Problemas conocidos de Cisco XDR

Introducción

En este artículo se documentan los problemas técnicos conocidos de Cisco XDR.

Cisco puede reconocer los problemas técnicos, revisarlos, resolverlos o considerar que funcionan según lo previsto.

Problemas conocidos

Incidentes

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Investigaciones

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Centro de control

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Integraciones de Cisco

1. Cisco XDR: integración completa con Cisco Secure Firewall

Detalles: para garantizar una integración perfecta entre Cisco Defense Orchestrator (CDO), Security Services Exchange (SSX) y Security Analytics and Logging (SAL), se requiere asignación manual. Este proceso implica ponerse en contacto con el TAC de Cisco para realizar las configuraciones y asignaciones necesarias.

Solución: Póngase en contacto con el TAC para ayudar a vincular las cuentas pertinentes y garantizar la integración adecuada de los sistemas.

Resolución esperada: TBD

Inteligencia de identidad de Cisco

1. Un pequeño número de clientes tienen módulos de Cisco Identity Intelligence duplicados

Estado:Problema identificado y pendiente de resolución

Detalles:algunos clientes recibieron accidentalmente un segundo módulo cuando Cisco Identity Intelligence se introdujo en el producto XDR. Los clientes afectados ahora mostrarán fuentes de CII duplicadas en Asset Insights y objetivos de automatización de CII duplicados.

Solución:N/D

Siguientes pasos: ingeniería que investiga las causas y la solución

Resolución: La corrección para la creación de duplicados se liberará en la versión 2.57. Se está investigando una corrección para los duplicados existentes.

Integraciones de terceros

1. Falta el valor del proveedor de la nube para los flujos de OCI en el visor de eventos XDR-A

Estado:Problema identificado y pendiente de resolución

Detalles:la columna del proveedor de nube del Visor de eventos XDR-A está en blanco para los flujos que se ingieren desde OCI. 

Solución: los usuarios pueden seguir filtrando estos flujos escribiendo manualmente "OCI" en el filtro de la tabla.

Siguientes pasos: Cisco está trabajando para implementar una solución para este problema.

Resolución: febrero de 2026

Recursos

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Automatización de XDR

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Dispositivos/sensores

No hay problemas conocidos para esta funcionalidad XDR en este momento.

Cliente seguro

Para consultar los problemas de Secure Client, consulte el artículo.

Diagnóstico de XDR

1.- Realización de acciones de diagnóstico XDR cuando el recurso en el incidente XDR no se ha resuelto, pero tiene el módulo de diagnóstico instalado

Estado:bajo investigación

Detalles:El diagnóstico XDR depende de los recursos que se deben resolver en un incidente XDR antes de que las acciones forenses se puedan ejecutar en un recurso desde la pestaña Pruebas de un incidente. Si Cisco XDR no puede resolver un recurso en un incidente XDR, esto evitará que la adquisición de pruebas de diagnóstico XDR esté disponible en el incidente.

Solución: cambie de la consola Cisco XDR a XDR Forensics para realizar la acción de diagnóstico.En el menú de navegación izquierdo de Cisco XDR, haga clic en Investigar > Diagnóstico

En XDR Forensics, haga clic en Assets (Activos) en el menú de navegación izquierdo, seleccione el activo adecuado y obtenga pruebas o la acción deseada.Seleccione el caso adecuado en el menú desplegable para que se asocie automáticamente al incidente XDR.

Siguientes pasos: por determinar

Resolución: por determinar

Seguimiento de CDETS:ID de bug de Cisco CSCwr69610

2.- Las operaciones de diagnóstico de XDR pueden bloquearse mediante la acción de respuesta de aislamiento de terminales de Cisco Secure Endpoint u otra solución de seguridad de terminales.

Estado:bajo investigación

Detalles: El diagnóstico de XDR puede bloquearse mediante la aplicación de aislamiento de Cisco Secure Endpoint, EDR u otra herramienta de seguridad de terminales.Asegúrese de que las exclusiones adecuadas y las listas de permitidos para el diagnóstico XDR estén configuradas en la herramienta de seguridad de terminales.

