XDR分析用NVMのトラブルシューティングと有効化

ダウンロード オプション

  • PDF     (577.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (334.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (221.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2025 年 3 月 19 日
Document ID:222856

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco eXtended Detection and Response(XDR)/Network Visibility Module(NVM)のCisco XDR Analyticsをトラブルシューティングする方法について説明します。

    前提条件

    XDR統合を備えたアクティブなXDR分析ポータル

    要件

    単一のXDR統合でのXDR Analyticsアカウントの実行

    使用するコンポーネント

    • XDR分析
    • XDR
    • NVMセンサー
    • セキュアクライアント(バージョン5.0+)

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    XDR分析NVMフロー

    XDR分析がNVMテレメトリを消費
    テレメトリは、Cisco Secure ClientのNVMコンポーネントによって生成されます。

    NVMは、ユーザの動作、ネットワーク通信、プロセスを含むネットワークの可視性を強化し、インシデント調査の時間を短縮してエンドポイントの可視性のギャップを埋めます

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    NVMデータフロー – XDR分析

    NVM Data Flows

    • XDR Analyticsは、アラートを攻撃チェーン(以前のアラートチェーン)に相関させます。

    • ユーザはXDRにアラートと攻撃チェーンを公開できます。

    NVMセンサーステータス

    • NVMセンサーが作成されたことを確認します。- XDR Analyticsダッシュボードから、設定>センサーに移動します。

      Sensors

    • 次に、NVMセンサーがセンサーリストで使用可能であることを確認します

      Sensor Status
    warning-icon

    警告: XDR分析ポータルには、最大1つのXDRテナント/組織が関連付けられている必要があります。

    NVM組織ID

    NVM Data Lakeプロビジョニングステータス

    • データレイクが適切にオンボーディングされていることを確認するためのAPIエンドポイントでは、次のAPIエンドポイントを使用して関連付けを確認できます。https://XDR Analytics_Portal_URL/api/v3/integrations/securex/orgs/onboard_datalake/

      Data Lake Provisioning

    • ポータルを通じてアクセス権が付与されたすべてのユーザは、これらのエンドポイント(ポータル管理者、TAC、エンジニアリング)にアクセスできます。

    デバッグ

    • デバッグ応答コード:

      応答コード

      アクションが必要

      DataLakeが正常にプロビジョニングされました

      イベントビューアによるNVMフローの検証

      データレイクをプロビジョニングできません。XDR組織が検出されませんでした

      XDRとXDR Analyticsを接続するには、XDRワンクリック統合を使用します

      データレイクをプロビジョニングできません。複数のXDR組織が検出されました

      TACに問い合せる
    • これらの手順のいずれかが失敗した場合、セキュアクライアントインターフェイスからセキュアクライアント診断およびレポートツール(DART)を実行して問題を診断します(常に管理者としてDARTの実行を要求します)
      セキュアクライアントのDARTバンドルの収集

    観察とアラート

    NVMアラート

    • XDR Analyticsポータルにログインします。
    • 設定>アラートテレメトリ> Cisco NVM

    • テレメトリ> Cisco NVM

      Alerts



    Alerts (contd)

    NVMアラート設定

    NVM Alerts


    NVMの観察

    – 不審なエンドポイントのアクティビティ
    - XDR分析ポータル
    - [モニタ] > [観測]
    – 選択された観察
    – 疑わしいエンドポイントアクティビティのフィルタリング


    ObservationsObservations (contd)

    NVMの検出に関する注意事項


    - NVMは、関連するネットワーク接続があるプロセスとフローデータのみをキャプチャします。
    - NVMは、デフォルトではフローの最後でのみフローデータを報告するように設定されています

    結論

    これらの手順は、XDR分析をナビゲートして、NVM情報を使用した観察とアラートを有効にし、ワークフローをトラブルシューティングするのに役立ちます。

    更新履歴

    改定 発行日 コメント
    1.0
    19-Mar-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    • ルシケシュ・パラブ
      CXセキュリティTAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています