はじめに
このドキュメントでは、Cisco eXtended Detection and Response(XDR)/Network Visibility Module(NVM)のCisco XDR Analyticsをトラブルシューティングする方法について説明します。
前提条件
XDR統合を備えたアクティブなXDR分析ポータル
要件
単一のXDR統合でのXDR Analyticsアカウントの実行
使用するコンポーネント
- XDR分析
- XDR
- NVMセンサー
- セキュアクライアント(バージョン5.0+)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
XDR分析NVMフロー
XDR分析がNVMテレメトリを消費
テレメトリは、Cisco Secure ClientのNVMコンポーネントによって生成されます。
NVMは、ユーザの動作、ネットワーク通信、プロセスを含むネットワークの可視性を強化し、インシデント調査の時間を短縮してエンドポイントの可視性のギャップを埋めます
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
NVMデータフロー – XDR分析

NVMセンサーステータス
警告: XDR分析ポータルには、最大1つのXDRテナント/組織が関連付けられている必要があります。
NVM組織ID
NVM Data Lakeプロビジョニングステータス
デバッグ
- デバッグ応答コード:
応答コード
|
アクションが必要
|
DataLakeが正常にプロビジョニングされました
|
イベントビューアによるNVMフローの検証
|
データレイクをプロビジョニングできません。XDR組織が検出されませんでした
|
XDRとXDR Analyticsを接続するには、XDRワンクリック統合を使用します
|
データレイクをプロビジョニングできません。複数のXDR組織が検出されました
|
TACに問い合せる
|
- これらの手順のいずれかが失敗した場合、セキュアクライアントインターフェイスからセキュアクライアント診断およびレポートツール(DART)を実行して問題を診断します(常に管理者としてDARTの実行を要求します)
セキュアクライアントのDARTバンドルの収集
観察とアラート
NVMアラート
- XDR Analyticsポータルにログインします。
- 設定>アラートテレメトリ> Cisco NVM
-
テレメトリ> Cisco NVM


NVMアラート設定

NVMの観察
– 不審なエンドポイントのアクティビティ
- XDR分析ポータル
- [モニタ] > [観測]
– 選択された観察
– 疑わしいエンドポイントアクティビティのフィルタリング


NVMの検出に関する注意事項
- NVMは、関連するネットワーク接続があるプロセスとフローデータのみをキャプチャします。
- NVMは、デフォルトではフローの最後でのみフローデータを報告するように設定されています
結論
これらの手順は、XDR分析をナビゲートして、NVM情報を使用した観察とアラートを有効にし、ワークフローをトラブルシューティングするのに役立ちます。