Solución de problemas y habilitación de NVM para análisis XDR

Opciones de descarga

  • PDF     (490.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (338.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (224.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de marzo de 2025
ID del documento:222856

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas de Cisco XDR Analytics para Cisco eXtended Detection and Response (XDR) / Network Visibility Module (NVM)

    Prerequisites

    Portal de análisis XDR activo con integración XDR

    Requirements

    Cuenta de XDR Analytics con integración única de XDR

    Componentes Utilizados

    • Análisis XDR
    • XDR
    • Sensor NVM
    • Secure Client (Versión 5.0+)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    XDR Analytics Flujos de NVM

    XDR Analytics utiliza ahora telemetría NVM
    La telemetría la genera el componente NVM en Cisco Secure Client.

    Los NVM proporcionan una mayor visibilidad de la red, incluidos los comportamientos de los usuarios, las comunicaciones de red y los procesos, lo que reduce el tiempo de investigación de incidentes y llena las lagunas en la visibilidad de los terminales

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    Flujos de datos de NVM - XDR Analytics

    NVM Data Flows

    • El análisis XDR correlaciona las alertas con las cadenas de ataque (anteriormente, cadenas de alerta)

    • El usuario puede publicar cadenas de alertas y ataques en XDR.

    Estado del sensor NVM

    • Cómo garantizar la creación del sensor NVM: En el panel de análisis de XDR, acceda a Ajustes > Sensores

      Sensors

    • A continuación, confirme que el sensor NVM está disponible en la lista de sensores

      Sensor Status
    warning-icon

    Advertencia: El portal de análisis XDR debe tener como máximo un único arrendatario/organización XDR asociado.

    ID de organización de NVM

    Estado del aprovisionamiento de NVM Data Lake

    Depuración

    • Depuración de códigos de respuesta:

      Código de respuesta

      Acción requerida

      DataLake aprovisionado correctamente

      Validar flujos de NVM a través del visor de eventos

      No se puede aprovisionar el lago de datos, no se ha detectado ninguna organización XDR

      Utilice la integración XDR one-click para conectar análisis XDR y XDR

      No se puede aprovisionar el lago de datos, se han detectado varias organizaciones XDR

       Comuníquese con el TAC para obtener asistencia
    • Si cualquiera de estos pasos falla, ejecute la herramienta Secure Client Diagnostics And Reporting Tool (DART) desde la interfaz de Secure Client para diagnosticar el problema (solicite siempre que DART se ejecute como administrador)
      Recopile el paquete DART para Secure Client

    Observaciones y alertas

    Alertas de NVM

    • Iniciar sesión en el portal de análisis XDR
    • Configuración > AlertasTelemetría > Cisco NVM

    • Telemetría > Cisco NVM

      Alerts



    Alerts (contd)

    Configuración de alertas de NVM

    NVM Alerts


    Observaciones de NVM

    - Actividad de terminal sospechosa
    - Portal de análisis XDR
    - Supervisar > Observaciones
    - Observación seleccionada
    - Filtrar actividad de terminales sospechosos


    ObservationsObservations (contd)

    Advertencias de detección de NVM


    - El NVM sólo captura procesos y flujos de datos que tienen una conexión de red asociada
    - El sistema NVM está configurado de forma predeterminada para informar de flujos de datos sólo al final del flujo

    Conclusión

    Estos pasos le ayudarán a navegar por XDR Analytics para habilitar las observaciones y alertas con información de NVM y solucionar problemas del flujo de trabajo.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    19-Mar-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Rushikesh Parab
      CX Security TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos