Inleiding
In dit document wordt beschreven hoe u problemen kunt oplossen met Cisco XDR Analytics voor Cisco Extended Detection and Response (XDR) / Network Visibility Module (NVM)
Voorwaarden
Actieve XDR Analytics portal met XDR integratie
Vereisten
XDR Analytics-account uitvoeren met één XDR-integratie
Gebruikte componenten
- XDR Analytics
- XDR
- NVM-sensor
- Beveiligde client (versie 5.0+)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
XDR Analytics NVM-stromen
XDR Analytics gebruikt nu NVM-telemetrie
De telemetrie wordt gegenereerd door de NVM-component in Cisco Secure Client.
NVM biedt verbeterde netwerkzichtbaarheid, inclusief gebruikersgedrag, netwerkcommunicatie en processen, waardoor de onderzoekstijd voor incidenten wordt verkort en hiaten in de zichtbaarheid van eindpunten worden opgevuld
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
NVM-gegevensstromen – XDR Analytics

NVM-sensorstatus
Waarschuwing: XDR Analytics Portal moet maximaal één XDR-huurder/organisatie hebben die eraan is gekoppeld.
NVM Org-ID
NVM Data Lake Provisioning Status
foutopsporing
- Foutopsporingscodes:
antwoordcode
|
Actie vereist
|
DataLake succesvol geleverd
|
NVM-stromen valideren via Event Viewer
|
Kan geen datameer leveren, geen XDR-organisatie gevonden
|
Gebruik de XDR-integratie met één klik om XDR en XDR Analytics te verbinden
|
Kan geen datalake leveren, meerdere XDR-organisaties gedetecteerd
|
Contact opnemen met TAC voor hulp
|
- Als een van deze stappen mislukt, voert u de Secure Client Diagnostics and Reporting Tool (DART) uit vanuit de Secure Client-interface om het probleem te diagnosticeren (vraag DART altijd als beheerder uit te voeren)
Verzamel DART-bundel voor beveiligde client
Opmerkingen en waarschuwingen
NVM-waarschuwingen
- Meld u aan bij het XDR Analytics portal
- Instellingen > AlertsTelemetry > Cisco NVM
-
Telemetrie > Cisco NVM


Instellingen voor NVM-waarschuwing

NVM-waarnemingen
– verdachte eindpuntactiviteit
- XDR Analytics-portal
- Monitor > Waarnemingen
- Geselecteerde waarneming
- Verdachte eindpuntactiviteit filteren


NVM-detectiewaarschuwingen
- NVM registreert alleen processen en stroomgegevens die een gekoppelde netwerkverbinding hebben
- NVM is standaard geconfigureerd om stroomgegevens alleen aan het einde van de stroom te rapporteren
Conclusie
Deze stappen helpen u bij het navigeren door XDR Analytics om Waarnemingen en waarschuwingen in te schakelen met behulp van NVM-informatie en het oplossen van problemen in de werkstroom.