Cortex XDRでは、ダッシュボードとウィジェットがドリルダウン機能をサポートしており、ユーザーはウィジェット要素（例：棒グラフ内のアラート名）をクリックして、選択した値でフィルタリングされた詳細データを表示できます。これは、クリックした要素の値を参照する動的変数を含むXQL（XDRクエリ言語）クエリを使用して実現されます。提供されたXQLクエリでは、エンジニアはウィジェットで選択されたalert_nameに基づいてアラートをフィルタリングしたいと考えています。
ウィジェットは、アラート名をX軸に沿って表示します（例えば、各バーがアラート名とその件数を表す棒グラフなど）。ユーザーがアラート名をクリックすると、ドリルダウンクエリによってデータセットがフィルタリングされ、選択されたalert_nameに一致するアラートのみが表示されます。XQLでは、ドリルダウンの動的フィルタリングは、$x_axis.valueなどの変数を使用して、クリックされたX軸上の要素の値を取得します。
* 正解分析 (B): 変数$x_axis.valueは、ユーザーが選択したx軸要素（この場合はalert_name）の値を参照するために使用されます。フィルターalert_nameを使用してクエリを完成させます。
= $x_axis.value により、ドリルダウンによってアラート データセットがフィルターされ、クリックされた値とalert_nameが一致するレコードのみが表示されます。
* 他のオプションを選択しないのはなぜですか?
* A. $y_axis.value: この変数は、通常、categoricalalert_name ではなく、グラフ内の数値 (アラートの数など) を表す y 軸の値を参照します。
* C. $x_axis.name: これはドリルダウンに有効なXQL変数ではありません。XQLは選択された値を取得するために$x_axis.nameではなく$x_axis.valueを使用します。
* D. $y_axis.name: これも有効な XQL 変数ではなく、y 軸は byalert_name によるフィルタリングには関係ありません。
正確な抜粋または参照:
Cortex XDRドキュメントポータルのXQLリファレンスガイドでは、ドリルダウンの設定について次のように説明しています。「クリックされたウィジェット要素に基づいてデータをフィルタリングするには、$x_axis.valueを使用して、ユーザーが選択したx軸カテゴリの値を参照します」（ダッシュボードとウィジェットセクションからの引用）。EDU-262: Cortex XDR調査と対応コースでは、ダッシュボードの作成とXQLについて説明し、「ドリルダウンクエリは$x_axis.valueなどの変数を使用して、ユーザーの選択に基づいて動的にフィルタリングします」（コース資料からの引用）。Palo Alto Networks認定XDRエンジニアのデータシートには、インタラクティブウィジェットの設定を含む「ダッシュボードとレポート」が試験の主要トピックとして記載されています。
参考文献:
Palo Alto Networks Cortex XDR ドキュメント ポータル: XQL リファレンス ガイド (https://docs-cortex.
paloaltonetworks.com/)
EDU-262: Cortex XDR 調査と対応コースの目標
Palo Alto Networks 認定 XDR エンジニア データシート:https://www.paloaltonetworks.com/services/education
/認定#xdr-エンジニア

Cortex XDRでは、相関ルールを使用して、取り込んだデータを分析し、条件が満たされたときにアラートを生成することで、特定のパターンや行動（例：ログインアクティビティ）を検出します。アラートにユーザー名などの特定のフィールドを含めるには、相関ルールのアラートフィールドマッピング設定で、そのフィールドを明示的にマッピングする必要があります。このマッピングにより、生成されるアラートの詳細に、基になるデータセットのどのフィールドが含まれるかが決まります。
このシナリオでは、相関ルールはログインアクティビティに関するアラートを正しく生成していますが、ユーザー名フィールドがありません。これは、相関ルールのクエリは関連イベントを識別しているものの、ユーザー名フィールドがアラートの出力フィールドに含まれていないことを示しています。この問題を解決するには、エンジニアは相関ルールのアラートフィールドマッピングを更新し、ユーザー名フィールドを明示的に含め、アラートの詳細を表示したときにユーザー名フィールドが表示されるようにする必要があります。
* 正解分析 (C): アラートフィールドマッピングにユーザー名フィールドのマッピングを追加すると、そのフィールドがデータセットから抽出され、アラートのメタデータに含まれるようになります。これは相関ルール設定で実行され、管理者はアラート出力に含めるフィールドを指定できます。
* 他のオプションを選択しないのはなぜですか?
* A. MITRE ATT&CK マッピングで「初期アクセス」を選択し、ユーザー名を含めます。
「初期アクセス」のようなMITRE ATT&CKテクニックへのマッピングは、攻撃の種類や行動を定義するものであり、ユーザー名などの特定のフィールドを定義するものではありません。これでは、フィールドの欠落の問題は解決されません。
* B. 相関ルールのクエリを更新し、ユーザー名フィールドを含める：相関ルールのクエリは、関連イベントを検出するためにユーザー名フィールドを参照する必要がありますが、クエリに含めるだけではアラート出力にユーザー名フィールドが表示されるとは限りません。アラートフィールドのマッピングは依然として必要です。
* D. アラートにユーザー名フィールドを取得するドリルダウンクエリを追加する：ドリルダウンクエリは、アラート生成後の追加調査に使用され、アラート自体にフィールドを含めるものではありません。この方法では、アラートの詳細にユーザー名が表示されない問題は解決されません。
正確な抜粋または参照:
Cortex XDRドキュメントポータルでは、相関ルールの設定について次のように説明しています。「生成されたアラートに特定のフィールドを含めるには、相関ルールのアラートフィールドマッピングを設定して、ユーザー名などのデータセットフィールドをアラート出力にマッピングします」（相関ルールセクションからの引用）。EDU-262: Cortex XDR調査と対応コースでは検出エンジニアリングについて取り上げており、「アラートフィールドマッピングによって、相関ルールによって生成されるアラートに含まれるデータフィールドが決定されます」（コース資料からの引用）。Palo Alto Networks認定XDRエンジニアのデータシートには、相関ルールの設定を含む「検出エンジニアリング」が試験の主要トピックとして記載されています。
参考文献:
Palo Alto Networks Cortex XDR ドキュメント ポータル:https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 調査および対応コースの目標 Palo Alto Networks 認定 XDR エンジニア データシート:https://www.paloaltonetworks.com/services/education
/認定#xdr-エンジニア

Cortex XDRでは、相関ルールを使用して、取り込んだデータを分析し、条件が満たされたときにアラートを生成することで、特定のパターンや動作を検出します。アラート生成のタイミングは、データ取り込みパイプライン、Cortex XDRバックエンドの処理レイテンシ、およびルールの評価頻度によって異なります。
新しい相関ルールの場合、条件が満たされると（つまり、関連するイベントが取り込まれて処理されると）、Cortex XDR は、ほぼリアルタイムの処理機能により、通常は 5 分以内などの短い時間枠内でアラートを生成します。
* 正解分析 (C): Cortex XDRのアーキテクチャはイベントを迅速に処理・相関させるように設計されているため、アラートが生成される最短時間は5分以内です。これは、データの取り込み、相関ルールの評価、そしてシステム内でのアラート生成にかかる時間を考慮したものです。
* 他のオプションを選択しないのはなぜですか?
* A. 30～45分：Cortex XDRの準リアルタイム検出機能にはこの時間枠は長すぎます。処理のバックログが大きいシステムではこのような遅延が発生する可能性がありますが、適切に構成されたCortex XDR環境では発生しません。
* B. 即時：Cortex XDRは高速ですが、「即時」とはレイテンシゼロを意味しますが、データの取り込み、処理、ルール評価のステップがあるため現実的ではありません。わずかな遅延（5分以内）が予想されます。
* D. 10〜20 分: システムは迅速な検出とアラート生成に最適化されているため、Cortex XDR で可能な限り早いアラート生成を行うには、これも長すぎます。
正確な抜粋または参照:
Cortex XDRドキュメントポータルでは、相関ルールの処理について次のように説明しています。「相関ルールの条件が満たされてから5分以内にアラートが生成されます。ただし、データはほぼリアルタイムで取り込まれ、処理されていると仮定します」（相関ルールセクションからの引用）。EDU-262：Cortex XDR調査と対応コースでは検出エンジニアリングについて取り上げており、「Cortex XDRの相関エンジンは、通常、イベントの取り込みから数分以内にルールを処理し、アラートを生成します」（コース資料からの引用）。Palo Alto Networks認定XDRエンジニアのデータシートには、「検出エンジニアリング」が試験の主要トピックとして記載されており、相関ルールによるアラート生成も含まれています。
参考文献:
Palo Alto Networks Cortex XDR ドキュメント ポータル:https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 調査および対応コースの目標 Palo Alto Networks 認定 XDR エンジニア データシート:https://www.paloaltonetworks.com/services/education
/認定#xdr-エンジニア

Windows DHCPサーバーからCortex XDRに最小限の設定で追加イベントを取り込むには、Cortex XDR Collectorの使用をお勧めします。XDR Collectorは、Windowsサーバーを含む様々なソースからログとイベントを収集し、分析と相関分析のためにCortex XDRに転送するために設計された軽量コンポーネントです。Cortex XDRエージェントの完全な導入が不要なシナリオに最適化されており、データ収集プロセスの大部分を自動化することで設定のオーバーヘッドを最小限に抑えます。
Windows DHCPサーバーの場合、XDRコレクターをサーバーにインストールすることで、Windowsイベントログやその他の関連ソースからDHCPログ（リースの割り当て、更新、エラーなど）を収集できます。インストールが完了すると、コレクターは最小限の設定でこれらのイベントをCortex XDRテナントに転送します。必要なのは、ターゲットデータタイプの指定やCortex XDRクラウドへのネットワーク接続の確保といった基本的な設定のみです。このアプローチは、完全なエージェントをセットアップしたり、Windowsイベントコレクター（WEC）やHTTPコレクターなどの外部統合を設定したりするといった、追加のインフラストラクチャや手動設定を必要とする代替手段よりも簡単です。
* 他のオプションを選択しないのはなぜですか?
* A. Windows イベントコレクター (WEC) を有効化する：WEC は Windows サーバーからイベントを収集できますが、WEC サーバーのセットアップ、サブスクリプションの設定、別の取り込みメカニズムを介した Cortex XDR との統合など、多くの設定が必要です。これは最小限の設定ではありません。
* C. HTTP コレクター統合を有効にする: HTTP コレクター統合は、HTTP/HTTPS API 経由でデータを取り込むために使用されますが、DHCP ログは通常、HTTP 経由では公開されずに Windows イベント ログに保存されるため、Windows DHCP サーバー イベントには適用されません。
* D. Cortex XDRエージェントをインストールする：Cortex XDRエージェントは、防御、検知、対応機能を備えたフル機能のエンドポイント保護および検知ソリューションです。イベントデータの収集は可能ですが、DHCPサーバーイベントの取り込みという特定のタスクには過剰であり、XDRコレクターよりも多くの設定が必要です。
正確な抜粋または参照:
Cortex XDRドキュメントポータルでは、XDRコレクターは「最小限のセットアップでサーバーとエンドポイントからログとイベントを収集する」ツールであると説明されています（データ取り込みセクションからの引用）。EDU-260：
Cortex XDRの予防と導入コースでは、「XDRコレクターは、Windows DHCPサーバーなどのサーバーログを、効率的な設定で取り込むのに最適です」（コース資料からの引用）と強調されています。Palo Alto Networks認定XDRエンジニアのデータシートでは、「データソースのオンボーディングと統合設定」が重要なスキルとして挙げられており、これにはログ取り込みのためのXDRコレクターの設定が含まれます。
参考文献:
Palo Alto Networks Cortex XDR ドキュメント ポータル:https://docs-cortex.paloaltonetworks.com/ EDU-260: Cortex XDR の防止と展開コースの目標 Palo Alto Networks 認定 XDR エンジニア データシート:https://www.paloaltonetworks.com/services/education
/認定#xdr-エンジニア

Cortex XDRに付属するXQL（XDRクエリ言語）クエリは、データを取得・処理し、エンドポイントのアクティビティに関する洞察を提供します。その目的を理解するために、クエリを分解してみましょう。
* データセット = xdr_data | fields agent_hostname、_time、_product: xdr_dataデータセット (一般的なイベント データ) を選択し、エージェント ホスト名、タイムスタンプ、および製品 (エージェント タイプまたはコンポーネントなど) のフィールドを取得します。
* comp Latest as Latest_Time by Agent_hostname, _product: Agent_hostnameと_productの組み合わせごとに最新のタイムスタンプ（_time）を計算し、結果にLatest_timeという名前を付けます。これにより、各エンドポイントと製品の最新のアクティビティが識別されます。
* join type=inner (dataset = endpoints | fields endpoint_name, endpoint_status, endpoint_type) as lookup lookup.endpoint_name = agent_hostname: エンドポイントデータセットとの内部結合を実行し、endpoint_name (エンドポイントデータセットから) と agent_hostname (xdr_data から) を一致させ、endpoint_status や endpoint_type などのフィールドを取得します。
* filter endpoint_status = ENUM.CONNECTED: 結果をフィルタリングして、ステータスが CONNECTED のエンドポイントのみを含めます。
* フィールド agent_hostname、endpoint_status、latest_time、_product: 最終フィールド (ホスト名、ステータス、最新のアクティビティ時間、製品) を出力します。
* 正解分析 (A): このクエリはエンドポイントの最新アクティビティを監視しています。イベントデータ (xdr_data) とエンドポイントメタデータ (endpoints) を結合し、接続されたエンドポイントをフィルタリングすることで、接続された各エンドポイント (agent_hostname) の最新アクティビティ (latest_time) を計算します。これにより、アクティブなエンドポイントの最新アクティビティが表示され、エンドポイントのステータスや最近のイベントの監視に役立ちます。
* 他のオプションを選択しないのはなぜですか?
* B. ネットワークから切断されたエンドポイントの識別: クエリは、endpoint_status = ENUM.CONNECTED をフィルターするため、接続されたエンドポイントのみが含まれ、切断されたエンドポイントは含まれません。
* C. 接続されたファイアウォールエンドポイントの最新アクティビティの監視：このクエリは、ファイアウォールエンドポイントをフィルタリングしません（例：endpoint_type または _product を使用してファイアウォールを指定する）。このクエリは、ファイアウォールだけでなく、接続されているすべてのエンドポイントに適用されます。
* D. 古いエージェント バージョンを持つエンドポイントの確認: クエリはエージェント バージョン情報 (agent_version フィールドなど) を取得または比較せず、最新のアクティビティ時間に焦点を当てます。
正確な抜粋または参照:
Cortex XDRドキュメントポータルでは、XQLクエリについて次のように説明しています。「comp_latestとエンドポイントデータセットの結合を使用したクエリは、最新のイベントタイムスタンプを計算することで、接続されたエンドポイントの最新のアクティビティを監視できます」（XQLリファレンスガイドからの引用）。EDU-262：Cortex XDR調査と対応コースでは、監視のためのXQLについて説明し、「xdr_dataとエンドポイントデータセットを最新の計算と組み合わせることで、最新のエンドポイントアクティビティを監視できます」（コース資料からの引用）。Palo Alto Networks認定XDRエンジニアのデータシートには、監視のためのXQLクエリを含む「ダッシュボードとレポート」が主要な試験トピックとして記載されています。
参考文献:
Palo Alto Networks Cortex XDR ドキュメント ポータル:https://docs-cortex.paloaltonetworks.com/ EDU-262: Cortex XDR 調査および対応コースの目標 Palo Alto Networks 認定 XDR エンジニア データシート:https://www.paloaltonetworks.com/services/education
/認定#xdr-エンジニア