排除XDR设备见解和轨道集成故障
简介
本文档介绍配置集成以及对Device Insights和Orbital集成进行故障排除的步骤。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
如果您想了解有关配置的更多信息,请查看 此处 集成模块详细信息。
背景信息
XDR Device Insights提供贵组织中设备的统一视图,并整合来自集成数据源(如Orbital)的库存。
故障排除
本节提供可用于对配置进行故障排除的信息。
连接性
- 源的REST API凭证可用于使用Postman等工具测试基本连接。
- 一旦查询结果开始来自轨道代理,数据将发布到远程数据存储。
- 验证是否已为Device Insights创建了远程Datastore,这可以通过帐户设置进行验证。
-
从Remote Data Store details管理员,验证是否显示了Device Insights租户ID和Device Insights的URL,Status必须经过身份验证。
- 导航到Results选项卡,以便在Job列表中查看Device Insights创建的作业
- 从XDR门户导航到Administration,选择API Clients,并确保已选择Orbital:
- 错误“无来自终端的响应,可能脱机” — 此错误表示终端已关闭或与Orbal云没有连接,请参阅Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations文档,以确保允许IP、端口和URL。
不匹配计数
- 如果设备计数不匹配,预计这是因为Orbital不会维护自1.14版本以来90天以上的终端清单,它包括所有在任何时间安装了轨道连接器的终端,而不只是其清单中的活动终端。 当设备见解功能处于活动状态时,它会为所有终端创建一个周期性日常作业,以供其执行。在终端上运行作业并将得到的设备信息发送回Orbital后,会从Orbital通知XDR存在该设备。如果在90天内未收到该设备的作业结果,则轨道终点会从设备分析中的清单中清除。
- 轨道重新安装会产生新的GUID,这会导致控制台中出现重复。
许可证
- 验证安全终端控制台具有访问Orbal的正确许可证。
未显示Mac和Linux设备
- Orbital来源的MacOS和Linux设备尚不支持XDR Device Insights。
如果XDR设备洞察和轨道集成问题依然存在,请参阅此文以从浏览器收集HAR日志,并与TAC支持联系以执行更深层次的分析。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
28-Jul-2023 |
初始版本 |
反馈