Problemas conocidos de Cisco XDR
Introducción
En este artículo se documentan los problemas técnicos conocidos de Cisco XDR.
Cisco puede reconocer los problemas técnicos, revisarlos, resolverlos o considerar que funcionan según lo previsto.
Problemas conocidos:
Incidentes
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Investigaciones
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Centro de control
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Integraciones de Cisco
1. Cisco XDR: integración completa con Cisco Secure Firewall
Detalles: para garantizar una integración perfecta entre Cisco Defense Orchestrator (CDO), Security Services Exchange (SSX) y Security Analytics and Logging (SAL), se requiere asignación manual. Este proceso implica ponerse en contacto con el TAC de Cisco para realizar las configuraciones y asignaciones necesarias.
Solución: Póngase en contacto con el TAC para ayudar a vincular las cuentas pertinentes y garantizar la integración adecuada de los sistemas.
Resolución esperada: TBD
Integraciones de terceros
1.- Los clientes de Microsoft con licencias tipo G no pueden utilizar las integraciones XDR de Microsoft.
Estado: Trabajo según diseño
Detalles: los derechos de tipo G de Microsoft solo se proporcionan acceso en entornos controlados para entidades gubernamentales.
Siguientes pasos: Cisco está trabajando con Microsoft para comprender los requisitos para integrarse con el entorno de Microsoft GCC en el que se proporcionan los derechos de tipo G de Microsoft. Si es viable, Cisco XDR pretende integrarse con las licencias Microsoft G-type para Microsoft Defender for Endpoint, O365 y EntraID.
Resolución esperada: resuelta, integración disponible aquí.
Recursos
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Automatización de XDR
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Dispositivos/sensores
No hay problemas conocidos para esta funcionalidad XDR en este momento.
Cliente seguro
Para consultar los problemas de Secure Client, siga el artículo.
Diagnóstico de XDR
1.- Realización de acciones de diagnóstico XDR cuando el recurso en el incidente XDR no se ha resuelto, pero tiene el módulo de diagnóstico instalado
Estado:bajo investigación
Detalles:El diagnóstico XDR depende de los recursos que se deben resolver en un incidente XDR antes de que las acciones forenses se puedan ejecutar en un recurso desde la pestaña Pruebas de un incidente. Si Cisco XDR no puede resolver un recurso en un incidente XDR, esto evitará que la adquisición de pruebas de diagnóstico XDR esté disponible en el incidente.
Solución: cambie de la consola Cisco XDR a XDR Forensics para realizar la acción de diagnóstico.En el menú de navegación izquierdo de Cisco XDR, haga clic en Investigar > Diagnóstico
En XDR Forensics, haga clic en Assets (Activos) en el menú de navegación izquierdo, seleccione el activo adecuado y obtenga pruebas o la acción deseada.Seleccione el caso adecuado en el menú desplegable para que se asocie automáticamente al incidente XDR.
Siguientes pasos: por determinar
Resolución: por determinar
CDET de seguimiento:CSCwr69610
2.- Las operaciones de diagnóstico de XDR pueden bloquearse mediante la acción de respuesta de aislamiento de terminales de Cisco Secure Endpoint u otra solución de seguridad de terminales.
Estado:bajo investigación
Detalles: El diagnóstico de XDR puede bloquearse mediante la aplicación de aislamiento de Cisco Secure Endpoint, EDR u otra herramienta de seguridad de terminales.Asegúrese de que las exclusiones adecuadas y las listas de permitidos para el diagnóstico XDR estén configuradas en la herramienta de seguridad de terminales.
Solución alternativa:
(Ejemplo basado en la función de aislamiento de Cisco Secure Endpoint, pero que se aplica generalmente a otro software de seguridad para terminales)
Obtener las direcciones IP
· Realizar una nslookup/dig de su XDR Forensics URL de arrendatario (se puede obtener pivotando en XDR Forensics y copiando la URL del navegador (eliminar el https, y todo desde la primera barra hasta el final)
· Tome nota de todas las direcciones IP
Agregar una lista de IP permitidas de aislamiento
· En el producto de seguridad de terminales, por ejemplo, Cisco Secure Endpoint, navegue hasta Control de brotes > Bloqueo de IP y listas de permitidos
· Seleccione la ficha de las listas de IP permitidas de aislamiento. Si ya tiene una, puede actualizarla; de lo contrario, utilice el botón "Crear lista de IP" para agregar una nueva
· Dé un nombre y una descripción y luego agregue las IP desde arriba
· Guardar la lista
Agregar lista de permitidos a la política
· Vaya a Cisco Secure Endpoint’s Management > Policies
· Elija la política que desea actualizar y haga clic para editarla
· Vaya a Advanced Settings > Endpoint Isolation
· (Si es necesario) Seleccione la casilla de verificación Permitir aislamiento de terminales
· En las Listas de IP permitidas de aislamiento, elija las Listas que desea incluir
•Haga clic en Save (Guardar).
