Dépannage et activation de NVM pour XDR Analytics

Options de téléchargement

  • PDF     (489.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (336.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (223.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:19 mars 2025
ID du document:222856

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment dépanner Cisco XDR Analytics pour Cisco XDR (Extended Detection and Response) / NVM (Network Visibility Module)

    Conditions préalables

    Portail Active XDR Analytics avec intégration XDR

    Exigences

    Exécution d'un compte XDR Analytics avec intégration XDR unique

    Composants utilisés

    • Analyses XDR
    • XDR
    • Capteur NVM
    • Client sécurisé (version 5.0+)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Flux NVM XDR Analytics

    XDR Analytics utilise désormais la télémétrie NVM
    La télémétrie est générée par le composant NVM dans Cisco Secure Client.

    NVM offre une meilleure visibilité sur le réseau, notamment sur les comportements des utilisateurs, les communications réseau et les processus, réduisant ainsi le temps d'investigation des incidents et comblant les lacunes en matière de visibilité sur les terminaux

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    Flux de données NVM - XDR Analytics

    NVM Data Flows

    • XDR Analytics met en corrélation les alertes avec les chaînes d'attaque (anciennement Chaînes d'alerte)

    • L'utilisateur peut publier des chaînes d'alerte et d'attaque sur XDR.

    État du capteur NVM

    • Vérification de la création du capteur NVM :- Dans le tableau de bord XDR Analytics, accédez à settings > Sensors

      Sensors

    • Vérifiez ensuite que le capteur NVM est disponible dans la liste des capteurs

      Sensor Status
    warning-icon

    Avertissement : Le portail XDR Analytics doit être associé à un seul locataire/organisation XDR au maximum.

    ID d'organisation NVM

    État du provisionnement NVM Data Lake

    Débogage

    • Codes de réponse de débogage :

      Code réponse

      Mesure à prendre

      DataLake provisionné avec succès

      Valider les flux NVM via l'Observateur d'événements

      Impossible de mettre en service le lac de données, aucune organisation XDR détectée

      Utilisez l'intégration XDR en un clic pour connecter XDR et XDR Analytics

      Impossible de mettre en service le DataAlake, plusieurs organisations XDR détectées

      Contactez le TAC pour obtenir de l'aide
    • Si l'une de ces étapes échoue, exécutez l'outil Secure Client Diagnostics And Reporting Tool (DART) à partir de l'interface Secure Client pour diagnostiquer le problème (demandez toujours à ce que DART soit exécuté en tant qu'administrateur)
      Collecter l'offre groupée DART pour client sécurisé

    Observations et alertes

    Alertes NVM

    • Connexion au portail XDR Analytics
    • Paramètres > AlertesTélémétrie > Cisco NVM

    • Télémétrie > Cisco NVM

      Alerts



    Alerts (contd)

    Paramètres d'alerte NVM

    NVM Alerts


    Observations NVM

    - Activité sur les terminaux suspects
    - Portail XDR Analytics
    - Surveillance > Observations
    - Observation sélectionnée
    - Filtrer les activités suspectes sur les terminaux


    ObservationsObservations (contd)

    Avertissements relatifs à la détection NVM


    - NVM capture uniquement les processus et les données de flux associés à une connexion réseau
    - NVM est configuré par défaut pour rapporter les données de flux uniquement à la fin du flux

    Conclusion

    Ces étapes vous aident à naviguer dans XDR Analytics pour activer les observations et les alertes à l'aide des informations NVM et du dépannage du workflow.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    19-Mar-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Rushikesh Parab
      TAC de sécurité CX

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits