Contoh Event 

1. Failed DNS (ini terjadi ketika ada endpoint yang melakukan dns lookup atau kaya akses ke domain tertentu dalam jumlah yang ga wajar).
2. Port Scan (ini port scan yang tujuannya nyari port yang ke buka di endpoint, tapi kalo portnya biasa digunakan oleh banyak endpoint event ini tidak akan muncul di Cortex XDR) port scan di Cortex XDR dibedain dari deskripsinya, yaitu: 

1.  Port scan, dengan severity informational
2.  Port scan by suspicious process, dengan severity low
3.  Highly suspicious port scan, dengan severity medium
4.  Suspicious port scan, dengan severity low

1. Port scan: satu IP mencoba akses ratusan port berbeda pada satu tujuan,terdeteksi ketika sebuah endpoint melakukan upaya koneksi ke banyak port  dalam waktu singkat. 
2. Port scan by suspicious process: gabungan dari port scan dan terdapat elemen tambahan yang mencurigakan, seperti pemindaian dilakukan terhadap port-port yang jarang digunakan atau dilakukan dengan pola yang menyerupai teknik reconnaissance penyerang (seperti half-open scan atau SYN scan).  
3. Suspicious port scan: Aktivitas pemindaian port dilakukan oleh proses (file eksekusi) yang sudah ditandai sebagai "mencurigakan" oleh mesin deteksi Cortex XDR. 
4. Highly suspicious port scan: Biasanya dipicu ketika deteksi analitik (XDR Analytics) memiliki kepercayaan sangat tinggi bahwa aktivitas tersebut adalah bagian dari serangan aktif (seperti upaya Lateral Movement). Seringkali melibatkan pemindaian ke IP range yang sangat luas di segmen jaringan yang sensitif.