可視性は、エンドポイントを保護するための最初のステップです。Cisco AI エンドポイント分析は、エンドポイントと Internet of Things(IoT)デバイスの識別とプロファイリングに役立つエンドポイント可視性ソリューションです。Cisco
AI エンドポイント分析エンジンを使用すると、さまざまなソースからネットワーク経由で受信したテレメトリ情報を使用して、エンドポイントにラベルを割り当てることができます。
Cisco AI エンドポイント分析で使用できるプロファイリングラベルは、エンドポイントタイプ、ハードウェアモデル、製造元、およびオペレーティング システム タイプです。これは多要素分類と呼ばれます。
Cisco AI エンドポイント分析は、潜在的に危険なエンドポイントやデバイスを特定して対処することを可能にする信頼スコアなどの機能により、ネットワークにおける繊細な可視化と処置を実現します。Cisco AI エンドポイント分析の GUI から
Cisco ISE を介して ANC ポリシーを適用することにより、潜在的なリスクを管理することもできます。Cisco AI エンドポイント分析でエンドポイントのランダムおよび変更 MAC アドレスの問題をモニターして回避し、MAC アドレスの代わりに「DUID」と呼ばれる一意の属性を使用してエンドポイントを正確に識別することができます。
Cisco AI エンドポイント分析は、さまざまなソースからエンドポイントテレメトリを収集するのに役立ちます。主要なソースは、Network-Based Application Recognition(NBAR)メカニズムです。NBAR メカニズムは、Cisco
Catalyst 9000 シリーズ スイッチ(アクセスデバイス)に組み込まれていて、ディープ パケット インスペクション(DPI)を実行します。Cisco AI エンドポイント分析は、Cisco DNA トラフィック テレメトリ アプライアンスからテレメトリを受信することもできます。
Cisco AI エンドポイント分析を使用すると、さまざまなネットワークデバイスからのデータインフローが可能になり、エンドポイントをより高い精度で容易に識別してプロファイリングし、異常に対処する機能が拡張されます。Cisco AI エンドポイント分析では、さまざまなエンドポイント情報を集約し、そのデータを使用してエンドポイントをプロファイリングできます。エンドポイントのプロファイリング後、AI
と機械学習アルゴリズムを使用して、さまざまな方法を直感的に活用することで不明なエンドポイントの数を減らすこともできます。
Cisco AI エンドポイント分析の主な機能
Cisco AI エンドポイント分析ダッシュボード
Cisco AI エンドポイント分析ダッシュボードでは、ネットワークに接続されているエンドポイントの全体像を確認できます。既知のエンドポイント、不明なエンドポイント、プロファイリングされたエンドポイント、プロファイリングされていないエンドポイント、信頼スコアが低いエンドポイント、およびランダム
MAC アドレスを使用するエンドポイントの数を表示できます。[AI Proposals] ダッシュレットには、エンドポイントのプロファイリングと管理を強化するためのインテリジェントなプロファイリングの提案が表示されます。
潜在的に危険なエンドポイントにフラグを付ける信頼スコア
Cisco AI エンドポイント分析は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニタして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。エンドポイントの信頼スコアを参照してください。
ランダム MAC アドレスを使用するエンドポイントの検出
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。
機械学習機能を使用したネット内の不明なエンドポイントの削減
Cisco AI エンドポイント分析では、エンドポイントのグループ化で学習した情報に基づいてプロファイリング提案が提供されます。このような提案を使用して、ネットワーク内の不明なエンドポイントやプロファイリングされていないエンドポイントの数を減らすことができます。
Cisco DNA トラフィック テレメトリ アプライアンスに接続されたアクセススイッチのスイッチドポートアナライザ(SPAN)受信ポートで CBAR を有効にするには、次のコマンドを使用します。
ip nbar protocol-discovery
テレメトリアプライアンスに接続されているすべてのエンドポイントが Cisco AI エンドポイント分析に表示されるわけではありません。Cisco DNA アシュアランス で管理されるネットワーク アクセス デバイス(NAD)にも接続されているエンドポイントのみが、Cisco AI エンドポイント分析 に表示されます。
ステップ 6
(任意)Cisco DNA Center で ServiceNow を有効にします。
ServiceNow を Cisco DNA Center に接続した後に、メニューアイコン()をクリックして、 [Platform] > [Manage] > [Bundles] の順に選択します。
AI ベースのエンドポイントグループ化、カスタム プロファイリング ルール自動化、およびエンドポイントラベルに関する提案を受け取るには、また、ネットワーク内のスプーフィングされている可能性のあるデバイスを検出するには、[Cisco AI Analytics]
ウィンドウで、必要な設定を有効にする必要があります。
これらの AI ベースの提案を受け取るには、AI ネットワーク分析ソフトウェアをインストールする必要があります。
メニューアイコン()をクリックして、[System] > [Settings] > [External Services] > [Cisco AI Analytics]の順に選択します。
有効にする次の各サービスのトグルボタンをクリックします。
AI エンドポイント分析:AI ネットワーク分析は、機械学習を利用してネットワークのインテリジェンスを推進し、ネットワークパフォーマンスを効果的に改善して問題解決を加速できるようにします。AI ネットワーク分析は、ネットワークの動作を分析し、ネットワーク環境に適応することで、ノイズや誤検出を大幅に削減します。
AI スプーフィング検出:AI スプーフィング検出は、事前トレーニング動作モデルに基づいてスプーフィングされているエンドポイントを識別します。 [Enable AI Spoofing Detection] トグルボタンを有効にすると、Cisco DNA Center はこれらの動作モデルとネットワークデバイスによって提供されるフロー情報を使用して、スプーフィングされたエンドポイントを検出できます。参加している顧客から収集されたフロー情報を使用して、いくつかの行動モデルが集中的にトレーニングされます。[Send data to help Cisco improve the model] トグルボタンを有効にすることにより、匿名での打ち切りデータの収集を可能にすることもできます。これにより、シスコによって動作モデルがさらに強化されます。
Cisco AI エンドポイント分析は、スマートグループ化アルゴリズムを使用して、ネットワーク内で類似するプロファイリングデータを持つ不明なエンドポイントをグループ化します。AI エンドポイント分析を有効にした場合、次のタイプのルール提案が表示されます。これらのルール提案は、次のようにエンドポイントクラスタから学習した内容に基づいています。
Talos インテリジェンス は、包括的な脅威検出ネットワークです。Talos インテリジェンスは、脅威検出アナリストと、Web リクエスト、電子メール、マルウェアサンプル、オープンソースデータセット、エンドポイント インテリジェンス、ネットワーク侵入に及ぶリアルタイムの自動検出システムで構成されています。Cisco AI エンドポイント分析 を Talos と統合して、信頼できない IP アドレスに到達するネットワーク接続にフラグを立て、それらを隔離し、最も一般的なサイバー脅威からネットワークを保護します。
Cisco DNA Cloud は Talos インテリジェンス クラウド サービスと通信して、更新された IP のレピュテーションデータを 30 分ごとに取得します。IP のレピュテーションデータのこの更新は、すべての登録済みの Cisco DNA Center デバイスにプッシュされます。
Cisco DNA Center デバイスで Talos Intelligence をセットアップするには、次の手順を実行します。
始める前に
Cisco AI エンドポイント分析 を Talos インテリジェンスと統合するための前提条件は次のとおりです。
Cisco DNA Center は Cisco DNA Cloud に登録する必要があります。
(注)
ユーザーが Cisco DNA Cloud に登録されていない場合、Cisco DNA Center GUI の [Talos IP Reputation] 設定の下にあるトグルボタンの横に警告が表示されます。
アカウントは、Cisco DNA Cloud の Talos オファーに登録されている必要があります。
Talos IP レピュテーション機能がスムーズに動作するには、アプリケーションテレメトリを有効にして、NetFlow コレクタとして Cisco DNA Center を選択します。
手順
ステップ 1
