將Cisco XDR與安全防火牆整合並排除故障

簡介

本檔案介紹將Cisco XDR與安全防火牆整合、驗證和故障排除所需的步驟。 

整合安全防火牆和XDR的方法有兩種，每種整合都會提供不同的結果。

第一種方法描述如何整合安全防火牆、安全服務交換(SSX)、安全雲控制、XDR-Analytics和XDR以豐富調查。

第二種方法描述如何整合Secure Firewall、SSX、安全雲控制、XDR-A、SAL雲和XDR以豐富突發事件。

必要條件

需求

思科建議您瞭解以下主題：

• 思科防火牆管理中心(FMC)
• 思科安全防火牆威脅防禦
• 映像的可選虛擬化 
• Cisco Defense Orchestrator
• 安全服務交換
• 安全雲端控制

採用元件

• 安全防火牆 — 7.2
• Firepower管理中心(FMC)- 7.2
• 安全服務交換(SSX)
• Cisco XDR
• 智慧授權入口網站
• Cisco Defense Orchestrator
• 安全雲端控制

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

授權

虛擬帳戶角色： 

只有虛擬帳戶管理員或智慧帳戶管理員有權將智慧帳戶與SSX帳戶連結。

步驟1。若要驗證智慧帳戶角色，請導覽至software.cisco.com，然後在Administration Menu下選擇Manage Smart Account。

步驟2。若要驗證使用者角色，請導覽至Users，並驗證在「Roles」下，帳戶是否設為虛擬帳戶管理員，如下圖所示。

步驟3.確保選擇在SSX上鍊接的虛擬帳戶包含安全裝置的許可證，前提是不包含安全許可證的帳戶連結在SSX上，安全裝置和事件沒有顯示在SSX門戶上。

步驟4.要驗證FMC是否已註冊到正確的虛擬帳戶，請導航到System > Licenses > Smart License:

將您的帳戶連結到SSX並註冊裝置。

步驟1。當您登入到SSX帳戶時，必須將智慧帳戶連結到SSX帳戶，為此，您需要按一下「工具」圖示並選擇「連結智慧/虛擬帳戶」。

帳戶連結後，您會看到智慧帳戶及其上的所有虛擬帳戶。

方法1（半整合）：豐富調查

將裝置註冊到SSX

步驟1.確保您的環境中允許這些URL:

美國地區

• api-sse.cisco.com

• mx*.sse.itd.cisco.com

• dex.sse.itd.cisco.com

• eventing-ingest.sse.itd.cisco.com

• registration.us.sse.itd.cisco.com

• defenseorchestrator.com

• edge.us.cdo.cisco.com

歐盟地區

• api.eu.sse.itd.cisco.com

• mx*.eu.sse.itd.cisco.com

• dex.eu.sse.itd.cisco.com

• eventing-ingest.eu.sse.itd.cisco.com

• registration.eu.sse.itd.cisco.com

• defenseorchestrator.eu

• edge.eu.cdo.cisco.com

APJC地區

• api.apj.sse.itd.cisco.com
• mx*.apj.sse.itd.cisco.com
• dex.apj.sse.itd.cisco.com
• eventing-ingest.apj.sse.itd.cisco.com
• registration.apj.sse.itd.cisco.com
• apj.cdo.cisco.com
• edge.apj.cdo.cisco.com

澳洲地區：

• api.aus.sse.itd.cisco.com

• mx*.aus.sse.itd.cisco.com

• dex.au.sse.itd.cisco.com

• eventing-ingest.aus.sse.itd.cisco.com

• registration.au.sse.itd.cisco.com

• aus.cdo.cisco.com

印度地區：

• api.in.sse.itd.cisco.com

• mx*.in.sse.itd.cisco.com

• dex.in.sse.itd.cisco.com

• eventing-ingest.in.sse.itd.cisco.com

• registration.in.sse.itd.cisco.com

• in.cdo.cisco.com

步驟2.使用此URL https://admin.sse.itd.cisco.com登入SSX入口網站，導覽至Cloud Services，然後啟用Cisco XDR 和Eventing這兩個選項，如下圖所示。

步驟3.您可以驗證現在是否可在SSX上看到註冊的裝置：

事件由安全防火牆裝置傳送，導航到SSX門戶上的事件以驗證裝置傳送到SSX的事件，如下圖所示。

將裝置註冊到安全雲控制(SCC/CDO)

步驟1.確保在您的環境中允許這些URL

美國地區：

• defenseorchestrator.com

• edge.us.cdo.cisco.com

歐盟地區

• defenseorchestrator.eu

• edge.eu.cdo.cisco.com

APJC地區

• apjc.cdo.cisco.com

• edge.apjc.cdo.cisco.com

澳洲地區：

• aus.cdo.cisco.com

印度地區：

• in.cdo.cisco.com

步驟2.導航到Security Cloud Control（連結因區域而異），此操作將指導您選擇您的安全雲控制組織。

步驟3.選擇適當的組織後，導航至產品>防火牆，驗證您的裝置是否已存在，如果沒有，您可以將其加入安全雲控制(Cisco Defense Orchestrator)，為此，在「整體庫存」下，按一下「新建所有裝置」。

步驟4.導覽至Administration > Firewall Management Center，此時將顯示整合到SCC的FMC清單。如果您沒有看到您的Firewall Management Center，請按一下加號圖示。

步驟4.1。一般情況下，Secure防火牆會自動登入，否則請選擇您要登入的裝置(FTD)和您的首選登入方法。

步驟4.2.在Security Devices（安全裝置）部分下，按一下plus圖示，選擇Onboard Secure Firewall裝置，然後選擇您的首選 

步驟5.在Security Cloud Control中登入裝置後，您便可以在清單中對其進行視覺化。

步驟6.確保您的CDO組織已連結到SSX組織，為此，請導航到Security Services Exchange，按一下「工具」選單圖示，然後按一下「連結CDO帳戶」。

整合安全防火牆

從7.2.x到7.4.x（使用Cisco XDR）

步驟1.在Secure Firewall Management Center中，導航到Integration > SecureX

步驟2.選擇右側區域，然後按一下Enable SecureX。

步驟 3.  按一下Enable SecureX後，它將您重定向到Cisco Defense Orchestrator Authentication Page（利用Security Cloud Sign On），按一下Continue to Cisco SSO。

附註：
從7.6.x及更高版本通過Cisco XDR
步驟1。在安全防火牆管理中心，導覽至Integration > Cisco Security Cloud

步驟2.選擇右側區域，然後按一下Enable Cisco Security Cloud。
步驟 3.  點選啟用思科安全雲後，它將您重定向到Cisco Defense Orchestrator身份驗證頁面（該頁面利用安全雲登入），然後點選繼續到Cisco SSO。

步驟4.您可以選擇現有的安全雲控制租戶，也可以建立新租戶。

步驟5.選擇適當的租戶，並確保您在此頁面中收到的代碼與您在FMC中收到的代碼相匹配，如果匹配，請按一下授權FMC。

步驟6.輸入您的安全雲登入憑證並授權整合，一旦完成，系統將顯示確認FMC已獲授權向思科安全雲註冊。

步驟7。完成授權後，您可以導覽回FMC，選擇要傳送到雲的事件，並在完成此操作後按一下儲存。

步驟8.您可以選擇啟用SecureX Orchestration(XDR Automatic)

步驟9.導航到XDR> Administration> On Premises Appliance，然後搜尋您的裝置，這些裝置必須自動註冊。

步驟10.導覽至XDR>管理>整合，然後啟用Secure Firewall整合。

步驟10.1.為整合分配名稱，按一下+Add。

通過這種整合，您可以在XDR中豐富調查工作。

方法2（完全整合）：在XDR中豐富事件

附註：為了確保安全防火牆、XDR、Cisco Defense Orchestrator(CDO)、安全服務交換(SSX)以及安全分析和記錄(SAL)之間的無縫集成，需要手動對映。此過程涉及到聯絡Cisco TAC以執行必要的配置和對映。

步驟1。您的CDO帳戶必須具有Security Analytics and Logging許可證，才能將事件轉發到Cisco XDR。

步驟2.請使用前面介紹的步驟在SSX和安全雲控制中註冊您的裝置。

步驟3.完成後，請使用這些詳細資訊聯絡TAC，並請求將安全雲控制/SAL連結到XDR分析。

• CDO租戶ID
• CDO名稱
• XDR組織ID
• SSX租戶ID
• SSX名稱
• SCA組織ID

步驟4.確保您的CDO帳戶連結到XDR分析門戶。

將CDO門戶連結到XDR分析之前，它如下所示：

連結完成後，您可以看到導航到XDR分析門戶的選項。

步驟5.在將XDR Analytics帳戶連結到安全雲控制門戶(CDO)後，您需要確保XDR Analytics與XDR整合，為此，在XDR Analytics中，導航到Settings > Integrations > XDR，查詢XDR Integration，並確儲存在綠色勾選標籤，並且整合模組指向正確的XDR組織。

驗證

驗證Secure 防火牆是否生成事件（惡意軟體或入侵），對於入侵事件，請導航至 Analysis >Files >Malware Events，對於入侵事件，請導航至Analysis > Intrusion > Events。

驗證在SSX門戶上註冊的事件，如將裝置註冊到SSX部分步驟4中所述.

驗證資訊是否顯示在Cisco XDR控制面板上，或者檢查API日誌，以便檢視可能的API故障原因。

驗證是否所有租戶正確連結在一起，如果您遇到問題，請開啟TAC案例並提供以下詳細資訊：

• CDO租戶ID
• CDO名稱
• XDR組織ID
• SSX租戶ID
• SSX名稱
• SCA組織ID

疑難排解

檢測連線問題

可以從action_queue.log檔案中檢測一般連線問題。在出現故障時，您可以看到檔案中存在以下日誌：

ActionQueueScrape.pl[19094]: [SF::SSE::Enrollment] canConnect: System (/usr/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --capath /ngfw/etc/sf/keys/fireamp/thawte_roots -f https://api.eu.sse.itd.cisco.com/providers/sse/api/v1/regions) Failed, curl returned 28 at /ngfw/usr/local/sf/lib/perl/5.10.1/SF/System.pmline 10477.

在這種情況下，退出代碼28表示操作超時，我們必須檢查與Internet的連線。您還必須看到退出代碼6，這意味著存在DNS解析問題

由於DNS解析引起的連線問題

步驟1.檢查連通性是否正常工作。

root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* getaddrinfo(3) failed for api-sse.cisco.com:443
* Couldn't resolve host 'api-sse.cisco.com'
* Closing connection 0
curl: (6) Couldn't resolve host 'api-sse.cisco.com'

此輸出顯示，裝置無法解析URL https://api-sse.cisco.com，在這種情況下，我們需要驗證是否配置了正確的DNS伺服器，它可以通過專家CLI中的nslookup進行驗證：

root@ftd01:~# nslookup api-sse.cisco.com
;; connection timed out; no servers could be reached

此輸出顯示未到達已配置的DNS，為了確認DNS設定，請使用show network命令：

> show network
===============[ System Information ]===============
Hostname                  : ftd01
DNS Servers               : x.x.x.10
Management port           : 8305
IPv4 Default route
Gateway                   : x.x.x.1

======================[ eth0 ]======================
State                     : Enabled
Link                      : Up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : x:x:x:x:9D:A5
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : x.x.x.27
Netmask                   : 255.255.255.0
Broadcast                 : x.x.x.255
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

在此示例中，使用了錯誤的DNS伺服器，您可以使用以下命令更改DNS設定：

> configure network dns x.x.x.11

在可以再次測試此連線之後，這次連線成功。

root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying x.x.x.66...
* Connected to api-sse.cisco.com (x.x.x.66) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api -sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID S SL ICA G2
* SSL certificate verify result: self signed certificate in certificate c hain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 08 Apr 2020 01:27:55 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5e17b3f8-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src 'self'
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Strict-Transport-Security: max-age=31536000; includeSubdomains;

SSX門戶的註冊問題

FMC和Secure Firewall都需要連線到其管理介面上的SSX URL，要測試連線，請在具有根訪問許可權的Firepower CLI上輸入以下命令：

curl -v https://api-sse.cisco.com/providers/sse/services/registration/api/v2/clients --cacert /ngfw/etc/ssl/connectorCA.pem
curl -v https://est.sco.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem

curl -v https://eventing-ingest.sse.itd.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem
curl -v https://mx01.sse.itd.cisco.com --cacert /ngfw/etc/ssl/connectorCA.pem

可以使用以下命令繞過證書檢查：

root@ftd01:~# curl -v -k https://api-sse.cisco.com
* Rebuilt URL to: https://api-sse.cisco.com/
* Trying x.x.x.66...
* Connected to api-sse.cisco.com (x.x.x.66) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=api -sse.cisco.com
* start date: 2019-12-03 20:57:56 GMT
* expire date: 2021-12-03 21:07:00 GMT
* issuer: C=US; O=HydrantID (Avalanche Cloud Corporation); CN=HydrantID S SL ICA G2
* SSL certificate verify result: self signed certificate in certificate c hain (19), continuing anyway.
> GET / HTTP/1.1
> Host: api-sse.cisco.com
> User-Agent: curl/7.44.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< Date: Wed, 08 Apr 2020 01:27:55 GMT
< Content-Type: text/plain; charset=utf-8
< Content-Length: 9
< Connection: keep-alive
< Keep-Alive: timeout=5
< ETag: "5e17b3f8-9"
< Cache-Control: no-store
< Pragma: no-cache
< Content-Security-Policy: default-src 'self'
< X-Content-Type-Options: nosniff
< X-XSS-Protection: 1; mode=block
< Strict-Transport-Security: max-age=31536000; includeSubdomains;

附註：您會收到403 Forbidden消息，因為從測試傳送的引數不是SSX期望的，但這一點足以驗證連線。

驗證SSEConnector狀態

您可以驗證聯結器屬性，如圖所示。

# more /ngfw/etc/sf/connector.properties
registration_interval=180
connector_port=8989
connector_fqdn=api-sse.cisco.com

為了檢查SSConnector和EventHandler之間的連線，可以使用此命令，以下是連線錯誤的示例：

root@firepower:/etc/sf# netstat -anlp | grep EventHandler_SSEConnector.sock
unix 2 [ ACC ] STREAM LISTENING 3022791165 11204/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.sock

在已建立的連線的範例中，可以看到串流狀態為已連線：

root@firepower:/etc/sf# netstat -anlp | grep EventHandler_SSEConnector.sock
unix 2 [ ACC ] STREAM LISTENING 382276 7741/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.sock
unix 3 [ ] STREAM CONNECTED 378537 7741/EventHandler /ngfw/var/sf/run/EventHandler_SSEConnector.soc

驗證傳送到SSX門戶和CTR的資料

若要將事件從安全防火牆裝置傳送到SSX，需要使用https://eventing-ingest.sse.itd.cisco.com建立TCP連線。以下範例說明在SSX入口和安全防火牆之間未建立連線:

root@firepower:/ngfw/var/log/connector# lsof -i | grep conn
connector 60815 www 10u IPv4 3022789647 0t0 TCP localhost:8989 (LISTEN)
connector 60815 www 12u IPv4 110237499 0t0 TCP firepower.cisco.com:53426->ec2-100-25-93-234.compute-1.amazonaws.com:https (SYN_SENT)

在connector.log日誌中：

time="2020-04-13T14:34:02.88472046-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.246:443: getsockopt: connection timed out"
time="2020-04-13T14:38:18.244707779-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"
time="2020-04-13T14:42:42.564695622-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.246:443: getsockopt: connection timed out"
time="2020-04-13T14:47:48.484762429-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"
time="2020-04-13T14:52:38.404700083-05:00" level=error msg="[firepower.cisco.com][events.go:90 events:connectWebSocket] dial tcp x.x.x.234:443: getsockopt: connection timed out"

附註：請注意，顯示的x.x.x.246和1x.x.246屬於https://eventing-ingest.sse.itd.cisco.com的IP地址必須更改，因此建議允許基於URL而不是IP地址的SSX門戶流量。

如果此連線未建立，則不會將事件傳送到SSX門戶。以下是在安全防火牆和SSX入口之間建立連線的示例：

root@firepower:# lsof -i | grep conn
connector 13277   www   10u  IPv4 26077573      0t0  TCP localhost:8989 (LISTEN)
connector 13277   www   19u  IPv4 26077679      0t0  TCP x.x.x.200:56495->ec2-35-172-147-246.compute-1.amazonaws.com:https (ESTABLISHED)

無法將裝置(FTD)註冊到安全雲控制

如果您的裝置無法註冊到安全雲控制，請確保該裝置已連線到適當的CDO租戶。

要驗證正確的URL，請導航到Administration > Firewall Management Center，選擇Cloud Delivered FMC，在螢幕右上角可以看到主機名。

admin@MexAmpFTD:~$ nc -vz xxxxxxxx.app.us.cdo.cisco.com 443
Connection to xxxxxxxx.app.us.cdo.cisco.com 443 port [tcp/https] succeeded!

如果您在連線到CDO時仍然遇到問題，請確保埠8305已開啟，這是連線問題的一個示例。

admin@AMP-DMZ-FPR:~$ sudo tail /ngfw/var/log/messages
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_peers [INFO] Peer xxxxxxxx.app.us.cdo.cisco.com needs a single connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Connect to xxxxxxxx.app.us.cdo.cisco.com on port 8305 - management0
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate connection using resolved_ip_list having [2] entries on list [1] (via management0)
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv6 type connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv4 type connection
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiate IPv4 connection from resolved_ip_list to x.x.x.51 (via management0)
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Initiating IPv4 connection to x.x.x.51:8305/tcp
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Wait to connect to 8305 (IPv4): x.x.x.51
Jan 25 18:48:56 AMP-DMZ-FPR SF-IMS[20448]: [1465] sftunneld:sf_ssl [INFO] Connect to x.x.x.51 failed on port 8305 socket 8 (Connection refused)

裝置已註冊到錯誤的SSX租戶

您可以驗證您的FMC已註冊到哪個SSX租戶。

admin@fmc01:~$ curl localhost:8989/v1/contexts/default/tenant

{"registeredTenantInfo":{"companyId":"689xxxxx-eaxx-5bxx-b1xx-a7662axxxxx","companyName":"XDR BETA - TAC Org","id":"7487917c-2ead-471b-b521-caxxxxxxxxxa","spId":"SXSO"},"tenantInfo":[{"companyId":"689xxxxx-eaxx-5bxx-b1xx-a7662axxxxx","companyName":"XDR BETA - TAC Org","id":"7487917c-2ead-471b-b521-caxxxxxxxxxa","spId":"SXSO"}]}admin@fmc01:~$ 

如果SSX租戶不正確，您需要重新執行步驟以將裝置註冊到SSX

如果SSX租戶正確，但CDO租戶未連結到適當的SSX組織，請通過以下詳細資訊聯絡TAC:

• SSX租戶ID
• CDO租戶ID

相關資訊

• 思科安全防火牆威脅防禦和思科XDR整合指南
• 思科技術支援與下載