IWI
search

検索SEARCH

製品ページ内検索

製品以外のサイト内検索

×
採用情報

Cortex XDR Prevent / Cortex XDR Pro per Endpoint

オールインワンエンドポイントセキュリティソリューション

資料請求・お問合せ

複数OSに対して、脆弱性対策からマルウェア対策、事後対策機能、EDRからXDRまでを提供するオールインワンのエンドポイントセキュリティ対策製品です。世界中から集約する膨大な脅威情報(WildFire)の活用や、エンドポイント内で多層的に展開されるセキュリティ機能により、端末上の被害が発生/拡散する前に脅威を防御します。

次世代エンドポイントセキュリティ
Cortex XDR」とは

高度な検知・分析、運用負荷軽減、侵入後の「対応と修復」、
Response機能に特化した挙動分析クラウドサービス

Cortex XDR(コーテックス エックスディーアール、以下Cortex)は、脅威防御をベースに脅威インテリジェンス(WildFire)との連携による精度の高いEPP機能、検知後の対応・修復といったResponse機能に加えて、検知アラートの追跡をする根本原因分析や行動分析の実装、さらにはログデータの収集・可視化といったEDR機能を備えたパロアルトネットワークス社製の次世代エンドポイントセキュリティ対策製品です。

Cortexはエディションが分かれておりご利用の目的に応じて選択することができます。
※詳細は同ページの「Cortexでの選択肢」をご覧ください。

エンドポイント対策の重要性とCortexでの対策

従来型のアンチウイルス製品(以下、従来型AV)の導入のみでは、昨今の脅威の多様化によりエンドポイントが感染する恐れがあります。さらに感染端末の特定に時間を要すため感染範囲の把握、拡大リスクの抑え込みも困難です。

そこでバズワード的にEDRが注目され従来型AV+EDRの構成が増えましたが、EDRの特長は侵害調査/分析であり、感染リスクそのものを抑えきれません。
結果、事後対応のコスト増加や対応中に更なる感染拡大を引き起こす可能性があります。EDRを活かしセキュリティレベルの維持・事後対応負荷の軽減する為には、脅威防御(EPP製品)の仕組みについても検討が不可欠です。

CortexではEDR機能に加えて従来型AV以上の強力なEPP機能も実装されており、感染リスクを抑え安心な状態を維持しつつ、担当者は余裕をもった事後対応が可能です。

エンドポイント対策の重要性とCortexでの対策

Cortexの構成イメージ図

Cortexの構成イメージ図

CortexエージェントはCortex管理コンソールと通信し、Cortex管理コンソールは下記のサービスとクラウド上で自動連携して動作します。

・WildFire(クラウド上の解析/共有を自動化)
WildFireは世界中から収集した検体の解析をリアルタイムに行い、即時結果を共有することで、セキュリティを自動的に強化する基盤となっています。

・Cortex Data Lake(各種ログ等を解析する基盤)
Cortex Data Lakeに関しては30日間のアラート保管期間が無償で割り当てられますが、Cortexエージェントをインストールする端末台数や保管期限の要件に応じて別途有償で拡張が可能です。

参考:Cortexで実装されている機能(一部抜粋)

Cortexで実装されている機能

・脆弱性対策
Cortexはプロセス起動時にインジェクションを行い、常にアプリケーションを監視し、攻撃のテクニックを検知します。ゼロデイ/未知の脆弱性を悪用する攻撃をブロックすることができ、パッチが適用できない古いOSを保護する目的にも有効です。

・マルウェア対策
Cortexは複数の防御機能が層となりエンドポイント内での多層防御を実現しマルウェアからエンドポイントを守ります。攻撃が一つの防御層を突破した場合でも次の層で検知、およびブロックし被害発生前に防御することが可能です。

・Response機能(Live Terminal)
Live Terminalは端末上で動作しているプロセス等の確認、停止、削除、およびファイルの取得操作などを遠隔で実施することが可能です。また、コマンドラインやPythonを利用したスクリプト実行も可能です。

・ログ分析 / 可視化(EDR機能:プロセスツリー)
検知したプロセスの表示に加え、対象プロセスの親プロセスも表示されるため起点となったプロセスを調査することが可能です。また、GUIで可視化されるためプロセスの因果関係を視覚的に確認、および調査が可能です。

cortexプロセスツリー

Cortexでの選択肢

基本機能一覧

Cortex標準機能

Prevent

Pro per Endpoint

機能概要

EPP

EPP+EDR

ライセンス最小購入数(台)

200~

200~

脆弱性対策

マルウェア対策

脅威インテリジェンス(WildFire

USB接続デバイス制御

ネットワーク隔離

Live Terminal

ログ保管(アラート)

ログ保管(アクティビティログ)

-

BIOC

-

行動分析テクノロジー

-

不正デバイスの検出

-

端末内の状態把握(インベントリ)*1

-

端末内の状態把握(脆弱性)*1

-

*1 オプションによる拡張機能

Cortexが選ばれる理由(参考)