Cisco DNA Cloud アカウントを作成します。Cisco DNA Cloud で、Talos オファー登録し、適切な Cisco DNA Center リージョンを選択します。
ステップ 2
[On-prem Connections] で Cisco DNA Center デバイスを登録します。ワンタイムパスワード(OTP)がデバイスに送信されます。この OTP は 30 分間有効です。
ステップ 3
Cisco DNA Center ホームページで、クラウド認証の OTP を使用して Cisco DNA Center デバイスを Cisco DNA Cloud に登録します([System-Settings] > [Cloud Authentication])。
(注)
Cisco DNA Center デバイスを Cisco DNA Cloud に登録したら、3 分待ってから次のステップに進みます。
ステップ 4
[Cisco DNA Center AI Endpoint Analytics] ウィンドウ([AI Endpoint Analytics] > [Configurations] > [Trust Score Sources])で、[Talos IP Reputation] トグルボタンをクリックして有効にします。[Trust Score] ウィンドウまたは [Cisco DNA Center System Settings] ウィンドウから [Talos IP Reputation] を有効にできます。
[Talos IP Reputation] を有効にすると、Cisco DNA Center は更新された IP のレピュテーションデータが利用可能になるたびにそのデータを受信します。ネットワーク内のエンドポイントがブロックされた IP アドレスにアクセスしようとすると、フラグが設定され、エンドポイントの [Trust Score] ビューの Talos IP レピュテーションに対して、「Detected」という警告メッセージが表示されます。この警告により、エンドポイントの全体的な信頼スコアが低下します。Talos IP レピュテーション機能には、アクセスされた信用されていない IP アドレスと、エンドポイントによるアクセス試行回数に関する情報が含まれています。この情報は、ネットワークのセキュリティを強化することを決定するときに役立ちます。
[Talos Reputation] ウィンドウ([Cisco DNA Center System Settings] > [Talos IP Reputation])には、Talos から受信したさまざまなファイルの最新バージョンが表示されます。これらのファイルを受信した時刻も表示されます。IPv4 および IPv6 ファイルは Talos IP レピュテーション データ ファイルであり、通常 1 日に 1 回更新されます。ただし、Threat Level ファイルはメタデータであり、このファイルが変更されることはほとんどありません。
Cisco ISE への許可属性の公開
ネットワークへのエンドポイントアクセスを承認し、エンドポイントを制御するために、Cisco ISE へ AI エンドポイント分析プロファイルデータを公開します。Cisco AI エンドポイント分析によって共有される属性情報には、AI エンドポイント分析ディクショナリを介して
Cisco ISE 管理者が簡単にアクセスできるようになります。Cisco ISE 管理者は、Cisco ISE で許可ポリシーを簡単に作成できます。次の属性が Cisco ISE と共有されます。
展開内では、アクセスレイヤにあるデバイスとアクセスレイヤよりも上にあるデバイスの IP サブネットが異なります。シスコの TTA デバイスの場合、エンドポイント プロファイリングの精度は、Cisco AI エンドポイント分析によってサウスバウンドトラフィックのみが分析される場合に最大になります。エンドポイント プロファイリングを向上させるには、Cisco AI エンドポイント分析 で分析する必要がある特定の IP サブネットまたはサブネット範囲を設定します。
Cisco DNA Center リリース 2.2.2 以降では、[Details] タブに次の新しいフィールドが表示され、 Cisco ISE から受信した詳細が示されます。
[Authentication Status]:このフィールドには、エンドポイントが Cisco ISE で認証された場合は [Started]、そうでない場合は [Disconnected] と表示されます。
[Authorization Profile]:Cisco ISE のエンドポイントに設定されている認証ポリシーがここに表示されます。
[Security Group Tag]:Cisco ISE でエンドポイントに設定されたセキュリティグループタグがここに表示されます。
これらの属性の詳細については、使用する Cisco ISE リリースの Cisco ISE 管理者ガイド [英語] を参照してください。
Cisco DNA Center 2.2.2 以降では、エンドポイントの詳細を示すスライドイン ダイアログボックスに [Trust Score] タブがあります。このタブには、エンドポイントの信頼スコアを示すさまざまな要因の詳細が表示されます。エンドポイントの信頼スコアを参照してください。
Cisco DNA Center 2.2.3 以降では、[Details] タブに [Previous MAC Addresses] エリアがあり、MAC ランダム化機能が有効になっているエンドポイントで使用された MAC アドレスが表示されます。ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアを参照してください。
登録済みのエンドポイントがネットワークの一部ではなくなった場合は、Cisco AI エンドポイント分析から削除できます。
手順
ステップ 1
削除するエンドポイントの MAC アドレスの横にあるチェックボックスをオンにします。
ステップ 2
[Actions] をクリックします。
ステップ 3
[Delete Endpoint] をクリックします。
次のメッセージが表示されます。
「Do you really want to delete the selected endpoint(s)?」
ステップ 4
[Yes] をクリックして、Cisco AI エンドポイント分析からエンドポイントを完全に削除します。
エンドポイントの信頼スコア
Cisco AI エンドポイント分析 は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニターして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。
信頼スコアの計算に含める必要があるソースを選択するには、Cisco AI エンドポイント分析 の [Overview]ウィンドウで、[Configuration] > [Enable Trust Sources] を選択します。有効にする各ソースのトグルボタンをクリックします。
Cisco AI エンドポイント分析 は、次の要因に基づいて履歴信頼スコアを生成します。
エンドポイントに関連付けられた異常の履歴(このエンドポイントに関して検出された異常の数)。
エンドポイントで検出された各異常の重大度。
Cisco DNA Center リリース 2.2.3 以降では、エンドポイントの全体的な信頼スコア計算に次の異常が考慮され、検出された異常ごとにスコアが表示されます(対応するソースが有効になっている場合)。
AI スプーフィング検出
Cisco AI エンドポイント分析 は、NetFlow テレメトリデータ、および Cisco ISE デバイスと SD-AVC デバイスからのネットワークプローブデータを分析して、スプーフィングされたエンドポイントを検出します。NetFlow コレクタサーバーの構成方法の詳細については、テレメトリを使用した Syslog、SNMP トラップ、NetFlow コレクタサーバー、および有線クライアントデータ収集の設定を参照してください。Cisco DNA Center 2.3.2 以降では、Cisco DNA トラフィック テレメトリ アプライアンスからのプローブおよび NetFlow データ(DN-APL-TTA-M)も分析されます。Cisco DNA トラフィック テレメトリ アプライアンスへのトラフィックの受信スパンを構成して、Cisco AI エンドポイント分析でエンドポイント トラフィック データを スプーフィング検出に使用できるようにします。
ネットワーク内に NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
同時 MAC アドレス
同じ MAC アドレスを共有し、Cisco Catalyst 9000シリーズ デバイスに接続されているエンドポイントを特定してください。共有 MAC アドレスを持つエンドポイントには、同時 MAC アドレススコアが割り当てられます。これにより、容易に、それらのエンドポイントを識別して詳細情報を調べることができます。
その後、Cisco ISE から適応型ネットワーク制御(ANC)ポリシーを適用して、エンドポイントで適切な修復アクションを実施することができます。Cisco ISE の管理者ガイドで「Maintain and Monitor」の章にある「Adaptive Network Control」を参照してください。
ANC ポリシーは、Cisco ISE で定義され、選択したエンドポイントに修復アクションを適用することを可能にします。ANC ポリシーを適用して、エンドポイントを隔離またはシャットダウンしたり、エンドポイントのポートをバウンスしたり、エンドポイントの再認証を強制的に実行することができます。Cisco AI エンドポイント分析で望ましくない信頼スコアを持つエンドポイントに ANC ポリシーを適用すると、認可変更(CoA)が Cisco ISE からそのエンドポイントに送信されます。
エンドポイントは、MAC アドレスによって識別されます。Cisco ISE は、ANC 適用時点で識別された MAC アドレスに関してアクティブセッションを保持しているエンドポイントに CoA を送信します。その時点で Cisco ISE においてアクティブセッションを持たない、同じ MAC アドレスのエンドポイントは、新しいセッションが開始されたときに、または設定された再認証タイマーの終了時に再認証する必要がある場合に、ANC ポリシーと照合されます。
ANC ポリシーが適用されているエンドポイントを確認するには、Cisco ISE 管理ポータルにログインします。メインメニューから、[Operations] > [RADIUS] > [Live Sessions] の順に選択します。[Endpoint ID] 列に、スプーフィングされたエンドポイントの MAC アドレスを入力します。これにより、同じ MAC アドレスを共有し、現在 Cisco ISE でライブセッションを持つエンドポイントがフィルタ処理されます。これらが、ANC ポリシーの影響を受けるエンドポイントです。
Cisco ISE で RADIUS セッションの履歴ログを表示するには、メインメニューから、[Operations] > [Reports] > [Reports] > [Endpoints and Users] > [RADIUS Authentications] の順に選択します。
Cisco ISE でエンドポイントへの ANC ポリシーの適用を表示または変更するには、メインメニューから、[Context Visibility] > [Endpoints] の順に選択します。必要に応じて、エンドポイントの MAC アドレスの横にあるチェックボックスをオンにして、リストの上部に表示されるオプションをクリックしてください。
前提条件
エンドポイントの信頼スコアを受信するための前提条件:
Cisco DNA Center がリリース 2.2.2 以降にアップグレードされている。
Cisco ISE がオンプレミス Cisco DNA Center に接続されている。
ネットワーク アクセス デバイスが、Cisco DNA アシュアランス と Cisco ISE の両方によって管理されている。
ネットワークアドレス変換(NAT)は、登録されていない IP アドレスを使用してインターネットへ接続するプライベート IP インターネットワークを可能にします。NAT は、ネットワーク全体で 1 つだけのアドレスを外部にアドバタイズするように設定できます。ネットワーク内に
NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
NAC 対応ルータとして機能するデバイスは、不正なエンドポイントをネットワークに接続させる可能性があるため、NAT 検出が信頼スコアの計算に含まれます。NAT モード検出スコアが割り当てられているエンドポイントの場合は、[Endpoint Inventory]
タブで MAC アドレスをクリックすると、スライドインウィンドウにエンドポイントの詳細情報が表示されます。エンドポイントのアイデンティティがネットワーク内の NAT 対応ルータに対応していることが確実な場合は、次の手順を実行します。
Cisco Catalyst 9000 シリーズ デバイスに接続された同時 MAC アドレスを持つエンドポイント
同じ MAC アドレスを共有し、Cisco Catalyst 9000 シリーズ デバイスに接続されているエンドポイントを特定してください。同時 MAC アドレスを持つエンドポイントの問題は、有線環境と、有線展開およびワイヤレス展開を含むハイブリッド環境で発生します。ワイヤレス環境では、常時、特定の
MAC アドレスを持つエンドポイントは 1 つしかネットワークにアクセスできないため、同時 MAC アドレスは発生しません。
Cisco AI エンドポイント分析では、同時 MAC アドレススコアをエンドポイントに割り当てることにより、同時 MAC アドレスを持つエンドポイントを特定することができます。ネットワーク内で共有 MAC アドレスを持つエンドポイントを検出するには、接続されている
Cisco Catalyst 9000 シリーズ デバイスで CBAR を有効にする必要があります。
