Einleitung
In diesem Dokument wird die Fehlerbehebung bei Cisco XDR-Analysen für Cisco Xtended Detection and Response (XDR)/Network Visibility Module (NVM) beschrieben.
Voraussetzungen
Aktives XDR-Analyseportal mit XDR-Integration
Anforderungen
Ausführung des XDR-Analytics-Kontos mit einer einzigen XDR-Integration
Verwendete Komponenten
- XDR-Analysen
- XDR
- NVM-Sensor
- Sicherer Client (Version 5.0+)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
XDR-Analysen NVM-Datenflüsse
XDR Analytics nutzt jetzt NVM-Telemetrie
Die Telemetrie wird von der NVM-Komponente des Cisco Secure Client generiert.
Die NVM bietet eine verbesserte Netzwerktransparenz, einschließlich des Benutzerverhaltens, der Netzwerkkommunikation und der Prozesse, wodurch der Zeitaufwand für die Vorfalluntersuchung reduziert wird und Lücken in der Endpunkttransparenz geschlossen werden.
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
NVM-Datenflüsse - XDR-Analysen

NVM-Sensorstatus
Warnung: Dem XDR-Analytikportal muss maximal ein einzelner XDR-Tenant/eine einzelne Organisation zugeordnet sein.
NVM-Org-ID
NVM Data Lake-Bereitstellungsstatus
Debuggen
- Debugging-Antwortcodes:
Antwortcode
|
Aktion erforderlich
|
DataLake erfolgreich bereitgestellt
|
Validierung von NVM-Flows über die Ereignisanzeige
|
Datensee kann nicht bereitgestellt werden, keine XDR-Organisation erkannt
|
XDR und XDR Analytics mit einem Klick integrieren
|
Datenpakete können nicht bereitgestellt werden. Mehrere XDR-Organisationen wurden erkannt.
|
TAC-Unterstützung kontaktieren
|
- Wenn einer dieser Schritte fehlschlägt, führen Sie das Secure Client Diagnostics And Reporting Tool (DART) über die Secure Client-Schnittstelle aus, um das Problem zu diagnostizieren (fordern Sie DART immer als Administrator an).
Sammeln Sie DART-Pakete für sichere Clients
Beobachtungen und Warnungen
NVM-Warnungen
- Anmeldung beim XDR Analytics-Portal
- Einstellungen > WarnmeldungenTelemetrie > Cisco NVM
-
Telemetrie > Cisco NVM


NVM-Warnmeldungseinstellungen

NVM-Beobachtungen
- Verdächtige Endpunktaktivität
- XDR Analytics-Portal
- Überwachen > Beobachtungen
- Ausgewählte Beobachtung
- Filtern verdächtiger Endpunktaktivitäten


Hinweise zur NVM-Erkennung
- NVM erfasst nur Prozesse und Flow-Daten, mit denen eine Netzwerkverbindung besteht.
- NVM ist so konfiguriert, dass Flow-Daten standardmäßig nur am Ende des Flow gemeldet werden
Schlussfolgerung
Diese Schritte helfen Ihnen, durch XDR-Analysen zu navigieren, um Beobachtungen und Warnungen mithilfe von NVM-Informationen zu aktivieren und den Workflow zu beheben.