本記事はPalo Alto Networks社のエンドポイント製品であるCortex XDRのデバイス制御機能についてご紹介します。

デバイス制御

Cortex XDRエンドポイントでは、すべての外付けUSBデバイスとBluetoothデバイス、すべての印刷ジョブがデフォルトで許可されます。悪意のあるファイルが含まれている可能性のあるリムーバブルデバイス (ディスクドライブ、CD-ROMドライブ、フロッピーディスクドライブ、Bluetoothデバイス、その他のポータブルデバイスなど) への接続を防ぐため、Cortex XDRではデバイス制御機能を提供しています。

デバイス制御は、WindowsおよびmacOSベースのCortex XDRエンドポイントで利用可能な機能です。

　

Device Configuration プロファイルの作成

まずはプロファイルを追加します。Inventory > Endpoints > Policy Management > Extensions > Profiles > [+ Add Profiles] をクリックし、[Create New] を選択します。

プラットフォームを選択し、[Device Configuration] を選択したら [Next] をクリックします。

Device Configuration画面で各項目を設定します。

Device Configuration	説明
Disk Drives	アクション: Block/Allow/Read Only Read Only: 読み取り専用モードで接続を許可することが可能
CD-ROM Drives	アクション: Block/ Allow
Windows Portable Devices	アクション: Block/ Allow (※Windowsのみ)
Floppy Disk Devices	アクション: Block/ Allow
Print Jobs	アクション: Block/ Allow/Custom Block: エンドポイントから送信されるすべての印刷ジョブをブロック Custom: 目的の印刷ジョブの種類を選択してブロック ・Network printer jobs only when outside Corp. network: エンドポイントが企業ネットワーク外の場合に送信される印刷ジョブをブロック ・Network printer jobs (internal/VPN): エンドポイントがVPN接続/内部接続経由の場合に送信される印刷ジョブをブロック ・Local printer jobs: エンドポイントに直接接続されているプリンターに送信される印刷ジョブをブロック ・Printing to file: ファイルとして保存される印刷ジョブをブロック
Bluetooth Devices	アクション: Block/ Allow/Custom Custom: Bluetoothクラスまたは低エネルギーサービスの種類を選択してブロック (※Windowsのみ)
Custom Device Types	Type: カスタムデバイスクラスのTypeを選択 Action: アクションを選択 (Block/Allow) ※カスタムデバイスクラスを設定した場合のみ表示されます

[Create] をクリックしてプロファイルを保存します。

　

Device Exception プロファイルの作成

Inventory > Endpoints > Policy Management > Extensions > Profiles > [+ Add Profiles] をクリックし、[Create New] を選択します。

プラットフォームを選択し、[Device Exception] を選択したら [Next] をクリックします。

Device Exceptions画面で各項目を設定します。

Device Exceptions	説明
Type	許可リストに追加するデバイスの種類を選択 Bluetooth/CD-ROM/Disk Drive/Floppy Disk/Windows Portable Devices
Permission	付与する権限 (Read OnlyまたはRead/Write) を選択 (※Disk Driveのみ)
Vendor	リストから特定のベンダーを選択するか、ベンダーIDを16進数コードで入力
Product	許可リストに追加する特定製品を選択するか、製品IDを16進数コードで入力
Serial Number	許可リストに追加するシリアル番号 (選択した製品に該当するもの) を入力 (このシリアル番号を持つデバイスのみが許可リストに含まれます) ※末尾にスペースが含まれるシリアル番号を追加する場合は引用符を使用 例: "K04M1972138 "
Comment	コメントを入力

[Create] をクリックしてプロファイルを保存します。

　

デバイス制御の適用

作成した各プロファイルをポリシーにアサインし、エンドポイントに適用することで利用できます。

Inventory > Endpoints > Policy Management > Extensions > Policy Rules > [+ Add Policy] から [Create New] を選択します。

ポリシー名を入力して対象のプラットフォーム選択し、作成したプロファイルをそれぞれ選択します。

「Next」で次に進み、デバイス制御を適用するエンドポイントまたはグループを選択します。
内容を確認し、設定内容に問題なければ「Done」で終了します。

　

カスタムデバイスクラス

デフォルトで定義されているデバイスに加えて、USB接続ネットワークアダプターなどのカスタムUSB接続デバイスクラスを追加できます。カスタムデバイスクラスを作成する際は、Microsoftが使用する公式のClass GUID識別子をCortex XDRに指定する必要があります。

カスタムデバイスクラスを追加後、デバイス制御ルールとデバイスクラスの例外を適用できます。

Inventory > Endpoints > Policy Management > Settings > Device Management > [+ Add Profiles] をクリックし、[Create New] を選択します。

New Device画面で以下の項目を設定します。

Device Exceptions	説明
Type	デバイスクラスの名前を入力
Description	有効かつ一意のGUID識別子を入力 (※GUID値ごとに定義できるクラスは1つ)

[Save] をクリックして保存します。

新しいデバイスタイプは、他のデバイスと同様に各プロファイル内でアクション設定が可能になります。

Device Configurationプロファイル

Device Exceptionプロファイル

　

カスタムユーザー通知

ブロックされているUSBデバイスまたは読み取り専用モードで許可されているUSBデバイスを接続しようとした際に、エンドポイントに表示されるCortex XDR通知ポップアップをカスタマイズできます。

Inventory > Endpoints > Policy Management > Prevention > Profiles に移動します。
Agent Settings Profileの設定画面で、User Interfaceの項目を設定します。

Device Exceptions	説明
USB Device Was Blocked	USBデバイスがブロックされた際に表示するメッセージ
USB Disk Drive Was Allowed In Read-Only Mode	USBデバイスが読み取り専用モードで許可された際に表示するメッセージ

「デバイスがブロックされた場合」と「読み取り専用モードで許可された場合」に、それぞれ以下のような通知がエンドポイントに表示されます。

　

デバイス制御違反

Inventory > Endpoints > Device Control Violations から、デバイス制御プロファイルに違反したデバイスを確認することができます。右クリックでデバイスの除外設定が可能です。

　

まとめ

今回は、Cortex XDRのデバイス制御機能をご紹介しました。
デバイスの例外設定や、デバイスタイプとユーザー通知のカスタマイズなど、利用環境に合わせて柔軟な設定が可能です。
通常の防御機能に加えてデバイス制御を活用することで、エンドポイントに追加の保護を適用して包括的なセキュリティ体制を実現することができます。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております