简介
本文记录当前已知的Cisco XDR技术问题。
技术问题可由思科确认、正在审核、待解决或视为按预期工作。
已知问题:
事件
此XDR功能目前没有已知问题。
调查
此XDR功能目前没有已知问题。
控制中心
此XDR功能目前没有已知问题。
思科集成
1. Cisco XDR — 思科安全防火墙完全集成
详细信息:为了确保思科防御协调器(CDO)、安全服务交换(SSX)和安全分析和记录(SAL)之间的无缝集成,需要手动映射。此过程涉及联系思科TAC以执行必要的配置和映射。
解决方法:联系TAC,以协助关联相关客户并确保系统的正确集成。
预期分辨率:待定
第三方集成
1. — 具有G类型许可证的Microsoft客户无法使用XDR Microsoft集成。
状态:按设计工作
详细信息:Microsoft G类型授权仅在受控环境中为政府实体调配访问权限。
后续步骤:思科正在与Microsoft合作,以了解与提供Microsoft G类型授权的Microsoft GCC环境集成的要求。如果可行,思科XDR计划与Microsoft G类型许可证集成,用于Microsoft Defender for Endpoint、O365和EntraID。
预期解决方案:已解决,集成在此处可以实现。
资产
此XDR功能目前没有已知问题。
XDR自动化
此XDR功能目前没有已知问题。
设备/传感器
此XDR功能目前没有已知问题。
安全客户端
要查阅有关安全客户端的问题,请遵循文章。
XDR — 分析
1. — 多个IP地址和/或多个主机名可以与XDR-A中的单个设备名称关联
状态:未解决/已推迟
详细信息:多个活动IP地址可以与SNA/XDR-A门户中的单个设备关联。这可以包括NVM和非NVM设备。某些设备也具有多个主机名。根据当前实施,设备注册可能导致设备具有多个IP地址(位置)。 其中一些IP地址可能来自用户的家庭网络,并且可能与组织网络中的IP地址冲突。
解决方案:目前没有解决此问题的方法,该问题在当前架构中仍然存在。人们希望,一旦实施新架构,将来这一问题可能会得到更好的解决,新架构将允许来自ONA和NVM的网络活动规范化为OCSF,并集中在一起。
后续方案不适用
解决方案:未来/待定
跟踪CDET:CSCwo67299 
已解决的问题
1. — 思科XDR — 思科安全终端集成链接在思科XDR门户上不起作用
状态:问题已识别且待解决
详细信息:在Admin > Integrations选项卡中,安全终端“启用”链接断开。点击enable按钮后,它会重定向到Threat Response页面,并循环到XDR组织选择器页面,而不是转到安全终端控制台。
解决方法:可以从思科安全终端门户执行集成
后续方案思科正在努力实施此问题的修复程序
预期解决方案:此问题已解决。
2.- XDR自动事件自动化规则意外停止运行
状态:已确定问题和待解决问题
详细信息:由工作流程支持的事件自动化规则和触发器意外停止运行。在XDR用户界面中不会指明,除非查看随时间推移而运行的工作流的指标。执行此操作时,客户将看到工作流运行减少或为零,具体取决于问题持续的时间长短。
后续步骤:思科已将此问题确定为XDR后端中的一个问题,并正在设法解决该问题。思科还计划实施其他监控和状态跟踪功能,以避免将来发生此问题。
解决方法:禁用并重新启用规则以启动工作流规则触发和处理的重新启动。
预期分辨率:已解决。
3.- Cisco XDR-Analytics — 虚拟环境中的ONA安装失败,错误表示“校验和验证失败”
状态:已确定问题和待解决问题
详细信息:在虚拟环境中部署ONA传感器时,ISO无法完成安装过程并发生错误。
解决方法:使用Ubuntu ISO独立安装Ubuntu Server 24.04,并遵循advanced install步骤运行ONA as a service。使用7.0 U2兼容性
后续方案不适用
分辨率:此问题已在最新版本的ONA传感器中解决
4. — 控制中心上的MTTR图块显示已使用一种新状态(例如“已关闭:误报”、“已关闭:已确认威胁”或其他。
状态:问题已识别且待解决
详细信息:1月15日引入了新的事件状态,磁贴没有考虑这些状态。新解决状态被解释为在进行中,因此,即使该突发事件使用其中一个新状态被关闭,它仍被视为进行中工作。
解决方法:无
后续步骤:无
预期解决方案:已解决
如果需要联系思科支持,请按照此链接中提供的说明操作。