のテストファイルで検知しているため、1アラートのみ表示）

1.7. 画面下側のアラートを右クリックして、「Analyze」をクリックすることで、より詳細を確認できます。

1.8. 「赤い丸」をクリックします。

画面下側に実行ファイルパスやハッシュ値など、今回のテストマルウェアファイルの情報を入手できます。

ここでは、WildFireの解析PDFレポートや、判定に異議がある場合の修正依頼も可能です。

「赤い丸」を右クリックすると、対象プロセスをブラックリストやホワイトリストなどへの追加やファイル隔離することも可能です。

また、「赤い丸」の上側のマークをクリックすることで、実行しようとしたユーザ情報やOS情報、IPアドレスなどの情報を入手できます。その他、画面右上の「Actions」から、「Isolate Host」や「Live Terminal」をクリックすることで、該当端末のネットワーク隔離や遠隔操作を行うことができます。

2. テスト用Wordマクロファイルを利用した方法（作成中）