Problemas conhecidos do Cisco XDR

Introdução

Este artigo documenta problemas técnicos conhecidos atualmente para o Cisco XDR.

Problemas técnicos podem ser reconhecidos pela Cisco, estão sob revisão, pendentes de resolução ou podem ser considerados como funcionando conforme esperado.

Problemas conhecidos

Incidentes

Não há problemas conhecidos para esta funcionalidade XDR no momento.

Exames complementares de diagnóstico

Não há problemas conhecidos para esta funcionalidade XDR no momento.

Centro de controle

Não há problemas conhecidos para esta funcionalidade XDR no momento.

Integrações da Cisco

1. Cisco XDR - Integração total do Cisco Secure Firewall

Detalhes: Para garantir a integração perfeita entre o Cisco Defense Orchestrator (CDO), o Security Services Exchange (SSX) e o Security Analytics and Logging (SAL), é necessário o mapeamento manual. Esse processo envolve entrar em contato com o Cisco TAC para executar as configurações e os mapeamentos necessários.

Solução alternativa: entre em contato com o TAC para ajudar a vincular as contas relevantes e garantir a integração adequada dos sistemas.

Resolução esperada: TBD

Inteligência de identidade da Cisco

1. Um pequeno número de clientes tem módulos duplicados do Cisco Identity Intelligence

Status:Problema identificado e resolução pendente

Detalhes:alguns clientes foram acidentalmente provisionados em um segundo módulo quando o Cisco Identity Intelligence foi trazido para o produto XDR. Agora, os clientes afetados mostrarão fontes duplicadas de CII no Asset Insights e alvos duplicados de automação de CII.

Solução alternativa:N/D

Próximas etapas: investigação de causas/solução pela engenharia

Resolução: A correção para a criação de duplicatas será liberada na versão 2.57. Uma correção para as duplicatas existentes está sendo investigada.

Integrações com terceiros

1. Valor de provedor de nuvem ausente para fluxos OCI no Visualizador de eventos XDR-A

Status:Problema identificado e resolução pendente

Detalhes:A coluna do provedor de nuvem no Visualizador de Eventos XDR-A está atualmente em branco para fluxos ingeridos do OCI. 

Solução alternativa:os usuários ainda podem filtrar esses fluxos digitando manualmente "OCI" no filtro de tabela.

Próximas etapas: a Cisco está trabalhando na implementação de uma correção para este problema.

Resolução: fevereiro de 2026

Ativos

Não há problemas conhecidos para esta funcionalidade XDR no momento.

XDR automatizado

Não há problemas conhecidos para esta funcionalidade XDR no momento.

Dispositivos/Sensores

Não há problemas conhecidos para esta funcionalidade XDR no momento.

Cliente seguro

Para consultar os problemas do Secure Client, consulte o artigo.

Computação Forense XDR

1.- Executando ações de computação forense XDR quando o ativo no Incidente XDR não foi resolvido, mas o módulo Forensics está instalado

Status:Sob investigação

Detalhes:A computação forense XDR depende dos ativos a serem resolvidos em um incidente XDR antes que as ações forenses possam ser executadas em um ativo a partir de uma guia Evidência do incidente. Se o Cisco XDR não puder resolver um ativo em um incidente XDR, isso impedirá que a computação forense XDR de aquisição de evidência esteja disponível a partir do Incidente.

Solução alternativa:Gire do console Cisco XDR para a computação forense XDR para executar a ação forense.No menu de navegação à esquerda do Cisco XDR, clique em Investigar > Forensics

Em XDR Forensics, clique em Ativos no menu de navegação à esquerda, selecione o ativo apropriado e adquira evidências e/ou a ação desejada.Selecione o caso apropriado no menu suspenso para que ele seja automaticamente associado ao incidente XDR.

Próximas etapas: a definir

Resolução: a definir

Acompanhamento de CDETS:ID de bug da Cisco CSCwr69610

2.- As operações de computação forense XDR podem ser bloqueadas pelo Cisco Secure Endpoint ou por outra ação de resposta de isolamento de endpoint da solução de segurança de endpoint.

