Introduction
Ce document décrit comment dépanner Cisco XDR Analytics pour Cisco XDR (Extended Detection and Response) / NVM (Network Visibility Module)
Conditions préalables
Portail Active XDR Analytics avec intégration XDR
Exigences
Exécution d'un compte XDR Analytics avec intégration XDR unique
Composants utilisés
- Analyses XDR
- XDR
- Capteur NVM
- Client sécurisé (version 5.0+)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Flux NVM XDR Analytics
XDR Analytics utilise désormais la télémétrie NVM
La télémétrie est générée par le composant NVM dans Cisco Secure Client.
NVM offre une meilleure visibilité sur le réseau, notamment sur les comportements des utilisateurs, les communications réseau et les processus, réduisant ainsi le temps d'investigation des incidents et comblant les lacunes en matière de visibilité sur les terminaux
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
Flux de données NVM - XDR Analytics

État du capteur NVM
Avertissement : Le portail XDR Analytics doit être associé à un seul locataire/organisation XDR au maximum.
ID d'organisation NVM
État du provisionnement NVM Data Lake
Débogage
- Codes de réponse de débogage :
Code réponse
|
Mesure à prendre
|
DataLake provisionné avec succès
|
Valider les flux NVM via l'Observateur d'événements
|
Impossible de mettre en service le lac de données, aucune organisation XDR détectée
|
Utilisez l'intégration XDR en un clic pour connecter XDR et XDR Analytics
|
Impossible de mettre en service le DataAlake, plusieurs organisations XDR détectées
|
Contactez le TAC pour obtenir de l'aide
|
- Si l'une de ces étapes échoue, exécutez l'outil Secure Client Diagnostics And Reporting Tool (DART) à partir de l'interface Secure Client pour diagnostiquer le problème (demandez toujours à ce que DART soit exécuté en tant qu'administrateur)
Collecter l'offre groupée DART pour client sécurisé
Observations et alertes
Alertes NVM
- Connexion au portail XDR Analytics
- Paramètres > AlertesTélémétrie > Cisco NVM
-
Télémétrie > Cisco NVM


Paramètres d'alerte NVM

Observations NVM
- Activité sur les terminaux suspects
- Portail XDR Analytics
- Surveillance > Observations
- Observation sélectionnée
- Filtrer les activités suspectes sur les terminaux


Avertissements relatifs à la détection NVM
- NVM capture uniquement les processus et les données de flux associés à une connexion réseau
- NVM est configuré par défaut pour rapporter les données de flux uniquement à la fin du flux
Conclusion
Ces étapes vous aident à naviguer dans XDR Analytics pour activer les observations et les alertes à l'aide des informations NVM et du dépannage du workflow.