どんな製品か
Cortex XDR は、Palo Alto Networks が提供する XDR(Extended Detection and Response)製品です。XDR は EDR の考え方を端末だけにとどめず、対象を広げたもので、Cortex XDR は端末・ネットワーク・クラウドといった複数の領域からデータを集め、横断的に相関分析して脅威を検知・調査・対応します。端末側ではエージェントによる防御(EPP)と検知・対応(EDR)も担います。
主な特徴
- 端末のエージェントによる防御・検知に加え、ネットワークやクラウドのデータを統合する。
- 複数領域のデータを相関分析し、単一の端末だけでは見えにくい攻撃の全体像をつかむ。
- 関連する事象を束ねて示し、調査の起点を分かりやすくする。
- 端末の隔離など、コンソールからの対応操作に対応する。
- 同社のファイアウォール製品群とログ・基盤を共有し、連携した運用がしやすい。
位置づけ / 他との違い
エンドポイント単体の EDR が「端末上の検知・対応」に軸足を置くのに対し、Cortex XDR は最初から「端末+ネットワーク+クラウドの横断」を前提に設計されている点が特色です。Palo Alto Networks はネットワークセキュリティに強みを持つベンダーで、ファイアウォールなど既存製品で得た通信側のデータと端末側の情報を突き合わせられることが、他の EDR 専業製品との差別化点になります。XDR である以上、横断分析の結果を読み解く運用は前提で、MDR(運用代行)と組み合わせる構成も選ばれます。
Security Vendor
Palo Alto Cortex XDRを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
標的型・ランサム対策
比較で見る軸
対応カテゴリ: 1領域 / 主な領域: エンドポイント検知・対応
導入後に効く点
侵入後の検知・対応
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
数字・仕様の読み方
- 対応カテゴリ
- 1領域
- 主な領域
- エンドポイント検知・対応
判断チェックリスト
- 自社の用途が「標的型・ランサム対策 / インシデント調査・対応」に近いか確認する。
- 強みである「侵入後の検知・対応」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
次に確認する観点
標的型・ランサム対策インシデント調査・対応SOC / MDR 運用EDR / XDR