パロアルトネットワークスの「Cortex」は、マルウエアなどによる不正な攻撃に対処するための諸機能を提供するクラウドサービスである。エンドポイントやネットワークのログを収集して保管するデータベース「Cortex Data Lake」を中核機能とし、この上で、ログを分析してサイバー攻撃を検知するソフト「Cortex XDR」や、エンドポイント向けの標的型攻撃対策ソフト「Traps 6.0」などを提供する。

Cortexの構成要素。エンドポイント(Traps)、ネットワーク(次世代ファイアウォール機器)、クラウドサービスのそれぞれからログデータを収集して正規化し、Cortex Data Lakeに保管する。ログを分析して不正な攻撃を検知・対処するアプリケーションとしてCortex XDRを提供する
(出所:パロアルトネットワークス)
[画像のクリックで拡大表示]

 エンドポイントやネットワークなど複数の監視データを集約して正規化する。単独のログだけでは正常に見えるために検知が難しい異常を、ログの全体像から検知する仕組み。Cortex Data Lakeの上では、平常の状態を機械学習によって学習し、異常を検知するモデルを自動生成する。

 データを収集するセンサーとして、パロアルトネットワークスの次世代ファイアウォール機器やクラウドサービス、エンドポイント上で動作する標的型攻撃対策ソフトTrapsを使う。Trapsが収集したエンドポイントのログを合わせて分析することによって、攻撃を検知しやすくなる。

 Cortex XDRのアラート画面の例として、「ある端末から存在しないIPアドレス群に対して接続をしかけて失敗していることを警告する画面」などがある。この場合、端末のアイコンをクリックすると、エンドポイントのログから、通信を発生させた原因が分かる。例えば、「Outlook、Chrome、Excel、PowerShellの順にプロセスが起動し、3つのコマンドを起動している」といったことが分かる。

 検知した攻撃に対する対処(レスポンス)の機能も備える。画面へのアラートの警告といった管理者への通知に加え、対処の自動化もできる。例えば、次世代ファイアウォールの設定を動的に変更したり、検知結果をセンサーのチューニングにフィードバックしたりできる。Trapsと連携して端末をネットワークから遮断する運用も可能である。

Cortexの概要
用途と機能マルウエアなどによる不正な攻撃に対処する諸機能を提供するクラウドサービス
構成要素エンドポイントやネットワークのログを収集して保管するデータベース「Cortex Data Lake」を中核とし、この上で、ログを分析してサイバー攻撃を検知するソフト「Cortex XDR」や、エンドポイント向けの標的型攻撃対策ソフト「Traps 6.0」などを提供する
特徴エンドポイントやネットワークなど複数の監視データを集約して正規化する。単独のログだけでは正常に見えるために検知が難しい異常を、ログの全体像から検知する仕組み
異常を検知
する仕組み
ログを保存するCortex Data Lakeの上で、平常時の状態を機械学習によって学習し、異常を検知するモデルを自動で生成する
ログを収集
するセンサー
データを収集するセンサーとして、パロアルトネットワークスの次世代ファイアウォール機器やクラウドサービス、エンドポイント上で動作する標的型攻撃対策ソフトのTrapsを使う。Trapsが収集したエンドポイントのログを合わせて分析することによって、攻撃を検知しやすくなる
対処(レスポンス)機能画面へのアラートの警告といった管理者への通知に加え、対処の自動化もできる。例えば、次世代ファイアウォールの設定を動的に変更したり、検知結果をセンサーのチューニングへとフィードバックしたりできる。Trapsと連携して端末をネットワークから遮断する運用も可能
価格オープン。ログを保存するデータベースのCortex Data Lakeは、保存するデータ量に応じて1Tバイト単位で年額制の料金がかかる。ログを分析するソフトのCortex XDRは、分析するデータ量に応じて1Tバイト単位で年額制の料金がかかる
発表日2019年4月5日
提供開始日2019年4月5日