Bekannte Probleme mit Cisco XDR

Einleitung

In diesem Artikel werden die derzeit bekannten technischen Probleme mit Cisco XDR beschrieben.

Technische Probleme können von Cisco anerkannt werden, werden derzeit geprüft, warten auf ihre Behebung oder gelten als normal.

Bekannte Probleme

Vorfälle

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

Untersuchungen

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

Kontrollzentrum

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

Cisco Integrationen

1. Cisco XDR - Cisco Secure Firewall Vollständige Integration

Details: Um eine nahtlose Integration zwischen Cisco Defense Orchestrator (CDO), Security Services Exchange (SSX) und Security Analytics and Logging (SAL) sicherzustellen, ist eine manuelle Zuordnung erforderlich. Dieser Prozess beinhaltet die Kontaktaufnahme mit dem Cisco TAC zur Durchführung der erforderlichen Konfigurationen und Zuordnungen.

Problemumgehung: Wenden Sie sich an das TAC, um die entsprechenden Konten zu verknüpfen und eine ordnungsgemäße Integration der Systeme sicherzustellen.

Erwartete Auflösung: Noch festzulegen

Cisco Identity Intelligence

1. Eine kleine Anzahl von Kunden verfügt über duplizierte Cisco Identity Intelligence-Module

Status: Problem identifiziert und behoben

Details: Bei einigen Kunden wurde versehentlich ein zweites Modul bereitgestellt, als Cisco Identity Intelligence in das XDR-Produkt integriert wurde. Betroffene Kunden zeigen nun doppelte CII-Quellen in Asset Insights und doppelte CII-Automatisierungsziele an.

Problemumgehung:k. A.

Nächste Schritte: Engineering untersucht Ursachen/Lösung

Auflösung: Der Fix für die Erstellung von Duplikaten wird in Version 2.57 veröffentlicht. Ein Fix für die vorhandenen Duplikate wird untersucht.

Integration mit Drittanbieterlösungen

1. Fehlender Cloud Provider-Wert für OCI-Datenflüsse in der XDR-A-Ereignisanzeige

Status: Problem identifiziert und behoben

Details: Die Spalte "Cloud Provider" in der XDR-A-Ereignisanzeige ist derzeit für Flows aus OCI leer. 

Problemumgehung: Benutzer können weiterhin nach diesen Flows filtern, indem sie manuell "OCI" in den Tabellenfilter eingeben.

Nächste Schritte: Cisco arbeitet an der Implementierung einer Lösung für dieses Problem.

Entschließung: Februar 2026

Ressourcen

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

XDR Automatisieren

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

Appliances/Sensoren

Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.

Sicherer Client

Um die Fragen für Secure Client zu konsultieren, lesen Sie bitte den Artikel.

XDR-Forensik

1.- Durchführung von XDR-Forensikaktionen, wenn die Ressource in XDR-Vorfall nicht behoben wurde, aber das Forensikmodul installiert ist

Status:Wird untersucht

Details:Die XDR-Forensik ist von Ressourcen abhängig, die bei einem XDR-Vorfall aufgelöst werden müssen, bevor forensische Aktionen auf einer Ressource über die Registerkarte "Evidence" (Beweise) eines Vorfalls ausgeführt werden können. Wenn Cisco XDR nicht in der Lage ist, eine Ressource bei einem XDR-Vorfall aufzulösen, wird verhindert, dass XDR-Forensics Beweisaufnahme über Vorfall.

Problemumgehung: Wechseln Sie von der Cisco XDR-Konsole zur XDR-Forensik, um die forensische Aktion durchzuführen.Klicken Sie im linken Navigationsmenü von Cisco XDR auf Investigate > Forensics (Ermittlungen > Forensik).

Klicken Sie in XDR Forensics im linken Navigationsmenü auf Assets (Ressourcen), wählen Sie die entsprechende Ressource aus, und erfassen Sie Beweise und/oder die gewünschte Aktion.Wählen Sie im Dropdown-Menü den entsprechenden Fall aus, damit dieser automatisch dem XDR-Vorfall zugeordnet wird.

Nächste Schritte: Noch festzulegen

Auflösung: Noch festzulegen

Nachverfolgung von CDETS:Cisco Bug-ID CSCwr69610

2.- XDR-Forensikvorgänge können durch Cisco Secure Endpoint oder die Endpoint-Isolation-Response-Aktion einer anderen Endpoint-Sicherheitslösung blockiert werden.

Status:Wird untersucht

Details: Die XDR-Forensik kann durch Cisco Secure Endpoint, EDR oder die Isolationsdurchsetzung eines anderen Endpunkt-Sicherheitstools blockiert werden.Stellen Sie sicher, dass die entsprechenden Ausschlüsse und Zulassungslisten für XDR-Forensik für das Endgeräte-Sicherheitstool konfiguriert sind.

