مسائل Cisco XDR المعروفة
المقدمة
يوثق هذا المقال المشاكل التقنية المعروفة حاليا ل Cisco XDR.
يمكن إقرار المشاكل التقنية من قبل Cisco، قيد الاستعراض، بانتظار الحل، أو إعتبار أنها تعمل كما هو متوقع.
المشكلات المعروفة:
الحوادث
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
التحقيقات
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
مركز التحكم
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
عمليات تكامل Cisco
1. Cisco XDR - التكامل الكامل لجدار الحماية الآمن من Cisco
التفاصيل: لضمان التكامل السلس بين Cisco Defense Orchestrator (CDO) وتبادل خدمات الأمان (SSX) وتحليلات الأمان والتسجيل (SAL)، يلزم التعيين اليدوي. تتضمن هذه العملية الاتصال ب Cisco TAC لتنفيذ التكوينات والتعيينات الضرورية.
الحل البديل: اتصل ب TAC للمساعدة في ربط الحسابات ذات الصلة وضمان التكامل السليم للنظم.
القرار المتوقع: تي بي دي
عمليات تكامل الطرف الثالث
1.- لا يمكن لعملاء Microsoft الذين لديهم تراخيص من نوع G إستخدام عمليات تكامل XDR Microsoft.
الحالة: العمل كما هو مصمم
التفاصيل: يتم توفير إمكانية الوصول إلى الاستحقاقات من نوع Microsoft G في البيئات التي يتم التحكم فيها للكيانات الحكومية فقط.
الخطوات التالية: تعمل Cisco مع Microsoft لفهم متطلبات التكامل مع بيئة مجلس التعاون الخليجي ل Microsoft التي يتم فيها توفير الاستحقاقات من نوع Microsoft G. إذا كان الإصدار XDR من Cisco قابلا للتطبيق، فإنه يعتزم التكامل مع تراخيص Microsoft G-type ل Microsoft Defender for Endpoint، O365، و EntraID.
الحل المتوقع: تم حل التكامل المتاح هنا.
الأصول
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
أتمتة XDR
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
الأجهزة/أجهزة الاستشعار
لا توجد مشاكل معروفة لوظيفة XDR هذه في الوقت الحالي.
العميل الآمن
للاطلاع على المشكلات المتعلقة ب "العميل الآمن"، يرجى اتباع المقالة.
أدلة جنائية
1- تنفيذ إجراءات التحقيق الجنائي في حالة عدم حل الأصول الموجودة في حادثة XDR، ولكن تم تركيب وحدة للطب الشرعي
الحالة:قيد التحقيق
التفاصيل:يعتمد الطب الشرعي ل XDR على الأصول التي سيتم حلها ضمن حادث XDR قبل تنفيذ إجراءات الطب الشرعي على أحد الأصول من علامة التبويب "أدلة الحدث". إذا لم تتمكن Cisco XDR من حل أحد الأصول في حادث XDR، فإن ذلك سوف يمنع الحصول على أدلة XDR Forensics من أن تكون متاحة من الحدث.
الحل البديل:تحويل من وحدة تحكم XDR من Cisco إلى Forensic XDR لتنفيذ إجراء الطب الشرعي.في قائمة التنقل اليسرى من Cisco XDR، انقر فوق بحث > أدلة جنائية
في XDR Forensics، انقر فوق "الأصول" من قائمة التنقل اليسرى، وحدد الأصل المناسب، واحصل على الدليل و/أو الإجراء المطلوب.حدد الحالة المناسبة من القائمة المنسدلة حتى يتم إقران هذا تلقائيا بحادث XDR.
الخطوات التالية: TBD
الدقة: TBD
بطاقة التعقب:CSCwr69610
2.- يمكن حظر عمليات XDR Forensics بواسطة إجراء الاستجابة لعزل نقطة النهاية الآمنة من Cisco أو أي إجراء آخر لأمان نقطة النهاية.
