Cisco XDR已知问题

简介

本文记录当前已知的Cisco XDR技术问题。

技术问题可由思科确认、正在审核、待解决或视为按预期工作。

已知问题

事件

此XDR功能目前没有已知问题。

调查

此XDR功能目前没有已知问题。

控制中心

此XDR功能目前没有已知问题。

思科集成

1. Cisco XDR — 思科安全防火墙完全集成

详细信息：为了确保思科防御协调器(CDO)、安全服务交换(SSX)和安全分析和记录(SAL)之间的无缝集成，需要手动映射。此过程涉及联系思科TAC以执行必要的配置和映射。

解决方法：联系TAC，以协助关联相关客户并确保系统的正确集成。

预期分辨率：待定

思科身份情报

1.少数客户具有重复的Cisco身份情报模块

状态：已确定问题和待解决问题

详细信息：当Cisco Identity Intelligence引入XDR产品时，一些客户意外地调配了第二个模块。受影响的客户现在将在Asset Insights中显示重复的CII源，以及重复的CII自动化目标。

解决方法：不适用

后续步骤：工程调查原因/解决方案

解决方案：创建重复项的修复将在2.57版本中发布。正在调查现有重复项的修复。

第三方集成

1. XDR-A事件查看器中缺少OCI流的云提供商值

状态：已确定问题和待解决问题

详细信息：对于从OCI接收的流，XDR-A事件查看器中的云提供商列当前为空。 

解决方法：用户仍可以通过在表过滤器中手动键入“OCI”来过滤这些流。

后续步骤：思科正在着手实施此问题的解决方案。

决议：2026年2月

资产

此XDR功能目前没有已知问题。

XDR自动化

此XDR功能目前没有已知问题。

设备/传感器

此XDR功能目前没有已知问题。

安全客户端

要查阅安全客户端的问题，请参阅文章。

XDR调查分析

1. — 在XDR事件中的资产尚未解决但已安装调查分析模块时执行XDR调查分析操作

状态：正在调查中

详细信息：XDR调查分析取决于XDR事件中要解决的资产，然后才能从“事件”的“证据”选项卡对资产执行调查分析操作。如果Cisco XDR无法解决XDR事件中的资产，将阻止XDR调查分析证据获取从“事件”中可用。

解决方法：从Cisco XDR控制台转至XDR调查分析，以执行调查分析操作。在Cisco XDR的左侧导航菜单中，点击Investigate > Forensics

在XDR Forensics中，点击左侧导航菜单上的Assets，选择适当的资产并获取证据和/或所需操作。从下拉菜单中选择适当的案例，以便自动将其与XDR事件关联。

后续步骤：待定

解决方案：待定

跟踪CDETS:Cisco Bug ID CSCwr69610

2.- XDR调查分析操作可以由思科安全终端或其他终端安全解决方案的终端隔离响应操作阻止。

状态：正在调查中

详细信息：思科安全终端、EDR或其他终端安全工具的隔离实施可以阻止XDR调查分析。确保将XDR调查分析的适当排除项和允许列表配置为终端安全工具。

解决方法：

（示例基于思科安全终端的隔离功能，但通常适用于其他终端安全软件）

获取IP地址

·对XDR调查分析租户URL执行nslookup/dig(可通过透视到XDR调查分析并从浏览器复制URL来获取（删除https以及从第一个斜杠到末尾的所有内容）

·记录所有IP地址

添加隔离IP允许列表

·在终端安全产品（例如Cisco Secure Endpoint）中，导航到Outbreak Control > IP Block & Allow Lists

·选择Isolation IP Allow列表的选项卡。如果已经有IP列表，则可以更新该列表，否则请使用“创建IP列表”按钮添加新列表

·为其提供名称和说明，然后添加上一步中的IP

·保存列表

将允许列表添加到策略

·导航到Cisco Secure Endpoint’s Management > Policies

·选择要更新的策略，然后单击编辑

·导航到Advanced Settings > Endpoint Isolation

·（如有必要）选中Allow Endpoint Isolation复选框

·在隔离IP允许列表中，选择要包括的列表

•点击保存

后续步骤：待定

解决方案：待定

跟踪CDETS:Cisco Bug ID CSCwr69614

3. — 在XDR调查分析中修改默认角色权限会导致用户在XDR事件和XDR调查分析集成中出现非直观的错误。

状态：正在调查中

详细信息：在XDR版本2.5.6（发布于2025年12月17日）中，XDR调查分析全局管理员现在可以修改XDR调查分析中的用户角色权限，以进行更精细的控制。但是，修改与核心获取、InterACT远程Shell和案例功能相关的权限将会导致XDR事件和XDR调查分析之间的集成出现权限错误。例如，具有修改为删除远程shell权限的角色的用户仍将在XDR UI中看到remote shell action选项，但会阻止其建立远程shell会话。虽然XDR Forensics版本说明中记录了此错误，但由于权限限制，XDR控制台上的用户可能无法直观看到此错误。

解决方法：XDR调查分析全局管理员必须在实施之前使用目标用户角色功能验证修改的权限。

后续步骤：待定

解决方案：待定

XDR — 分析

1. — 多个IP地址和/或多个主机名可以与XDR-A中的单个设备名称关联

状态:未解决/已推迟

详细信息:多个活动IP地址可以与SNA/XDR-A门户中的单个设备关联。这可以包括NVM和非NVM设备。某些设备也具有多个主机名。根据当前实施，设备注册可能导致设备具有多个IP地址（位置）。 其中一些IP地址可能来自用户的家庭网络，并且可能与组织网络中的IP地址冲突。

解决方案：目前没有解决此问题的方法，该问题在当前架构中仍然存在。人们希望，一旦实施新架构，将来这一问题可能会得到更好的解决，新架构将允许来自ONA和NVM的网络活动规范化为OCSF，并集中在一起。此外，还更新了IP设备的到期情况，发现这些设备与新的主机名关联以加速到期。

后续方案不适用

解决方案：未来/待定

跟踪CDET:Cisco Bug ID CSCwo67299

轨道

1.安全终端基本客户的部署限制

状态:问题已识别且待解决

详细信息:在Admin > Integrations选项卡中，安全终端“启用”链接断开。点击enable按钮后，它会重定向到Threat Response页面，并循环到XDR组织选择器页面，而不是转到安全终端控制台。

解决方法：可以从思科安全终端门户执行集成

后续方案思科正在努力实施此问题的修复程序

预期分辨率：待定

已解决的问题

1. — 思科XDR — 思科安全终端集成链接在思科XDR门户上不起作用

状态:问题已识别且待解决

详细信息:对于同样具有安全终端基础的任何层的XDR客户，可以阻止其安装Orbital，因为安全终端连接器将主动禁用Orbital。要解决此冲突，请联系TAC。

解决方法：不适用

后续方案思科正在努力实施此问题的修复程序

预期解决方案：此问题已解决。

2.- XDR自动事件自动化规则意外停止运行

状态：已确定问题和待解决问题

详细信息：由工作流程支持的事件自动化规则和触发器意外停止运行。在XDR用户界面中不会指明，除非查看随时间推移而运行的工作流的指标。执行此操作时，客户将看到工作流运行减少或为零，具体取决于问题持续的时间长短。

后续步骤：思科已将此问题确定为XDR后端中的一个问题，并正在设法解决该问题。思科还计划实施其他监控和状态跟踪功能，以避免将来发生此问题。

解决方法：禁用并重新启用规则以启动工作流规则触发和处理的重新启动。

预期分辨率：已解决。

3.- Cisco XDR-Analytics — 虚拟环境中的ONA安装失败，错误表示“校验和验证失败”
        状态：已确定问题和待解决问题

详细信息:在虚拟环境中部署ONA传感器时，ISO无法完成安装过程并发生错误。

解决方法：使用Ubuntu ISO独立安装Ubuntu Server 24.04并参考高级安装步骤，以运行ONA即服务。使用7.0 U2兼容性

后续方案不适用

分辨率：此问题已在最新版本的ONA传感器中解决

4. — 控制中心上的MTTR图块显示已使用一种新状态(例如“已关闭：误报”、“已关闭：已确认威胁”或其他。

状态:问题已识别且待解决

详细信息:1月15日引入了新的事件状态，磁贴没有考虑这些状态。新解决状态被解释为在进行中，因此，即使该突发事件使用其中一个新状态被关闭，它仍被视为进行中工作。

解决方法：无

后续步骤：无

预期解决方案：已解决

如果您需要联系思科支持，请参阅此链接中提供的说明。