Problemumgehung:

(Beispiel basiert auf der Isolationsfunktion von Cisco Secure Endpoint, gilt aber generell für andere Endpoint-Sicherheitssoftware)

Abrufen der IP-Adressen

・ Führen Sie ein nslookup/dig Ihrer XDR Forensics Tenant-URL (kann durch Schwenken in XDR Forensics und Kopieren der URL aus dem Browser erhalten werden (entfernen Sie die https, und alles vom ersten Schrägstrich bis zum Ende)

・ Notieren Sie sich alle IP-Adressen

Hinzufügen einer Liste zulässiger Isolations-IPs

・ Navigieren Sie im Sicherheitsprodukt für Endgeräte, z. B. Cisco Secure Endpoint, zu Outbreak Control > IP Block & Allow Lists

・ Wählen Sie die Registerkarte Isolation IP Allow lists. Wenn Sie bereits eine IP-Liste haben, können Sie diese aktualisieren. Verwenden Sie andernfalls die Schaltfläche "Create IP List" (IP-Liste erstellen), um eine neue Liste hinzuzufügen

・ Geben Sie ihm einen Namen und eine Beschreibung, und fügen Sie dann die IPs aus dem vorherigen Schritt hinzu.

・ Liste speichern

Zulassungsliste zur Richtlinie hinzufügen

・ Navigieren Sie zu Cisco Secure Endpoint Management > Richtlinien

・ Wählen Sie die Richtlinie aus, die Sie aktualisieren möchten, und klicken Sie zum Bearbeiten

・ Navigieren Sie zu Erweiterte Einstellungen > Endpunktisolierung

・ Aktivieren Sie ggf. das Kontrollkästchen Endpunktisolierung zulassen.

・ Wählen Sie in den IP-Zulassungslisten für Isolierung die Liste(n) aus, die Sie einschließen möchten.

•Klicken Sie auf Save (Speichern).

Nächste Schritte: Noch festzulegen

Auflösung: Noch festzulegen

Nachverfolgung von CDETS: Cisco Bug-ID CSCwr69614

3. - Das Ändern der Standardrollenberechtigungen in der XDR-Forensik kann für Benutzer zu nicht-intuitiven Fehlern bei der Integration von XDR-Vorfall und XDR-Forensik führen.

Status:Wird untersucht

Details:In XDR Version 2.5.6 (veröffentlicht am 12-17-2025) können XDR Forensics Global Admins jetzt die Benutzerrollenberechtigungen in XDR Forensics ändern, um eine detailliertere Kontrolle zu erhalten. Allerdings führt die Änderung von Berechtigungen im Zusammenhang mit Core Acquisition, InterACT Remote Shell und Case-Funktionen zu Berechtigungsfehlern bei der Integration zwischen XDR Incident und XDR Forensics. Beispielsweise wird einem Benutzer mit einer Rolle, die geändert wird, um die Berechtigung für die Remote-Shell zu entfernen, weiterhin die Option für die Remote-Shell-Aktion in der XDR-Benutzeroberfläche angezeigt, die Einrichtung der Remote-Shell-Sitzung wird jedoch verhindert. Obwohl in den XDR Forensics-Versionshinweisen dokumentiert, ist dieser Fehler aufgrund von Berechtigungseinschränkungen für einen Benutzer auf der XDR-Konsole möglicherweise nicht intuitiv.

Problemumgehung: Forensische XDR-Administratoren müssen die geänderten Berechtigungen mit den vorgesehenen Funktionen für Benutzerrollen validieren, bevor sie implementieren können.

Nächste Schritte: Noch festzulegen

Auflösung: Noch festzulegen

XDR-Analysen

1. - Mehrere IP-Adressen und/oder mehrere Hostnamen können einem einzelnen Gerätenamen in XDR-A zugeordnet werden.

Status: Nicht aufgelöst/Zurückgestellt

Details: Mehrere aktive IP-Adressen können einem einzelnen Gerät innerhalb des SNA/XDR-A Portals zugeordnet werden. Dies kann sowohl NVM- als auch Nicht-NVM-Geräte umfassen. Einige Geräte haben auch mehrere Hostnamen. Basierend auf der aktuellen Implementierung kann die Registrierung von Geräten dazu führen, dass ein Gerät mehr als eine IP-Adresse (Standort) hat. Einige dieser IP-Adressen können aus dem Heimnetzwerk des Benutzers stammen und mit IP-Adressen im Unternehmensnetzwerk kollidieren.

Problemumgehung: Derzeit gibt es keine Problemumgehung für dieses Problem, und das Problem ist nach wie vor in der aktuellen Architektur vorhanden. Es besteht die Hoffnung, dass dieses Problem in Zukunft besser angegangen werden kann, sobald eine neue Architektur implementiert ist, die es ermöglicht, die Netzwerkaktivitäten von ONA und NVM auf OCSF zu normalisieren und zusammenzuführen. Auch das Ablaufdatum von IP-Geräten wurde aktualisiert. Es wurde festgestellt, dass diese mit einem neuen Hostnamen verknüpft sind, um das Ablaufdatum zu beschleunigen.

