Fehlerbehebung und Aktivierung von NVM für XDR-Analysen

Download-Optionen

  • PDF     (491.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:19. März 2025
Dokument-ID:222856

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Fehlerbehebung bei Cisco XDR-Analysen für Cisco Xtended Detection and Response (XDR)/Network Visibility Module (NVM) beschrieben.

    Voraussetzungen

    Aktives XDR-Analyseportal mit XDR-Integration

    Anforderungen

    Ausführung des XDR-Analytics-Kontos mit einer einzigen XDR-Integration

    Verwendete Komponenten

    • XDR-Analysen
    • XDR
    • NVM-Sensor
    • Sicherer Client (Version 5.0+)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    XDR-Analysen NVM-Datenflüsse

    XDR Analytics nutzt jetzt NVM-Telemetrie
    Die Telemetrie wird von der NVM-Komponente des Cisco Secure Client generiert.

    Die NVM bietet eine verbesserte Netzwerktransparenz, einschließlich des Benutzerverhaltens, der Netzwerkkommunikation und der Prozesse, wodurch der Zeitaufwand für die Vorfalluntersuchung reduziert wird und Lücken in der Endpunkttransparenz geschlossen werden.

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    NVM-Datenflüsse - XDR-Analysen

    NVM Data Flows

    • XDR-Analytik korreliert Warnungen mit Angriffsketten (ehemals Warnketten)

    • Benutzer können Warn- und Angriffsketten auf XDR veröffentlichen.

    NVM-Sensorstatus

    • Sicherstellen, dass der NVM-Sensor erstellt wurde:- Navigieren Sie im XDR-Analyse-Dashboard zu "Einstellungen > Sensoren".

      Sensors

    • Bestätigen Sie anschließend, dass der NVM-Sensor in der Sensorliste verfügbar ist.

      Sensor Status
    warning-icon

    Warnung: Dem XDR-Analytikportal muss maximal ein einzelner XDR-Tenant/eine einzelne Organisation zugeordnet sein.

    NVM-Org-ID

    NVM Data Lake-Bereitstellungsstatus

    Debuggen

    • Debugging-Antwortcodes:

      Antwortcode

      Aktion erforderlich

      DataLake erfolgreich bereitgestellt

      Validierung von NVM-Flows über die Ereignisanzeige

      Datensee kann nicht bereitgestellt werden, keine XDR-Organisation erkannt

      XDR und XDR Analytics mit einem Klick integrieren

      Datenpakete können nicht bereitgestellt werden. Mehrere XDR-Organisationen wurden erkannt.

      TAC-Unterstützung kontaktieren
    • Wenn einer dieser Schritte fehlschlägt, führen Sie das Secure Client Diagnostics And Reporting Tool (DART) über die Secure Client-Schnittstelle aus, um das Problem zu diagnostizieren (fordern Sie DART immer als Administrator an).
      Sammeln Sie DART-Pakete für sichere Clients

    Beobachtungen und Warnungen

    NVM-Warnungen

    • Anmeldung beim XDR Analytics-Portal
    • Einstellungen > WarnmeldungenTelemetrie > Cisco NVM

    • Telemetrie > Cisco NVM

      Alerts



    Alerts (contd)

    NVM-Warnmeldungseinstellungen

    NVM Alerts


    NVM-Beobachtungen

    - Verdächtige Endpunktaktivität
    - XDR Analytics-Portal
    - Überwachen > Beobachtungen
    - Ausgewählte Beobachtung
    - Filtern verdächtiger Endpunktaktivitäten


    ObservationsObservations (contd)

    Hinweise zur NVM-Erkennung


    - NVM erfasst nur Prozesse und Flow-Daten, mit denen eine Netzwerkverbindung besteht.
    - NVM ist so konfiguriert, dass Flow-Daten standardmäßig nur am Ende des Flow gemeldet werden

    Schlussfolgerung

    Diese Schritte helfen Ihnen, durch XDR-Analysen zu navigieren, um Beobachtungen und Warnungen mithilfe von NVM-Informationen zu aktivieren und den Workflow zu beheben.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    19-Mar-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rushikesh Parab
      CX Security TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.