Solución alternativa:

(Ejemplo basado en la función de aislamiento de Cisco Secure Endpoint, pero que se aplica generalmente a otro software de seguridad para terminales)

Obtener las direcciones IP

· Realizar una nslookup/dig de su XDR Forensics URL de arrendatario (se puede obtener pivotando en XDR Forensics y copiando la URL del navegador (eliminar el https, y todo desde la primera barra hasta el final)

· Tome nota de todas las direcciones IP

Agregar una lista de IP permitidas de aislamiento

· En el producto de seguridad de terminales, por ejemplo, Cisco Secure Endpoint, navegue hasta Control de brotes > Bloqueo de IP y listas de permitidos

· Seleccione la ficha de las listas de IP permitidas de aislamiento. Si ya tiene una, puede actualizarla; de lo contrario, utilice el botón "Crear lista de IP" para agregar una nueva

· Asigne un nombre y una descripción y, a continuación, añada las direcciones IP del paso anterior

· Guardar la lista

Agregar lista de permitidos a la política

· Vaya a Cisco Secure Endpoint’s Management > Policies

· Elija la política que desea actualizar y haga clic para editarla

· Vaya a Advanced Settings > Endpoint Isolation

· (Si es necesario) Seleccione la casilla de verificación Permitir aislamiento de terminales

· En las Listas de IP permitidas de aislamiento, elija las Listas que desea incluir

•Haga clic en Save (Guardar).

Siguientes pasos: por determinar

Resolución: por determinar

CDETS de seguimiento: ID de bug de Cisco CSCwr69614

3. - La modificación de los permisos de función predeterminados en XDR Forensics puede causar errores no intuitivos en el incidente XDR y la integración de XDR Forensics para los usuarios.

Estado:En investigación

Detalles: En XDR Release 2.5.6 (publicado el 17-12-2025), los administradores globales de XDR Forensics pueden modificar los permisos de las funciones de usuario en XDR Forensics para obtener un control más granular. Sin embargo, la modificación de los permisos relacionados con la adquisición de núcleo, el shell remoto de InterACT y las funciones de casos dará lugar a errores de permisos en la integración entre el diagnóstico de incidentes XDR y XDR. Por ejemplo, un usuario con una función que se modifica para quitar el permiso del shell remoto seguirá viendo la opción de acción del shell remoto en la interfaz de usuario de XDR, pero no podrá establecer la sesión del shell remoto. Aunque se documenta en las notas de la versión de XDR Forensics, este error debido a la restricción de permisos puede no ser intuitivo para un usuario de la consola XDR.

Solución: Los administradores globales de diagnóstico de XDR deben validar los permisos modificados con la funcionalidad de rol de usuario deseada antes de implementar.

Siguientes pasos: por determinar

Resolución: por determinar

XDR-Analytics

1. - Varias direcciones IP y/o varios nombres de host pueden asociarse a un único nombre de dispositivo en XDR-A

Estado: No resuelto/Pospuesto

Detalles: Varias direcciones IP activas pueden asociarse a un único dispositivo dentro del portal SNA/XDR-A. Esto puede incluir dispositivos NVM y no NVM. Algunos dispositivos también tienen varios nombres de host. Según la implementación actual, el registro de dispositivos podría dar lugar a que un dispositivo tuviera más de una dirección IP (ubicación). Algunas de estas direcciones IP pueden provenir de la red doméstica del usuario y pueden colisionar con direcciones IP de la red de la organización.

Solución: no hay ninguna solución alternativa para este problema en este momento, y el problema sigue existiendo en la arquitectura actual. Se espera que este problema se aborde mejor en el futuro, una vez que se implemente una nueva arquitectura que permita normalizar las actividades de red de ambas fuentes, ONA y NVM, a OCSF y agruparlas. También se han realizado actualizaciones al vencimiento de los dispositivos IP que se consideran asociados con un nuevo nombre de host para acelerar el vencimiento.

Pasos siguientes: N/A

Resolución: Futuro/por determinar

Seguimiento de CDET: ID de bug de Cisco CSCwo67299

Orbital

1. Limitación de la implementación para clientes esenciales de terminales seguros

Estado: Problema identificado y pendiente de resolución

Detalles: En las pestañas Admin > Integrations el link "Enable" de Secure Endpoint está roto. Una vez que pulsamos el botón de activación, se redirige a la página Threat Response (Respuesta ante amenazas) y se redirige a la página del selector de organización XDR en lugar de ir a Secure Endpoint Console.

Solución alternativa: La integración se puede realizar desde Cisco Secure Endpoint Portal

Pasos siguientes: Cisco está trabajando para implementar la solución para este problema

Resolución esperada: por determinar

Problemas resueltos

1.- Cisco XDR: el enlace de integración de Cisco Secure Endpoint no funciona en el portal Cisco XDR

Estado: Problema identificado y pendiente de resolución

Detalles: Es posible que los clientes de XDR de cualquier nivel que también dispongan de Secure Endpoint Essentials no puedan instalar Orbital, ya que el conector Secure Endpoint desactivará Orbital de forma activa. Para resolver este conflicto, póngase en contacto con el TAC.

Solución: N/D

Pasos siguientes: Cisco está trabajando para implementar la solución para este problema

Resolución esperada: se ha resuelto este problema.

2.- XDR Automatizar Incidentes Reglas de Automatización inesperadamente deja de funcionar

Estado: problema identificado y pendiente de resolución

Detalles: las reglas de automatización de incidentes basadas en flujos de trabajo y desencadenadores dejan de ejecutarse inesperadamente. Esto no se indica en la interfaz de usuario de XDR, excepto cuando se revisan las métricas de Workflows Run Over Time. Al hacerlo, los clientes verán flujos de trabajo reducidos o nulos ejecutados, dependiendo del tiempo que el problema haya estado en curso.

Siguientes pasos: Cisco ha identificado este problema como un problema en el back-end XDR y está trabajando para resolverlo. Cisco también tiene previsto implementar funciones adicionales de supervisión y seguimiento de estado para evitar que este problema se produzca en el futuro.

Solución: deshabilite y vuelva a habilitar la regla para iniciar un reinicio de la activación y el procesamiento de la regla de flujo de trabajo.

Resolución esperada: resuelta.

3. - Cisco XDR-Analytics: error en la instalación de ONA en entornos virtuales con un error que indica "error en la verificación de la suma de comprobación"
        Estado: problema identificado y pendiente de resolución

Detalles: Al implementar un sensor ONA en un entorno virtual, la ISO no puede completar el proceso de instalación y se produce un error.

Solución alternativa: Instale el servidor Ubuntu 24.04 independientemente con la ISO de Ubuntu y consulte los pasos de la instalación avanzada para ejecutar ONA como servicio. Utilice la compatibilidad de 7.0 U2

Pasos siguientes: N/A

Resolución: Este problema se ha resuelto en la última versión del sensor ONA

4.-El cuadro MTTR del Centro de control muestra números inexactos de incidentes que se han resuelto mediante uno de los nuevos estados, como "Cerrado: "Falso positivo", "Cerrado: "Amenaza confirmada" u otra.

Estado: Problema identificado y pendiente de resolución

Detalles: El 15 de enero se introdujeron nuevos estados de incidente y el mosaico no toma en consideración esos estados. Los nuevos estados de resolución se interpretan como trabajos en curso, por lo que incluso si el incidente se ha cerrado con uno de los nuevos estados, se contabiliza como trabajo en curso.

Solución alternativa: Ninguna

Siguientes pasos: Ninguno

Resolución esperada: resuelta

Si necesita ponerse en contacto con el Soporte de Cisco, consulte las instrucciones que se proporcionan en este enlace.