Status:Sob investigação

Detalhes:A computação forense XDR pode ser bloqueada pela aplicação de isolamento do Cisco Secure Endpoint, EDR ou outra ferramenta de segurança de endpoint.Certifique-se de que as exclusões apropriadas e as listas de permissões para XDR Forensics estejam configuradas para a ferramenta de segurança de ponto final.

Solução:

(Exemplo baseado no recurso de isolamento do Cisco Secure Endpoint, mas se aplica geralmente a outros softwares de segurança de endpoint)

Obter os endereços IP

· Executar um nslookup/dig da url do locatário do XDR Forensics (pode ser obtido deslocando-se para o XDR Forensics e copiando a URL do navegador (remova o https e tudo, da primeira barra até o final)

· Anote todos os endereços IP

Adicionar uma Lista de Permissões de IP de Isolamento

· No produto de segurança de endpoint, por exemplo - Cisco Secure Endpoint, navegue para Controle de epidemia > Bloqueio de IP e Listas de Permissões

· Selecione a guia para Isolation IP Allow lists (Listas de IP de isolamento permitidas). Se já tiver uma, você pode atualizá-la; caso contrário, use o botão "Criar lista de IPs" para adicionar uma nova

· Dê um nome e uma descrição e adicione os IPs da etapa anterior

· Salvar a lista

Adicionar Lista de Permissões à Política

· Navegue até Gerenciamento do Cisco Secure Endpoint > Políticas

· Escolha a política que deseja atualizar e clique para editar

· Navegue até Advanced Settings > Endpoint Isolation (Configurações avançadas > Isolamento de endpoint)

· (Se necessário) Marque a caixa de seleção Permitir isolamento de endpoint

· Em Isolation IP Allow Lists (Listas de IP de Isolamento Permitidos), escolha a(s) lista(s) que deseja incluir

•Clique em Salvar

Próximas etapas: a definir

Resolução: a definir

Acompanhamento de CDETS: ID de bug da Cisco CSCwr69614

3. - Modificar as permissões de função padrão no XDR Forensics pode causar erros não intuitivos no incidente XDR e na integração do XDR Forensics para usuários.

Status:Sob investigação

Detalhes:No XDR Versão 2.5.6 (Lançado em 12-17-2025), os administradores globais do XDR Forensics agora podem modificar as permissões da função de usuário no XDR Forensics para um controle mais granular. No entanto, a modificação de permissões relacionadas à aquisição do núcleo, shell remoto InterACT e funções de caso resultarão em erros de permissões na integração entre Incidente XDR e XDR Forensics. Por exemplo, um usuário com uma função modificada para remover a permissão de shell remoto ainda verá a opção de ação de shell remoto na interface de usuário XDR, mas será impedido de estabelecer a sessão de shell remoto. Embora documentado nas notas de versão do XDR Forensics, esse erro devido à restrição de permissões pode não ser intuitivo para um usuário no console XDR.

Solução alternativa:os administradores globais do XDR Forensic devem validar as permissões modificadas com a funcionalidade de função de usuário pretendida antes da implementação.

Próximas etapas: a definir

Resolução: a definir

XDR-Analytics

1. - Vários endereços IP e/ou vários nomes de host podem ser associados a um único nome de dispositivo no XDR-A

Status: Não Resolvido/Adiado

Detalhes: Vários endereços IP ativos podem ser associados a um único dispositivo dentro do portal SNA/XDR-A. Isso pode incluir dispositivos NVM e não NVM. Alguns dispositivos também têm vários nomes de host. Com base na implementação atual, o registro de dispositivos pode fazer com que um dispositivo tenha mais de um endereço IP (local). Alguns desses endereços IP podem ser da rede doméstica do usuário e podem colidir com os endereços IP na rede da organização.

Solução alternativa: não há solução alternativa para esse problema no momento e o problema ainda existe na arquitetura atual. Há esperanças de que este problema possa ser melhor tratado no futuro, uma vez que a nova arquitetura é implementada, o que permitirá que as atividades de rede de ambas as fontes ONA e NVM sejam normalizadas para OCSF e reunidas. Também houve atualizações para a expiração de dispositivos IP que são vistas como associadas a um novo nome de host para acelerar a expiração.

