简介
本文档介绍如何对思科扩展检测和响应(XDR)/网络可视性模块(NVM)的Cisco XDR分析进行故障排除
先决条件
具有XDR集成的活动XDR分析门户
要求
通过单个XDR集成运行XDR分析帐户
使用的组件
- XDR分析
- XDR
- NVM传感器
- 安全客户端(版本5.0+)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
XDR分析NVM流量
XDR分析现在使用NVM遥测
遥测由Cisco安全客户端中的NVM组件生成。
NVM提供增强的网络可视性,包括用户行为、网络通信和流程,从而缩短事件调查时间并填补终端可视性的空白
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
NVM数据流 — XDR分析

- XDR分析将警报关联到攻击链(以前称为警报链)
-
用户可以向XDR发布警报和攻击链。
NVM传感器状态
警告:XDR分析门户最多必须有一个与其关联的XDR租户/组织。
NVM组织ID
NVM数据湖调配状态
调试
- 调试响应代码:
响应代码
|
所需操作
|
已成功调配DataLake
|
通过事件查看器验证NVM流
|
无法调配数据湖,未检测到XDR组织
|
使用XDR一键集成来连接XDR和XDR分析
|
无法调配数据记录,检测到多个XDR组织
|
联系TAC寻求帮助
|
- 如果上述任何步骤失败,请从安全客户端界面运行安全客户端诊断和报告工具(DART)以诊断问题(始终请求以管理员身份运行DART)
收集安全客户端的DART捆绑包
观察与提示
NVM警报
- 登录XDR分析门户
- 设置(Settings)>警报(Alerts)遥测(Telemetry)>思科NVM
-
遥测>思科NVM


NVM警报设置

NVM观察
— 可疑终端活动
- XDR分析门户
— 监控>观察
— 选定观察
— 过滤可疑终端活动


NVM检测警告
- NVM仅捕获具有关联网络连接的流程和流数据
— 默认情况下,NVM配置为仅在流结束时报告流数据
结论
这些步骤可帮助您浏览XDR分析,以使用NVM信息启用观察和警报,并对工作流程进行故障排除。