Risoluzione dei problemi e abilitazione di NVM per XDR Analytics

Opzioni per il download

  • PDF     (489.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (338.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (224.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:19 marzo 2025
ID documento:222856

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come risolvere i problemi di Cisco XDR Analytics per Cisco eXtended Detection and Response (XDR) / Network Visibility Module (NVM)

    Prerequisiti

    Portale Active XDR Analytics con integrazione XDR

    Requisiti

    Esecuzione dell'account XDR Analytics con l'integrazione XDR singola

    Componenti usati

    • XDR Analytics
    • XDR
    • Sensore NVM
    • Secure Client (versione 5.0+)

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Flussi NVM di XDR Analytics

    XDR Analytics utilizza ora la telemetria NVM
    La telemetria viene generata dal componente NVM in Cisco Secure Client.

    La tecnologia NVM migliora la visibilità della rete, in particolare per quanto riguarda i comportamenti degli utenti, le comunicazioni di rete e i processi, riducendo i tempi di analisi degli incidenti e colmando le lacune nella visibilità degli endpoint

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    Flussi di dati NVM - XDR Analytics

    NVM Data Flows

    • XDR Analytics mette in correlazione gli alert nelle catene di attacchi (in precedenza, catene di avvisi)

    • L'utente può pubblicare le catene di avvisi e attacchi su XDR.

    Stato del sensore NVM

    • Verifica della creazione del sensore NVM:- Dal dashboard di XDR Analytics, passare a impostazioni > Sensori

      Sensors

    • Confermare quindi che il sensore NVM sia disponibile nell'elenco dei sensori

      Sensor Status
    warning-icon

    Avviso: Al portale di analisi XDR deve essere associato un solo tenant/organizzazione XDR.

    ID organizzazione NVM

    Stato provisioning NVM Data Lake

    Debug

    • Codici di risposta di debug:

      Codice di risposta

      Azione richiesta

      Provisioning di Data Lake completato

      Convalida dei flussi NVM tramite il Visualizzatore eventi

      Impossibile effettuare il provisioning del data lake. Nessuna organizzazione XDR rilevata

      Utilizzare l'integrazione XDR con un solo clic per collegare XDR e XDR Analytics

      Impossibile effettuare il provisioning del datalake. Rilevate più organizzazioni XDR

      Contatta TAC per assistenza
    • Se una di queste operazioni ha esito negativo, eseguire lo strumento di diagnostica e segnalazione client sicuri (DART, Secure Client Diagnostics And Reporting Tool) dall'interfaccia client sicuri per diagnosticare il problema (richiedere sempre l'esecuzione di DART come amministratore)
      Raccogli bundle DART per Secure Client

    Osservazioni e avvisi

    Allarmi NVM

    • Accedi al portale XDR Analytics
    • Impostazioni > Telemetria avvisi > Cisco NVM

    • Telemetria > Cisco NVM

      Alerts



    Alerts (contd)

    Impostazioni avviso NVM

    NVM Alerts


    Osservazioni sulla NVM

    - Attività degli endpoint sospetti
    - Portale XDR Analytics
    - Monitoraggio > Osservazioni
    - Osservazione selezionata
    - Filtra attività endpoint sospette


    ObservationsObservations (contd)

    Avvertenze di rilevamento NVM


    - NVM acquisisce solo i processi e i dati di flusso che hanno una connessione di rete associata
    - NVM è configurato per riportare i dati di flusso solo alla fine del flusso per impostazione predefinita

    Conclusioni

    Questi passaggi consentono di spostarsi all'interno di XDR Analytics per attivare Osservazioni e avvisi utilizzando le informazioni NVM e la risoluzione dei problemi del flusso di lavoro.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    19-Mar-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Rushikesh Parab
      CX Security TAC

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti