XDR 분석에 대한 NVM 트러블슈팅 및 활성화

다운로드 옵션

  • PDF     (522.4 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (333.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (219.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 3월 19일
문서 ID:222856

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Cisco XDR Analytics for Cisco eExtended Detection and Response (XDR) / Network Visibility Module (NVM) 문제를 해결하는 방법에 대해 설명합니다

    사전 요구 사항

    XDR 통합이 포함된 활성 XDR 분석 포털

    요구 사항

    단일 XDR 통합으로 XDR 분석 계정 실행

    사용되는 구성 요소

    • XDR 분석
    • XDR
    • NVM 센서
    • Secure Client(버전 5.0 이상)

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    XDR 분석 NVM 흐름

    XDR 분석에서 NVM 원격 분석 사용
    텔레메트리는 Cisco Secure Client의 NVM 구성 요소에 의해 생성됩니다.

    NVM은 사용자 행동, 네트워크 통신, 프로세스를 포함한 향상된 네트워크 가시성을 제공하여 인시던트 조사 시간을 줄이고 엔드포인트 가시성의 공백을 채웁니다

    https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm


    NVM 데이터 흐름 - XDR 분석

    NVM Data Flows

    • XDR Analytics는 알림을 공격 체인(이전의 알림 체인)과 연결

    • 사용자는 경고 및 공격 체인을 XDR에 게시할 수 있습니다.

    NVM 센서 상태

    • NVM 센서 생성 확인:- XDR 분석 대시보드에서 settings(설정) > Sensors(센서)로 이동합니다.

      Sensors

    • 그런 다음 NVM 센서를 센서 목록에서 사용할 수 있는지 확인합니다

      Sensor Status
    warning-icon

    경고: XDR 분석 포털에는 최대 하나의 XDR 테넌트/조직이 연결되어 있어야 합니다.

    NVM 조직 ID

    NVM Data Lake 프로비저닝 상태

    • 데이터 레이크가 제대로 온보딩되었는지 확인하기 위한 API 엔드포인트는 다음 API 엔드포인트를 사용하여 연결을 확인할 수 있습니다.https://XDR Analytics_Portal_URL/api/v3/integrations/securex/orgs/onboard_datake/

      Data Lake Provisioning

    • 포털을 통해 액세스 권한을 부여받은 모든 사용자가 이러한 엔드포인트(포털 관리자, TAC, 엔지니어링)에 도달할 수 있습니다.

    디버깅

    • 디버깅 응답 코드:

      응답 코드

      필요한 조치

      DataLake가 프로비전되었습니다.

      이벤트 뷰어를 통해 NVM 흐름 검증

      데이터 레이크를 프로비전할 수 없습니다. XDR 조직이 검색되지 않았습니다.

      XDR 원클릭 통합을 사용하여 XDR 및 XDR 분석을 연결합니다

      데이터 팩을 프로비전할 수 없습니다. 여러 XDR 조직에서

        TAC에 지원을 요청하세요
    • 이 단계 중 하나라도 실패할 경우 Secure Client 인터페이스에서 DART(Secure Client Diagnostics And Reporting Tool)를 실행하여 문제를 진단합니다(항상 DART가 관리자로 실행되도록 요청)
      Secure Client용 DART 번들 수집

    관찰 및 알림

    NVM 경고

    • XDR 분석 포털에 로그인
    • Settings(설정) > Alerts(알림)Telemetry(원격 분석) > Cisco NVM

    • 텔레메트리 > Cisco NVM

      Alerts



    Alerts (contd)

    NVM 경고 설정

    NVM Alerts


    NVM 관찰

    - 의심스러운 엔드포인트 활동
    - XDR 분석 포털
    - Monitor(모니터링) > Observations(관찰)
    - 선택한 관찰
    - 의심스러운 엔드포인트 활동 필터링


    ObservationsObservations (contd)

    NVM 탐지 주의 사항


    - NVM은 연결된 네트워크 연결이 있는 프로세스 및 플로우 데이터만 캡처합니다.
    - NVM은 기본적으로 흐름 종료 시에만 흐름 데이터를 보고하도록 구성됨

    결론

    이 단계에서는 NVM 정보를 사용한 관찰 및 알림을 활성화하고 워크플로 문제를 해결하기 위해 XDR 분석을 탐색하는 데 도움이 됩니다.

    개정 이력

    개정 게시 날짜 의견
    1.0
    19-Mar-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 루시케시 파라브
      CX 보안 TAC

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품