Próximas etapas: N/A

Resolução: Futuro / a ser definido

CDETs de Acompanhamento: ID de bug da Cisco CSCwo67299

Orbital

1. Limitação de implantação para clientes essenciais de Secure Endpoint

Status: Problema identificado e resolução pendente

Detalhes: Nas guias Admin > Integrações, o link "Habilitar" do ponto de extremidade seguro está quebrado. Quando pressionamos o botão enable, ele é redirecionado para a página Threat Response (Resposta a ameaças) e faz o loop para a página do seletor XDR org em vez de ir para o Secure Endpoint Console.

Solução: A integração pode ser realizada no Cisco Secure Endpoint Portal

Próximas etapas: A Cisco está trabalhando para implementar a correção para esse problema

Resolução esperada: a ser definida

Problemas Resolvidos

1.- Cisco XDR - O link de integração do Cisco Secure Endpoint não está funcionando no Cisco XDR Portal

Status: Problema identificado e resolução pendente

Detalhes: Clientes XDR de qualquer camada que também tenham Secure Endpoint Essentials podem ser impedidos de instalar o Orbital, já que o conector Secure Endpoint desabilitará ativamente o Orbital. Para resolver esse conflito, entre em contato com o TAC.

Solução alternativa: N/D

Próximas etapas: A Cisco está trabalhando para implementar a correção para esse problema

Resolução esperada: esse problema foi resolvido.

2.- As regras de automação de incidentes do XDR param inesperadamente de funcionar

Status: Problema identificado e resolução pendente

Detalhes: Regras de automação de incidentes ativadas por fluxos de trabalho e acionadores param inesperadamente de funcionar. Isso não é indicado na interface de usuário do XDR, exceto ao revisar as métricas de Workflows Run Over Time (Fluxos de trabalho executados ao longo do tempo). Ao fazer isso, os clientes verão fluxos de trabalho reduzidos ou zero serem executados, dependendo de quanto tempo o problema está ocorrendo.

Próximas etapas: a Cisco identificou isso como um problema dentro do backend XDR e está trabalhando para resolvê-lo. A Cisco também planeja implementar recursos adicionais de monitoramento e rastreamento de estado para evitar que esse problema ocorra no futuro.

Solução alternativa: desative e reative a regra para iniciar uma reinicialização do disparo e processamento da regra de fluxo de trabalho.

Resolução Esperada: Resolvida.

3. - Cisco XDR-Analytics - falha na instalação do ONA em ambientes virtuais com um erro indicando "falha na verificação da soma de verificação"
        Status: Problema identificado e resolução pendente

Detalhes: Ao implantar um sensor ONA em um ambiente virtual, o ISO falha ao concluir o processo de instalação e elimina erros.

Solução: Instale o Ubuntu Server 24.04 independentemente com o ISO do Ubuntu e consulte as etapas de instalação avançada para executar o ONA como serviço. Use a compatibilidade 7.0 U2

Próximas etapas: N/A

Resolução: Esse problema foi resolvido na compilação mais recente do sensor ONA

O bloco 4.-MTTR no Centro de controle mostra números imprecisos de incidentes que foram resolvidos usando um dos novos estados, como "Fechado: Falso Positivo", "Fechado: Confirmed Threat" (Ameaça confirmada) ou outra.

Status: Problema identificado e resolução pendente

Detalhes: Novos estados de incidente foram introduzidos em 15 de janeiro e o bloco não leva esses estados em consideração. Os novos estados de resolução são interpretados como trabalhos em andamento, portanto, mesmo que o incidente tenha sido encerrado usando um dos novos estados, ele é contabilizado como trabalho em andamento.

Solução alternativa: nenhuma

Próximas etapas: Nenhum

Resolução Esperada: Resolvida

Se precisar entrar em contato com o Suporte da Cisco, consulte as instruções fornecidas neste link.