الحالة:قيد التحقيق
التفاصيل:يمكن حظر أدلة XDR الجنائية بواسطة فرض العزل من Cisco Secure Endpoint أو EDR أو أداة أمان نقطة النهاية الأخرى.تأكد من تكوين الاستبعادات المناسبة وقوائم السماح لأدلة XDR الجنائية لأداة أمان نقطة النهاية.
الحل:
(مثال مبني على ميزة عزل نقطة النهاية الآمنة من Cisco، ولكنه ينطبق بشكل عام على برامج أمان نقطة النهاية الأخرى)
الحصول على عناوين IP
· إجراء بحث/بحث عن عنوان URL لمستأجر XDR Forensics (يمكن الحصول عليه من خلال الانتقال إلى أدلة XDR الجنائية ونسخ عنوان URL من المستعرض (قم بإزالة https، وكل شيء من أول شرطة إلى النهاية)
· دون جميع عناوين IP
إضافة قائمة السماح بعزل IP
· في منتج أمان نقطة النهاية، على سبيل المثال، Cisco Secure Endpoint، انتقل إلى التحكم في التفشي > قوائم حظر والسماح ب IP
· تحديد علامة التبويب لقوائم السماح لعزل IP. إذا كان لديك واحد بالفعل يمكنك تحديثه، وإلا أستخدم الزر "إنشاء قائمة IP" لإضافة واحد جديد
· اعطه اسما ووصفا ثم قم بإضافة عناوين IP من الأعلى
· حفظ القائمة
إضافة قائمة السماح إلى النهج
· انتقل إلى إدارة نقطة النهاية الآمنة من Cisco > السياسات
· أختر النهج الذي تريد تحديثه وانقر للتحرير
· انتقل إلى إعدادات متقدمة > عزل نقطة النهاية
· (إذا لزم الأمر) حدد خانة الاختيار السماح بعزل نقطة النهاية
· في قوائم السماح بعزل IP، أختر القائمة (القوائم) التي تريد تضمينها
•انقر فوق حفظ
الخطوات التالية: TBD
الدقة: TBD
بطاقة التعقب:CSCwr69614
تحليلات XDR
1. - يمكن إقران عناوين IP المتعددة و/أو أسماء الأجهزة المضيفة المتعددة باسم جهاز واحد في XDR-A
الحالة: غير محسوم/مؤجل
التفاصيل: يمكن ربط العديد من عناوين IP النشطة بجهاز واحد داخل بوابة SNA/XDR-A. ويمكن أن يتضمن ذلك كلا من أجهزة NVM وغير NVM. تحتوي بعض الأجهزة أيضا على أسماء بيوت متعددة. على أساس التنفيذ الحالي، قد يؤدي تسجيل الأجهزة إلى أن يكون للجهاز أكثر من عنوان IP واحد (موقع). قد يكون بعض عناوين IP هذه من الشبكة المنزلية للمستخدم وقد يصطدم بعناوين IP في شبكة المؤسسة.
الحل: لا يوجد عمل حول هذه المشكلة في هذا الوقت، ولا تزال المشكلة موجودة في البنية الحالية. وثمة آمال في أن تعالج هذه المسألة على نحو أفضل في المستقبل، بمجرد تنفيذ بنية جديدة تسمح بتطبيع أنشطة الشبكة من كلا المصدرين ONA و NVM وجمعها معا.
الخطوات التالية: غير متوفر
دقة الوضوح: المستقبل / TBD
بطاقة التعقب: CSCwo67299 
مشاكل تم حلها
1.- Cisco XDR - لا يعمل إرتباط تكامل نقطة النهاية الآمنة من Cisco على بوابة XDR
الحالة: تحديد المسألة وبانتظار حلها
التفاصيل: في علامات تبويب Admin > Integration، يتم قطع إرتباط "enable" لنقطة النهاية الآمنة. بمجرد الضغط على زر التمكين، يتم الآن إعادة التوجيه إلى صفحة "الاستجابة للتهديدات" ويتم تكرارها إلى صفحة محدد XDR org بدلا من الانتقال إلى وحدة تحكم النقطة الطرفية الآمنة.