ご相談が多い課題

対象製品

①従来型AVをリプレイスしたい

Prevent

②テレワーク端末含めクロージングに向けた対応が出来る

Prevent

③ログを活用した運用がしたい

Pro per Endpoint

④ネットワーク上にあるEDR未導入機器の検出

Pro per Endpoint

⑤リスクを事前に抑えるための端末の状態把握をしたい

Pro per Endpoint+オプション

①従来型AVをリプレイスしたい


従来型AVでは日々パターンファイルの配信が必要、防御に対する対応が遅い、クライアント側の負荷が上昇するなど様々な課題があります。

 cortex_従来型AVをリプレイス

Cortexではリアルタイムで更新されるクラウド上の脅威インテリジェンスと連携しているため、既知の脅威に対してパターンファイルの配信は不要です。この脅威インテリジェンスは全世界のCortexユーザ、PAユーザの情報を収集、リアルタイム解析を実施しています。脅威情報の迅速な検知、各ユーザへの共有により、常に最新のセキュリティを維持することが可能です。

cortex_従来型AVをリプレイス

さらに標的型攻撃などで脅威インテリジェンス上で判明していない未知の脅威に対しても、当インテリジェンスが収集したデータをもとに解析を実施し、迅速な対策を実現します。

cortex_従来型AVをリプレイス

また、Cortexは脆弱性対策にも優れておりソフトウェアの脆弱性に対する攻撃のテクニックを監視しているため、パッチ、およびシグネチャの適応が不要、更新作業の負荷がかかりません。

cortex_従来型AVをリプレイス

cortex_パッチ適用による業務負荷軽減

②テレワーク端末含めクロージングに向けた対応が可能


社内端末に加えテレワーク端末に対しても管理コンソールから検知後の対応処理が可能です。主な対応機能として、感染の疑いがある端末に対し、管理コンソール以外との通信を遮断するネットワーク隔離、対象端末上で動作しているプロセスの停止・削除が行えるLive Terminalがあります。これら機能を用いてリモート環境においても簡単に運用することが可能です。

cortex_運用フロー図

③ログを活用した運用がしたい


Cortexで保管したログを有効活用することでインシデントの根本原因分析、および影響範囲調査が可能です。攻撃に対する防御をしたうえで、状況を把握できます。また、収集されたアクティビティログ(実際の動作)から内部犯行によるデータの持ち出しや内部探索活動等をAI(機械学習)を用いて検知できるため、ログを活用したセキュリティの向上が図れます。

さらに収集されたログに対してクエリを用いた検索、グラフ化が可能です。

cortex_グラフ化

cortex_analitics

cortex_クエリを用いたログ検索機能

④ネットワーク上にあるEDR未導入機器の検出


 Cortexがインストールされた端末と同セグメント上のネットワークに接続されたデバイスを、一覧で管理することでEDR未導入機器の検出が可能です。また、デバイスのIPアドレスやネットワークレンジを確認することで企業内で使用を許可していない端末群も検出可能です。

cortex_ネットワーク上にあるEDR未導入機器の検出

⑤リスクを事前に抑えるための端末の状態把握をしたい


端末上にインデックスを作成し、ハッシュ値でファイルを検索、および削除が可能です。また、端末にインストールされたアプリケーション、サービス等を可視化することにより不審なユーザ、サービス、ドライバが追加されていないかを把握することができます。

cortex_端末の状況把握

cortex_端末の状況把握


アプリケーションの状況確認に加えて脆弱性スキャンも備えています。リスクが内在する端末の洗い出しを行い、必要に応じて手動でスクリプト実行や、更なる情報収集や対処が可能です。

cortex_端末の状況把握

よくある質問

Question1:パロアルトネットワークス社はどんな会社ですか?

パロアルトネットワークス社は元々ファイアウォールで有名なグローバル企業で、昨今では様々なセキュリティ課題に対応するラインナップを設け、ソリューションを提供するサイバーセキュリティのリーダー企業です。世界のトップ2000企業のうち63%がパロアルトネットワークス社の顧客です。

Question2:他のパロアルトネットワークス社の製品は何がありますか?

本ページで紹介したCortexの他にパロアルトネットワークス社のビジネスの主軸である次世代ファイアウォール(STRATA)を始め、クラウドファイアウォールやCASBなどのクラウドセキュリティサービスとして「Prismaシリーズ」も提供しています。

・Prisma Access
・Prisma Cloud

Question3:他製品と連携できますか?

他製品(PAシリーズ、Prisma Access、サードパーティ製品等)と連携可能です。
例えば、ネットワーク側のセンサーとして「Prisma Access」、エンドポイント側のセンサーとして「Cortex」を活用し各セグメントから収集したログをData Lakeに集約、Cortexの管理コンソールに可視化することができ、XDRの実現が可能になります。

Prisma Access × Cortex XDR

Question4:Cortexの提供形態を教えてください。

CortexはSaaS提供です。端末にエージェントをインストールするだけでご利用を開始いただけます。

Question5:オフライン環境への対応はしていますか?

一時的にオフライン環境になった場合でも脅威防御機能は動作するため、端末を脅威から防御することが可能です。オフライン環境時に発生した検知情報等は端末がオンラインになった際、管理コンソールに集約されます。また、常にオフラインの環境に対しては仮想アプライアンス(Broker VM)を各セグメントに配置することで端末の管理が可能です。

Question6:インストールできる環境を教えてください。

Windows, Windows Server, MacOS, Linux, Androidに対応しています。(202112月時点)詳細は以下URLを参照ください。
https://docs.paloaltonetworks.com/compatibility-matrix/cortex-xdr/where-can-i-install-the-cortex-xdr-agent.html

Question7:インテリジェント ウェイブはどんな支援を提供していますか?

PoC、導入支援、運用保守を支援しています。
PoCでは無償で一ヶ月間の提供、 運用保守は日本語での問合せ受付や月次定例会を実施しています。

Question8:新規導入、展開方法を教えてください。

資産管理ソフトや弊社から提供するバッチを用いた展開の実績があります。

Question9:バージョンアップやエディション移行は簡単ですか?

バージョンアップは管理コンソールから全台に配布、管理することが可能です。
PreventからProへのエディション移行については、Proのライセンスを購入いただくと自動的に管理コンソールに割り当てられるので、管理コンソール上でProの有効化ポリシーを適用するだけで移行ができます。再インストール等の作業は必要ありません。