Weitere Schritte: –

Lösung: Zukunft/Noch festzulegen

Nachverfolgung von CDETs: Cisco Bug-ID CSCwo67299

Orbital

1. Bereitstellungseinschränkungen für wichtige Kunden mit sicheren Endgeräten

Status: Problem festgestellt und Lösung noch ausstehend

Details: Auf den Registerkarten Admin > Integrations (Verwaltung > Integrationen) ist der Link "Enable" (Aktivieren) für sichere Endpunkte defekt. Sobald wir auf die Schaltfläche "Aktivieren" klicken, wird zur Seite "Reaktion auf Bedrohungen" umgeleitet, und es wird in eine Schleife zur Auswahlebene der XDR-Organisation geschaltet, anstatt zur Konsole für sichere Endgeräte zu wechseln.

Problemumgehung: Die Integration kann über das Cisco Secure Endpoint-Portal erfolgen.

Weitere Schritte: Cisco arbeitet an der Behebung dieses Problems.

Erwartete Lösung: Noch festzulegen

Gelöste Probleme

1.- Cisco XDR - Cisco Secure Endpoint-Integrationslink funktioniert nicht auf Cisco XDR-Portal

Status: Problem festgestellt und Lösung noch ausstehend

Details: XDR-Kunden jeder Ebene, die ebenfalls über Secure Endpoint Essentials verfügen, können Orbital möglicherweise nicht installieren, da Orbital durch den Secure Endpoint Connector aktiv deaktiviert wird. Wenden Sie sich an das TAC, um diesen Konflikt zu lösen.

Problemumgehung: k. A.

Weitere Schritte: Cisco arbeitet an der Behebung dieses Problems.

Erwartete Lösung: Dieses Problem wurde behoben.

2.- XDR-Automatisierungsregeln für Vorfälle werden unerwartet nicht mehr ausgeführt

Status: Problem identifiziert und behoben

Details: Regeln für die Vorfallautomatisierung auf Basis von Workflows und Triggern laufen unerwartet nicht mehr. Dies ist in der XDR-Benutzeroberfläche nicht angegeben, außer beim Überprüfen der Metriken für Workflows, die über die Zeit ausgeführt werden. Dabei werden die Kunden je nach Dauer des Problems auf einen reduzierten oder gar keinen Workflow zurückgeführt.

Nächste Schritte: Cisco hat dieses Problem im XDR-Backend erkannt und arbeitet an seiner Lösung. Cisco plant außerdem die Implementierung zusätzlicher Überwachungs- und Statusüberwachungsfunktionen, um dieses Problem in Zukunft zu vermeiden.

Problemumgehung: Deaktivieren und erneutes Aktivieren der Regel, um einen Neustart der Auslösung und Verarbeitung der Workflowregel einzuleiten.

Erwartete Lösung: Behoben.

3. - Cisco XDR-Analytics - ONA-Installationsfehler in virtuellen Umgebungen mit der Fehlermeldung "Prüfsummenüberprüfung fehlgeschlagen"
        Status: Problem identifiziert und behoben

Details: Wenn ein ONA-Sensor in einer virtuellen Umgebung bereitgestellt wird, kann das ISO den Installationsvorgang nicht abschließen und es treten Fehler auf.

Problemumgehung: Installieren Sie Ubuntu Server 24.04 unabhängig mit dem Ubuntu ISO und lesen Sie die erweiterten Installationsschritte, um ONA als Dienst auszuführen. Verwenden Sie die Kompatibilität mit 7.0 U2

Weitere Schritte: –

Auflösung: Dieses Problem wurde in der neuesten Version des ONA-Sensors behoben.

4.-MTTR-Kachel im Control Center zeigt ungenaue Zahlen für Vorfälle an, die mit einem der neuen Zustände wie "Geschlossen: False Positive", "Geschlossen: Bestätigte Bedrohung" oder eine andere.

Status: Problem festgestellt und Lösung noch ausstehend

Details: Am 15. Januar wurden neue Incident-States eingeführt, die von der Kachel nicht berücksichtigt werden. Die neuen Auflösungszustände werden als in Bearbeitung befindlich interpretiert, sodass selbst wenn dieser Vorfall mit einem der neuen Zustände beendet wurde, er als in Bearbeitung befindlich bilanziert wird.

Problemumgehung: Keine

Nächste Schritte: Keine

Erwartete Lösung: Behoben

Wenn Sie sich an den Cisco Support wenden müssen, lesen Sie die Anweisungen in diesem Link.