Siguientes pasos: por determinar
Resolución: por determinar
CDET de seguimiento:CSCwr69614
XDR-Analytics
1. - Varias direcciones IP y/o varios nombres de host pueden asociarse a un único nombre de dispositivo en XDR-A
Estado: No resuelto/Pospuesto
Detalles: Varias direcciones IP activas pueden asociarse a un único dispositivo dentro del portal SNA/XDR-A. Esto puede incluir dispositivos NVM y no NVM. Algunos dispositivos también tienen varios nombres de host. Según la implementación actual, el registro de dispositivos podría dar lugar a que un dispositivo tuviera más de una dirección IP (ubicación). Algunas de estas direcciones IP pueden proceder de la red doméstica del usuario y pueden colisionar con direcciones IP de la red de la organización.
Solución: no hay ninguna solución alternativa para este problema en este momento, y el problema sigue existiendo en la arquitectura actual. Se espera que este problema se aborde mejor en el futuro, una vez que se implemente una nueva arquitectura que permita normalizar las actividades de red de ambas fuentes, ONA y NVM, a OCSF y agruparlas.
Pasos siguientes: N/A
Resolución: Futuro/por determinar
CDET de seguimiento: CSCwo67299 
Problemas resueltos
1.- Cisco XDR: el enlace de integración de Cisco Secure Endpoint no funciona en el portal Cisco XDR
Estado: Problema identificado y pendiente de resolución
Detalles: En las pestañas Admin > Integrations el link "Enable" de Secure Endpoint está roto. Una vez que pulsamos el botón de activación, se redirige a la página Threat Response (Respuesta ante amenazas) y se redirige a la página del selector de organización XDR en lugar de ir a Secure Endpoint Console.
Solución alternativa: La integración se puede realizar desde Cisco Secure Endpoint Portal
Pasos siguientes: Cisco está trabajando para implementar la solución para este problema
Resolución esperada: se ha resuelto este problema.
2.- XDR Automatizar Incidentes Reglas de Automatización inesperadamente deja de funcionar
Estado: problema identificado y pendiente de resolución
Detalles: las reglas de automatización de incidentes basadas en flujos de trabajo y desencadenadores dejan de ejecutarse inesperadamente. Esto no se indica en la interfaz de usuario de XDR, excepto cuando se revisan las métricas de Workflows Run Over Time. Al hacerlo, los clientes verán flujos de trabajo reducidos o nulos ejecutados, dependiendo del tiempo que el problema haya estado en curso.
Siguientes pasos: Cisco ha identificado este problema como un problema en el back-end XDR y está trabajando para resolverlo. Cisco también tiene previsto implementar funciones adicionales de supervisión y seguimiento de estado para evitar que este problema se produzca en el futuro.
Solución: deshabilite y vuelva a habilitar la regla para iniciar un reinicio de la activación y el procesamiento de la regla de flujo de trabajo.
Resolución esperada: resuelta.
3. - Cisco XDR-Analytics: error en la instalación de ONA en entornos virtuales con un error que indica "error en la verificación de la suma de comprobación"
Estado: problema identificado y pendiente de resolución
Detalles: Al implementar un sensor ONA en un entorno virtual, la ISO no puede completar el proceso de instalación y se produce un error.
Solución alternativa: Instale el servidor Ubuntu 24.04 de forma independiente con la ISO de Ubuntu y siga los pasos de instalación avanzada para ejecutar ONA como servicio. Utilice la compatibilidad 7.0 U2
Pasos siguientes: N/A
Resolución: Este problema se ha resuelto en la última versión del sensor ONA
4.-El cuadro MTTR del Centro de control muestra números inexactos de incidentes que se han resuelto mediante uno de los nuevos estados, como "Cerrado: "Falso positivo", "Cerrado: "Amenaza confirmada" u otra.
Estado: Problema identificado y pendiente de resolución
Detalles: El 15 de enero se introdujeron nuevos estados de incidente y el mosaico no toma en consideración esos estados. Los nuevos estados de resolución se interpretan como trabajos en curso, por lo que incluso si el incidente se ha cerrado con uno de los nuevos estados, se contabiliza como trabajo en curso.
Solución alternativa: Ninguna
Siguientes pasos: Ninguno
Resolución esperada: resuelta
Si necesita ponerse en contacto con el Soporte de Cisco, siga las instrucciones que se proporcionan en este enlace.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
7.0 |
15-Oct-2025
|
Adición de diagnósticos XDR |
6.0 |
23-Sep-2025
|
Adición de problemas conocidos para el diagnóstico XDR |
5.0 |
27-Aug-2025
|
Actualización de los problemas resueltos |
4.0 |
29-May-2025
|
Actualizar con nuevos problemas conocidos. |
2.0 |
25-Feb-2025
|
Actualización en algunos de los temas que se ven en el artículo. |
1.0 |
25-Nov-2024
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)