本記事はCortex XDRでのAgent Settings Profileについてご紹介します。
※Cortex XSIAMでも同手順で利用可能です

はじめに

Cortex XDRではProfileを活用することで様々な制御が可能です。
その中でもAgent SettingsではEDR機能の有効化などを設定するため利用する機会も多いです。
今回はその中でもよく使われる設定をいくつか抜粋してご紹介します。

Inventory > Endpoints > Policy Management > Prevention > Profiles から右上のAdd Profiles > Create Newを選択します

対象のプラットフォームを選び「Agent Settings」を選択します。

左メニューに設定可能な各項目が表示されます。
まずは 「General information」でProfile Nameを設定しておきます。

アンインストールパスワード設定

「Uninstall Password」ではXDRエージェントのアンインストール時に必要なパスワードを任意のものに設定出来ます。
※デフォルト設定を利用した場合は「Password1」が定義されています。

EDR機能の有効化

デフォルトではEDR機能は無効になっているため、利用時には設定の有効化が必要です。
※利用には [Cortex XDR Pro per Endpoint ライセンス] が必要です。この機能を有効にすると、1ライセンスが消費されます。

XDR Pro Endpoints > XDR Pro Endpoints Capabilitiesの項目を「Enabled」に変更します。
その他の項目は組織のポリシーに合わせて選択してください

EDR機能を有効にすると Endpoints > All Endpoints にて端末名の左に"PRO"表示がされます。

エージェントアップグレード設定

Agent UpgradeではXDRエージェントのバージョン管理が可能です。
デフォルトでは無効になっているため、Enabledに変更し適用するVersionを選択します。

有効後のデフォルト値はLatest (最新version) ですが、個別にVersion指定することも可能です。

エンドポイントグループの定義

作成したProfileはPolicyにアサインし、エンドポイントに適用することで利用可能になります。
Inventory > Endpoints > Policy Management > Prevention > Policy Rules > + Add Policy から[Create New] を選択します。

Policy Nameを入力し、ポリシーを適用する対象プラットフォーム、各Profileを選択し、「Next」で先に進みます。

フィルターを使用して、ポリシーを 1 つ以上のエンドポイントまたはエンドポイントグループに割り当て、[Next] で先に進みます。

内容を確認し、設定内容に問題なければ「Done」で先に進みます。
Prevention Policy Rules画面に戻るので必要に応じてルールの位置を変更し、他のポリシーとの順序を調整します。
Cortex XDR エージェントはポリシーを上から順に評価し、最初に一致したものをアクティブポリシーとして適用します。

ルールを移動するには、矢印を選択してドラッグし、ポリシー階層内の目的の位置に配置します。
完了したら、「Save」を押して変更を反映させて完了です。

まとめ

今回は、Cortex XDR (XSIAM) でのAgent Settings Profileにてついてご紹介しました。
Cortex XDRを使う上で、ほぼ必須とも言える設定も多く含まれておりますので使う機会も多いかと思いますのでぜひ参考にしてください。

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。

「Palo Alto Networksコンシェルジュ」
製品パンフレットのDLからお見積り依頼まで受け付けております