Cortex XDR – Überblick zu den Änderungen bei der Lizenzierung

Am 15.06.2023 trat eine Änderung der Lizenzierung von Cortex XDR in Kraft, die schrittweise umgesetzt wird. Hier erfahren Sie alle relevanten Fakten und erhalten einen Überblick wie sich die Angebote in nächster Zeit ändern werden.

Warum kommt es zu dieser Veränderung?

Der wichtigste Grund, und auch die relevanteste Veränderung, spielt sich bei Cortex Data Lake (CDL) ab. Dieses Produkt wird von Cortex XDR gelöst und zukünftig nur noch separat angeboten – Details folgen im nächsten Abschnitt. Gleichzeitig wird Cortex XDR Pro beim Threat Hunting Modul verändert, dies wird eine eigenständige Lizenz und kann zukünftig separat angeboten werden.

Cortex Data Lake – wie ist der aktuelle Stand?

Ursprünglich wurde CDL als die eine Data Lake Umgebung für alle Palo Alto Networks Produkte entwickelt.

In der Realität wurde von diesem Pfad abgewichen und gerade in Cortex XDR eine Integration vorgenommen die zu unterschiedlichen Data Lake Umgebungen führte. Dies entstand durch ein Bundle – Cortex XDR Prevent, Pro und auch TB enthielt immer auch CDL für die eigenen Logs.

Ein Beispiel:

Wenn Sie einem Kunden bislang ein Angebot über 1000 Cortex XDR Pro Endpoints unterbreitet haben, dann enthielt dieser Service auch immer einen frei nutzbaren CDL. Pro 1000 Endpoints 5 TB CDL. Dieser CDL konnte auch für das Speichern von NGFW und Prisma Access Logs genutzt werden. Genau dies wird in Zukunft wegfallen.

NGFW, Prisma Access und Third Party Data können natürlich auch weiterhin in Cortex XDR eingebunden werden, aber nun über einen integrierten Data Lake.

Cortex Data Lake – was ändert sich?

Cortex Data Lake wird nun aus dem Cortex Portfolio herausgelöst und ein Bestandteil von Strata. Cortex XDR und XSIAM haben ab sofort einen integrierten Data Lake. Die Daten von den unterschiedlichen Quellen – Endpunkten, Firewalls, Prisma Access und Third Party Systemen werden in diesem integrierten Data Lake gespeichert.

Weiterhin verändert sich die Berechnung der Größe des Data Lake. Bislang wurde in TB pro Monat kalkuliert und es musste ein Minimum von 5 TB CDL abgenommen werden. Zukünftig erfolgt die Berechnung nach GB an Logs, welche pro Tag an den CDL geschickt werden. Je 1 TB der alten Lizenzierung ist der Kunde berechtigt 33 GB pro Tag an den CDL zu übertragen. Dies ergibt sich aus 33GB x 30 Tage= 1 TB.

Somit sinkt also die Grenze für Data Lake von 5 TB auf 3TB, wenn wir im alten Berechnungsmodell denken, die Untergrenze sinkt also.

Was ändert sich für Bestandskunden?

Die bestehenden Verträge laufen unverändert weiter bis zum Zeitpunkt des Renewals. Nach Ablauf erfolgt die Umstellung von TB auf GB und zusätzliche CDL Bereitstellungen aus Cortex XDR Prevent, Pro und TB entfallen.

Cortex XDR Agents – was ändert sich?

Bei Cortex Prevent kommt es zu keinen Veränderungen, Funktion und Preis bleiben bestehen.

Bei Cortex XDR Pro nimmt Palo Alto Networks Optimierungen vor. Diese gestalten das Produkt schlanker, ändern aber an der Leistung und dem Schutz welchen Cortex XDR Pro bietet nichts. Weiterhin wird es nun ein zusätzliches Modul geben – eXtended Threat Hunting Data.

Dieses Modul erweitert die Datensammlung zusätzlich und bietet Sicherheitsteams die Möglichkeit noch granulareres Threat Hunting in der eigenen Umgebung vorzunehmen. Auch diese Veränderung hat keine Auswirkung auf bestehende Umgebungen, beim Renewal können Bestandskunden dann entscheiden, ob sie zukünftig nur Cortex XDR Pro oder zusätzlich auch das Threat Hunting Data Module verlängern wollen.