Bekannte Probleme mit Cisco XDR
Einleitung
In diesem Artikel werden die derzeit bekannten technischen Probleme mit Cisco XDR beschrieben.
Technische Probleme können von Cisco anerkannt werden, werden derzeit geprüft, warten auf ihre Behebung oder gelten als normal.
Bekannte Probleme:
Vorfälle
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
Untersuchungen
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
Kontrollzentrum
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
Cisco Integrationen
1. Cisco XDR - Cisco Secure Firewall Vollständige Integration
Details: Um eine nahtlose Integration zwischen Cisco Defense Orchestrator (CDO), Security Services Exchange (SSX) und Security Analytics and Logging (SAL) sicherzustellen, ist eine manuelle Zuordnung erforderlich. Dieser Prozess beinhaltet die Kontaktaufnahme mit dem Cisco TAC zur Durchführung der erforderlichen Konfigurationen und Zuordnungen.
Problemumgehung: Wenden Sie sich an das TAC, um die entsprechenden Konten zu verknüpfen und eine ordnungsgemäße Integration der Systeme sicherzustellen.
Erwartete Auflösung: Noch festzulegen
Integration mit Drittanbieterlösungen
1.- Microsoft-Kunden mit G-Typ-Lizenzen können die XDR-Microsoft-Integration nicht nutzen.
Status: "Working as Designed" (Wie entwickelt)
Details: Berechtigungen vom Typ Microsoft G werden nur in kontrollierten Umgebungen für Regierungsbehörden bereitgestellt.
Nächste Schritte: Cisco arbeitet mit Microsoft zusammen, um die Anforderungen für die Integration in die Microsoft GCC-Umgebung zu ermitteln, in der Berechtigungen vom Typ Microsoft G bereitgestellt werden. Sofern realisierbar, plant Cisco XDR die Integration in Microsoft G-Lizenzen für Microsoft Defender for Endpoint, O365 und EntraID.
Erwartete Lösung: Behoben, Integration hier verfügbar.
Ressourcen
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
XDR Automatisieren
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
Appliances/Sensoren
Derzeit sind keine Probleme mit dieser XDR-Funktion bekannt.
Sicherer Client
Um die Fragen für Secure Client zu konsultieren, folgen Sie bitte dem Artikel.
XDR-Forensik
1.- Durchführung von XDR-Forensikaktionen, wenn die Ressource in XDR-Vorfall nicht behoben wurde, aber das Forensikmodul installiert ist
Status:Wird untersucht
Details:Die XDR-Forensik ist von Ressourcen abhängig, die bei einem XDR-Vorfall aufgelöst werden müssen, bevor forensische Aktionen auf einer Ressource über die Registerkarte "Evidence" (Beweise) eines Vorfalls ausgeführt werden können. Wenn Cisco XDR nicht in der Lage ist, eine Ressource bei einem XDR-Vorfall aufzulösen, wird verhindert, dass XDR-Forensics Beweisaufnahme über Vorfall.
Problemumgehung: Wechseln Sie von der Cisco XDR-Konsole zur XDR-Forensik, um die forensische Aktion durchzuführen.Klicken Sie im linken Navigationsmenü von Cisco XDR auf Investigate > Forensics (Ermittlungen > Forensik).
Klicken Sie in XDR Forensics im linken Navigationsmenü auf Assets (Ressourcen), wählen Sie die entsprechende Ressource aus, und erfassen Sie Beweise und/oder die gewünschte Aktion.Wählen Sie im Dropdown-Menü den entsprechenden Fall aus, damit dieser automatisch dem XDR-Vorfall zugeordnet wird.
Nächste Schritte: Noch festzulegen
Auflösung: Noch festzulegen
Nachverfolgung CDET:CSCwr69610
2.- XDR-Forensikvorgänge können durch Cisco Secure Endpoint oder die Endpoint-Isolation-Response-Aktion einer anderen Endpoint-Sicherheitslösung blockiert werden.
Status:Wird untersucht
Details: Die XDR-Forensik kann durch Cisco Secure Endpoint, EDR oder die Isolationsdurchsetzung eines anderen Endpunkt-Sicherheitstools blockiert werden.Stellen Sie sicher, dass die entsprechenden Ausschlüsse und Zulassungslisten für XDR-Forensik für das Endgeräte-Sicherheitstool konfiguriert sind.
Problemumgehung:
(Beispiel basiert auf der Isolationsfunktion von Cisco Secure Endpoint, gilt aber generell für andere Endpoint-Sicherheitssoftware)
Abrufen der IP-Adressen
・ Führen Sie ein nslookup/dig Ihrer XDR Forensics Tenant-URL (kann durch Schwenken in XDR Forensics und Kopieren der URL aus dem Browser erhalten werden (entfernen Sie die https, und alles vom ersten Schrägstrich bis zum Ende)
・ Notieren Sie sich alle IP-Adressen
Hinzufügen einer Liste zulässiger Isolations-IPs
・ Navigieren Sie im Sicherheitsprodukt für Endgeräte, z. B. Cisco Secure Endpoint, zu Outbreak Control > IP Block & Allow Lists
・ Wählen Sie die Registerkarte Isolation IP Allow lists. Wenn Sie bereits eine IP-Liste haben, können Sie diese aktualisieren. Verwenden Sie andernfalls die Schaltfläche "Create IP List" (IP-Liste erstellen), um eine neue Liste hinzuzufügen
・ Geben Sie ihm einen Namen und eine Beschreibung, und fügen Sie dann die IPs von oben hinzu.
・ Liste speichern
Zulassungsliste zur Richtlinie hinzufügen
・ Navigieren Sie zu Cisco Secure Endpoint Management > Richtlinien
・ Wählen Sie die Richtlinie aus, die Sie aktualisieren möchten, und klicken Sie zum Bearbeiten
・ Navigieren Sie zu Erweiterte Einstellungen > Endpunktisolierung
・ Aktivieren Sie ggf. das Kontrollkästchen Endpunktisolierung zulassen.
・ Wählen Sie in den IP-Zulassungslisten für Isolierung die Liste(n) aus, die Sie einschließen möchten.
•Klicken Sie auf Save (Speichern).
Nächste Schritte: Noch festzulegen
Auflösung: Noch festzulegen
Nachverfolgung CDET:CSCwr69614
XDR-Analysen
1. - Mehrere IP-Adressen und/oder mehrere Hostnamen können einem einzelnen Gerätenamen in XDR-A zugeordnet werden.
Status: Nicht aufgelöst/Zurückgestellt
Details: Mehrere aktive IP-Adressen können einem einzelnen Gerät innerhalb des SNA/XDR-A Portals zugeordnet werden. Dies kann sowohl NVM- als auch Nicht-NVM-Geräte umfassen. Einige Geräte haben auch mehrere Hostnamen. Basierend auf der aktuellen Implementierung kann die Registrierung von Geräten dazu führen, dass ein Gerät mehr als eine IP-Adresse (Standort) hat. Einige dieser IP-Adressen stammen möglicherweise aus dem Heimnetzwerk des Benutzers und können mit IP-Adressen im Unternehmensnetzwerk kollidieren.
Problemumgehung: Derzeit gibt es keine Problemumgehung für dieses Problem, und das Problem ist nach wie vor in der aktuellen Architektur vorhanden. Es besteht die Hoffnung, dass dieses Problem in Zukunft besser angegangen werden kann, sobald eine neue Architektur implementiert ist, die es ermöglicht, die Netzwerkaktivitäten von ONA und NVM auf OCSF zu normalisieren und zusammenzuführen.
