簡介
本檔案介紹如何對思科延伸偵測和回應(XDR)/網路能見度模組(NVM)的Cisco XDR分析進行疑難排解
必要條件
具有XDR整合的活動XDR分析門戶
需求
運行具有單個XDR整合的XDR Analytics帳戶
採用元件
- XDR分析
- XDR
- NVM感測器
- 安全使用者端(5.0+版)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
XDR分析NVM流
XDR分析現在使用NVM遙測
遙測由Cisco安全客戶端中的NVM元件生成。
NVM提供增強的網路可視性,包括使用者行為、網路通訊和流程,從而縮短事件調查時間,並填補終端可視性的空白
https://docs.xdr.security.cisco.com/Content/Help-Resources/nvm-resources.htm
NVM資料流 — XDR分析

- XDR分析將警報關聯到攻擊鏈(以前稱為警報鏈)
-
使用者可以向XDR發佈警報和攻擊鏈。
NVM感測器狀態
警告:XDR分析門戶最多必須有一個與其關聯的XDR租戶/組織。
NVM組織ID
NVM資料湖調配狀態
調試
- 調試響應代碼:
響應代碼
|
需採取的行動
|
已成功設定DataLake
|
通過事件檢視器驗證NVM流
|
無法設定資料湖,未檢測到XDR組織
|
使用XDR一鍵整合來連線XDR和XDR分析
|
無法設定資料記錄,檢測到多個XDR組織
|
聯絡TAC以取得協助
|
- 如果其中任何步驟失敗,請從「安全客戶端」介面運行安全客戶端診斷和報告工具(DART)以診斷問題(始終請求以管理員身份運行DART)
收集安全客戶端的DART捆綁包
觀察與警報
NVM警報
- 登入到XDR分析門戶
- 設定>警報遙測>思科NVM
-
遙測>思科NVM


NVM警報設定

NVM觀察
— 可疑終端活動
- XDR分析門戶
— 監控>觀察
— 選定觀察
— 過濾可疑終端活動


NVM檢測警告
- NVM僅捕獲具有關聯網路連線的流程和流資料
— 預設情況下,NVM配置為僅在流結束時報告流資料
結論
這些步驟可幫助您導航XDR分析,以使用NVM資訊啟用觀察和警報,並排除工作流故障。