Palo Alto Networks Certified Detection and Remediation Analyst (PCDRA)
Palo Alto Networks 威胁检测与修复分析师认证(PCDRA),考查 Cortex XDR 平台的 SOC 分析能力:BIOC 行为 IOC(基于 XQL 的自定义检测规则)、Alert → Incident 聚合调查流程、XQL 查询语言(dataset 选择/filter/groupby/fields 语法)、端点响应操作(隔离/远程执行/文件取证),以及 MITRE ATT&CK 框架映射,约 80 题/120 分钟,$250 考试费。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证概述
PCDRA(Palo Alto Networks Certified Detection and Remediation Analyst)验证候选人能够使用 Cortex XDR 平台进行威胁检测、事件调查和端点修复响应。Cortex XDR 将端点保护(EPP)、端点检测与响应(EDR)和网络分析整合在一起,通过 Cortex Data Lake 统一存储来自端点、网络和云的安全遥测数据。PCDRA 考试以 SOC 分析师的实际工作流程为主轴:从 Alert 生成 → Incident 聚合 → 告警调查 → BIOC 自定义规则 → XQL 查询取证 → 端点响应操作(隔离/修复)。约 80 题/120 分钟/$250 考试费,有效期 2 年。
考试领域
- Cortex XDR 平台架构:Cortex XDR 数据采集来源(Cortex XDR Agent 端点遥测 + PAN-OS 网络日志 + 第三方 SIEM 日志);Cortex Data Lake 的存储和查询架构;Prevention Mode vs Detection Mode 的区别;XDR Agent 安装类型(Windows/Mac/Linux/VDI);Cortex XDR 管理控制台功能模块
- 告警与事件管理:Alert 来源(XDR Agent 检测/Analytics/BIOC/网络告警);Incident 聚合逻辑(Cortex XDR 将相关 Alert 自动聚合为 Incident,减少告警噪音);Incident 严重级别评估(High/Medium/Low);Alert 状态管理(New/Under Investigation/True Positive/False Positive);SLA 和 MTTR 追踪
- BIOC 行为 IOC 自定义规则:BIOC(Behavioral Indicators of Compromise)与传统 IOC(Hash/IP/Domain)的区别(基于行为序列 vs 基于已知特征);BIOC 规则创建(XQL 查询 + 触发条件 + 严重级别);BIOC 规则测试和调试;BIOC vs 告警策略(Alert Rules)的适用场景;MITRE ATT&CK 框架与 BIOC 规则映射
- XQL 查询语言:XQL 基本语法(dataset 选择 → filter → fields → groupby → sort → limit);常用 dataset(xdr_data/endpoint/process/network/registry/file);时间过滤和关联查询;XQL 取证场景(进程父子链查询/横向移动检测/数据泄露识别);预置查询模板和自定义查询保存
- 端点响应操作:端点隔离(Network Isolation:阻断网络 + 保留 XDR 通道);远程命令执行(Live Terminal/Script Runner);文件取证(File Retrieval);恶意软件修复(Remediation);Quarantine 文件管理;端点扫描任务
适合人群
SOC 分析师(SOC Analyst Tier 1/2)使用 Cortex XDR 平台处理日常安全告警,以及事件响应工程师(Incident Response Engineer)在企业内部负责端点威胁检测与取证分析的安全专业人员。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 Palo Alto Networks PCDRA 官方认证,Cortex XDR SOC 分析师资质
- 能够独立使用 Cortex XDR 完成威胁调查:Alert → Incident → 根因分析 → 修复响应完整流程
- 掌握 BIOC 自定义规则开发和 XQL 查询取证,从 Tier 1 升级到 Tier 2 SOC 分析能力
- 具备端点隔离、远程取证和恶意软件修复的实际响应操作能力,缩短 MTTR
考试详情
适合谁考
适合人群
- SOC 分析师(SOC Analyst Tier 1/2)使用 Cortex XDR 平台处理端点安全告警和事件调查
- 事件响应工程师(Incident Response Engineer)在企业安全团队负责端点取证和威胁猎捕
- 已有 Cortex XDR 或其他 EDR 平台(CrowdStrike/SentinelOne/Microsoft Defender)工作经验的安全分析师
- 希望从 Tier 1 升级到 Tier 2 SOC 分析师(需要掌握 BIOC 自定义规则和 XQL 查询取证)的安全从业者
开始前最好先有
- 了解端点安全基础概念(EPP/EDR/SIEM 的区别)
- 熟悉 Windows/Linux 系统基础(进程/注册表/文件系统/网络连接)
- 了解常见威胁类型和攻击技术(MITRE ATT&CK 框架基础)
- 建议有 3-6 个月 Cortex XDR 平台使用经验
- 具备 SOC 告警处理或事件响应的实际工作经验(非必须但有帮助)
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
5 章同赛道认证对比
| Palo Alto PCDRA | CCDAK | CCFA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 助理级 | 助理级 | 专业级 |
| 考试费 | $250 | $150 | $300 |
| 时长 | 120 min | 90 min | 90 min |
| 题量 | 80 | 60 | 60 |
| 有效期 | 2 年 | 2 年 | 3 年 |
备考技巧与常见失误
80 题 120 分钟,平均每题 2 分钟,合理分配时间
及格分 70/1000,不确定的题先标记跳过,回头再做
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
多选题会告诉你选几个,仔细看题目要求
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
备考只刷题不理解原理 — 考试场景题需要理解底层概念
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做