Weitere Schritte: –
Lösung: Zukunft/Noch festzulegen
Nachverfolgung von CDET: CSCwo67299 
Gelöste Probleme
1.- Cisco XDR - Cisco Secure Endpoint-Integrationslink funktioniert nicht auf Cisco XDR-Portal
Status: Problem festgestellt und Lösung noch ausstehend
Details: Auf den Registerkarten Admin > Integrations (Verwaltung > Integrationen) ist der Link "Enable" (Aktivieren) für sichere Endpunkte defekt. Sobald wir auf die Schaltfläche "Aktivieren" klicken, wird zur Seite "Reaktion auf Bedrohungen" umgeleitet, und es wird in eine Schleife zur Auswahlebene der XDR-Organisation geschaltet, anstatt zur Konsole für sichere Endgeräte zu wechseln.
Problemumgehung: Die Integration kann über das Cisco Secure Endpoint-Portal erfolgen.
Weitere Schritte: Cisco arbeitet an der Behebung dieses Problems.
Erwartete Lösung: Dieses Problem wurde behoben.
2.- XDR-Automatisierungsregeln für Vorfälle werden unerwartet nicht mehr ausgeführt
Status: Problem identifiziert und behoben
Details: Regeln für die Vorfallautomatisierung auf Basis von Workflows und Triggern laufen unerwartet nicht mehr. Dies ist in der XDR-Benutzeroberfläche nicht angegeben, außer beim Überprüfen der Metriken für Workflows, die über die Zeit ausgeführt werden. Dabei werden die Kunden je nach Dauer des Problems auf einen reduzierten oder gar keinen Workflow zurückgeführt.
Nächste Schritte: Cisco hat dieses Problem im XDR-Backend erkannt und arbeitet an seiner Lösung. Cisco plant außerdem die Implementierung zusätzlicher Überwachungs- und Statusüberwachungsfunktionen, um dieses Problem in Zukunft zu vermeiden.
Problemumgehung: Deaktivieren und erneutes Aktivieren der Regel, um einen Neustart der Auslösung und Verarbeitung der Workflowregel einzuleiten.
Erwartete Lösung: Behoben.
3. - Cisco XDR-Analytics - ONA-Installationsfehler in virtuellen Umgebungen mit der Fehlermeldung "Prüfsummenüberprüfung fehlgeschlagen"
Status: Problem identifiziert und behoben
Details: Wenn ein ONA-Sensor in einer virtuellen Umgebung bereitgestellt wird, kann das ISO den Installationsvorgang nicht abschließen und es treten Fehler auf.
Problemumgehung: Installieren Sie Ubuntu Server 24.04 unabhängig mit dem Ubuntu ISO und befolgen Sie die erweiterten Installationsschritte, um ONA als Dienst auszuführen. Verwenden Sie die Kompatibilität mit 7.0 U2
Weitere Schritte: –
Auflösung: Dieses Problem wurde in der neuesten Version des ONA-Sensors behoben.
4.-MTTR-Kachel im Control Center zeigt ungenaue Zahlen für Vorfälle an, die mit einem der neuen Zustände wie "Geschlossen: False Positive", "Geschlossen: Bestätigte Bedrohung" oder eine andere.
Status: Problem festgestellt und Lösung noch ausstehend
Details: Am 15. Januar wurden neue Incident-States eingeführt, die von der Kachel nicht berücksichtigt werden. Die neuen Auflösungszustände werden als in Bearbeitung befindlich interpretiert, sodass selbst wenn dieser Vorfall mit einem der neuen Zustände beendet wurde, er als in Bearbeitung befindlich bilanziert wird.
Problemumgehung: Keine
Nächste Schritte: Keine
Erwartete Lösung: Behoben
Wenn Sie den Cisco Support kontaktieren müssen, folgen Sie den Anweisungen unter diesem Link.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
7.0 |
15-Oct-2025
|
Hinzufügen von XDR-Forensik |
6.0 |
23-Sep-2025
|
Hinzufügen bekannter Probleme für die XDR-Forensik |
5.0 |
27-Aug-2025
|
Aktualisierung der behobenen Probleme |
4.0 |
29-May-2025
|
Aktualisierung mit neuen bekannten Problemen. |
2.0 |
25-Feb-2025
|
Update in einigen der Fragen sehen in dem Artikel. |
1.0 |
25-Nov-2024
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)