Introduzione
Questo documento descrive come risolvere i problemi di Cisco XDR Analytics per Cisco eXtended Detection and Response (XDR) / Network Visibility Module (NVM)
Prerequisiti
Portale Active XDR Analytics con integrazione XDR
Requisiti
Esecuzione dell'account XDR Analytics con l'integrazione XDR singola
Componenti usati
- XDR Analytics
- XDR
- Sensore NVM
- Secure Client (versione 5.0+)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Flussi NVM di XDR Analytics
XDR Analytics utilizza ora la telemetria NVM
La telemetria viene generata dal componente NVM in Cisco Secure Client.
La tecnologia NVM migliora la visibilità della rete, in particolare per quanto riguarda i comportamenti degli utenti, le comunicazioni di rete e i processi, riducendo i tempi di analisi degli incidenti e colmando le lacune nella visibilità degli endpoint
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
Flussi di dati NVM - XDR Analytics

Stato del sensore NVM
Avviso: Al portale di analisi XDR deve essere associato un solo tenant/organizzazione XDR.
ID organizzazione NVM
Stato provisioning NVM Data Lake
Debug
- Codici di risposta di debug:
Codice di risposta
|
Azione richiesta
|
Provisioning di Data Lake completato
|
Convalida dei flussi NVM tramite il Visualizzatore eventi
|
Impossibile effettuare il provisioning del data lake. Nessuna organizzazione XDR rilevata
|
Utilizzare l'integrazione XDR con un solo clic per collegare XDR e XDR Analytics
|
Impossibile effettuare il provisioning del datalake. Rilevate più organizzazioni XDR
|
Contatta TAC per assistenza
|
- Se una di queste operazioni ha esito negativo, eseguire lo strumento di diagnostica e segnalazione client sicuri (DART, Secure Client Diagnostics And Reporting Tool) dall'interfaccia client sicuri per diagnosticare il problema (richiedere sempre l'esecuzione di DART come amministratore)
Raccogli bundle DART per Secure Client
Osservazioni e avvisi
Allarmi NVM
- Accedi al portale XDR Analytics
- Impostazioni > Telemetria avvisi > Cisco NVM
-
Telemetria > Cisco NVM


Impostazioni avviso NVM

Osservazioni sulla NVM
- Attività degli endpoint sospetti
- Portale XDR Analytics
- Monitoraggio > Osservazioni
- Osservazione selezionata
- Filtra attività endpoint sospette


Avvertenze di rilevamento NVM
- NVM acquisisce solo i processi e i dati di flusso che hanno una connessione di rete associata
- NVM è configurato per riportare i dati di flusso solo alla fine del flusso per impostazione predefinita
Conclusioni
Questi passaggi consentono di spostarsi all'interno di XDR Analytics per attivare Osservazioni e avvisi utilizzando le informazioni NVM e la risoluzione dei problemi del flusso di lavoro.