Introducción
Este documento describe cómo resolver problemas de Cisco XDR Analytics para Cisco eXtended Detection and Response (XDR) / Network Visibility Module (NVM)
Prerequisites
Portal de análisis XDR activo con integración XDR
Requirements
Cuenta de XDR Analytics con integración única de XDR
Componentes Utilizados
- Análisis XDR
- XDR
- Sensor NVM
- Secure Client (Versión 5.0+)
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
XDR Analytics Flujos de NVM
XDR Analytics utiliza ahora telemetría NVM
La telemetría la genera el componente NVM en Cisco Secure Client.
Los NVM proporcionan una mayor visibilidad de la red, incluidos los comportamientos de los usuarios, las comunicaciones de red y los procesos, lo que reduce el tiempo de investigación de incidentes y llena las lagunas en la visibilidad de los terminales
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
Flujos de datos de NVM - XDR Analytics

Estado del sensor NVM
Advertencia: El portal de análisis XDR debe tener como máximo un único arrendatario/organización XDR asociado.
ID de organización de NVM
Estado del aprovisionamiento de NVM Data Lake
Depuración
- Depuración de códigos de respuesta:
Código de respuesta
|
Acción requerida
|
DataLake aprovisionado correctamente
|
Validar flujos de NVM a través del visor de eventos
|
No se puede aprovisionar el lago de datos, no se ha detectado ninguna organización XDR
|
Utilice la integración XDR one-click para conectar análisis XDR y XDR
|
No se puede aprovisionar el lago de datos, se han detectado varias organizaciones XDR
|
Comuníquese con el TAC para obtener asistencia
|
- Si cualquiera de estos pasos falla, ejecute la herramienta Secure Client Diagnostics And Reporting Tool (DART) desde la interfaz de Secure Client para diagnosticar el problema (solicite siempre que DART se ejecute como administrador)
Recopile el paquete DART para Secure Client
Observaciones y alertas
Alertas de NVM
- Iniciar sesión en el portal de análisis XDR
- Configuración > AlertasTelemetría > Cisco NVM
-
Telemetría > Cisco NVM


Configuración de alertas de NVM

Observaciones de NVM
- Actividad de terminal sospechosa
- Portal de análisis XDR
- Supervisar > Observaciones
- Observación seleccionada
- Filtrar actividad de terminales sospechosos


Advertencias de detección de NVM
- El NVM sólo captura procesos y flujos de datos que tienen una conexión de red asociada
- El sistema NVM está configurado de forma predeterminada para informar de flujos de datos sólo al final del flujo
Conclusión
Estos pasos le ayudarán a navegar por XDR Analytics para habilitar las observaciones y alertas con información de NVM y solucionar problemas del flujo de trabajo.