الحل: يمكن تنفيذ التكامل من بوابة نقطة النهاية الآمنة من Cisco
الخطوات التالية: تعمل Cisco على تنفيذ إصلاح هذه المشكلة
حل متوقع: تم حل هذه المشكلة.
2- توقف تشغيل قواعد التشغيل التلقائي للحوادث الخاصة بالدمج الآلي في ذاكرة XDR بشكل غير متوقع
الحالة: المشكلة المحددة والحل المعلق
التفاصيل: توقف تشغيل قواعد أتمتة الحوادث التي يتم تشغيلها بواسطة عمليات سير العمل والمشغلات بشكل غير متوقع. لا يتم الإشارة إلى ذلك في واجهة مستخدم XDR، إلا عند مراجعة مقاييس سير العمل مع مرور الوقت. عند القيام بذلك، سيرى العملاء عمليات سير عمل أقل أو لا تعمل، وذلك وفقا لمدى إستمرار المشكلة.
الخطوات التالية: حددت Cisco هذا كمشكلة ضمن الخلفية XDR وتعمل على حلها. تخطط Cisco أيضا لتنفيذ ميزات مراقبة وتتبع حالة إضافية لتجنب حدوث هذه المشكلة في المستقبل.
الحل البديل: قم بتعطيل القاعدة وإعادة تمكينها لبدء إعادة تشغيل قاعدة سير العمل التي يتم تنفيذها والمعالجة.
دقة متوقعة: تم الحل.
3. - Cisco XDR-Analytics - فشل تثبيت ONA في البيئات الظاهرية مع وجود خطأ يشير إلى فشل التحقق من المجموع الاختباري"
الحالة: المشكلة المحددة والحل المعلق
التفاصيل: عند نشر مستشعر ONA في بيئة افتراضية، يفشل ISO في إكمال عملية التثبيت ويحدث الأخطاء.
الحل: قم بتثبيت Ubuntu Server 24.04 بشكل مستقل مع Ubuntu ISO واتبع خطوات التثبيت المتقدم لتشغيل ONA كخدمة. أستخدم التوافق مع 7.0 U2
الخطوات التالية: غير متوفر
الدقة: تم حل هذه المشكلة في أحدث إصدار من مستشعر ONA
4.-MTTR يظهر بلاطة على مركز التحكم أرقاما غير دقيقة للحوادث التي تم حلها باستخدام إحدى الحالات الجديدة مثل "مغلق: موجب كاذب"، "مغلق: التهديد المؤكد أو غيره.
الحالة: تحديد المسألة وبانتظار حلها
التفاصيل: وقد تم إدخال حالات جديدة للحادث في 15 كانون الثاني / يناير ولا تأخذ البلاطة تلك الدول في الاعتبار. ويفسر القرار الجديد على أنه عمل جار، ولذلك حتى وإن كان هذا الحادث قد أغلق باستخدام إحدى الولايات الجديدة، فإنه يعتبر عملا جاريا.
الحل البديل: لا شيء
الخطوات التالية: لا شيء
القرار المتوقع: تم الحل
إذا كنت بحاجة إلى الاتصال بدعم Cisco، فاتبع التعليمات الواردة في هذا الارتباط.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
7.0 |
15-Oct-2025
|
إضافة أدلة جنائية خاصة بالإصدار |
6.0 |
23-Sep-2025
|
إضافة مسائل معروفة لأدلة التحقيق الجنائية |
5.0 |
27-Aug-2025
|
تحديث المشاكل التي تم حلها |
4.0 |
29-May-2025
|
تحديث مع المشاكل الجديدة المعروفة. |
2.0 |
25-Feb-2025
|
تحديث في بعض المسائل التي وردت في المقالة. |
1.0 |
25-Nov-2024
|
الإصدار الأولي |
التعليقات