同じ MAC アドレスを持つデバイスが Cisco Catalyst 9000 シリーズ デバイスに接続すると、それらのエンドポイントは同時エンドポイントとして認識され、その MAC アドレスに低いスコアが割り当てられます。同時 MAC アドレスを持つエンドポイントは、次のデバイスに接続できます。
異なる VLAN から同じ Cisco Catalyst 9000 シリーズ デバイス
異なる Cisco Catalyst 9000 シリーズ デバイス
表 1. 同時 MAC アドレスの問題が発生する環境
展開 1
展開 2
ネットワークで同時 MAC アドレスが発生するか
この環境での同時 MAC アドレス検出のサポート
有線
有線
対応
対応
有線
ワイヤレス
対応
対応
ワイヤレス
有線
対応
対応
ワイヤレス
ワイヤレス
非対応
非対応
Cisco DNA Center リリース 2.2.3 以降では、[Endpoint Inventory] タブの [Trust Scores] ビューに [Concurrent MAC Address] 列があります。共有 MAC アドレスは異常として検出され、[Concurrent MAC Address] 列に低いスコアが割り当てられます。[MAC Address] をクリックすると、スライドインウィンドウが表示され、その MAC アドレスの詳細情報が示されます。[Concurrent MAC Address] をクリックすると、フィールドが展開され、MAC アドレスのさまざまな送信元に関する情報が表示されます。
プライバシー対策として、モバイルデバイスでは接続先の SSID ごとにランダムおよび変更 MAC アドレスを使用することが増えています。一部のデスクトップ オペレーティング システムは、ユーザーが定期的に MAC アドレスをランダム化する機能も提供しています。つまり、エンドポイントは、異なる
SSID に接続するたびに異なる MAC アドレスを提示します。
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。Cisco ISE での GUID の割り当て方法の詳細については、Cisco ISE の管理者ガイド(リリース 3.1)を参照してください。
Cisco AI エンドポイント分析の [Overview] ウィンドウの [Endpoint MAC Randomization] ダッシュレットには、ネットワーク内のランダムおよび変更 MAC アドレスを使用しているエンドポイントの数がグラフィカルに表示されます。
Cisco ISE に接続され、DUID 情報を使用可能なエンドポイントの場合、この情報は Cisco AI エンドポイント分析にも表示されます。次の列には、Cisco AI エンドポイント分析の [Endpoint Inventory] ウィンドウで必要になる情報が表示されます。
[DUID]:エンドポイントの DUID 値。
[Previous MAC Addresses]:エンドポイントが以前にネットワークへの接続に使用していたランダムおよび変更 MAC アドレス。
DUID 値を使用することで、Cisco AI エンドポイント分析では、エンドポイントを確実に識別し、エンドポイントが以前に使用していたさまざまな MAC アドレスを追跡することが可能になっています。これは、ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアも高精度であることを意味します。以前の
MAC アドレスでのエンドポイントの信頼スコアは、エンドポイントが提示している現在の MAC アドレスに引き継がれ、同じエンドポイントに関して受信されたプローブデータの影響を受け続けます。
デバイスで [Private Address] 設定が有効になっている場合、このデバイスの [Is MAC Random] 列に [Yes] という値が表示されます。つまり、このデバイスは、ランダムおよび変更 MAC アドレスとして認識されます。ただし、このデバイスに関して DUID 値を使用できるかどうかは、エンドポイントが Cisco ISE を介して認証されているかどうかと、Cisco ISE でこのエンドポイントの
GUID が生成されているかどうかに依存します。
Cisco DNA Center アプリケーションのホスティングウィンドウで、.tar ファイルを有効にした少なくとも 1 つの Cisco Catalyst 9000 シリーズ デバイスの [App Hosting Status] がアクティブであることを確認します。
ステップ 6
前の手順で説明したようにアクティブプローブコンテナをインストールして有効にした後、[Security Sensor] 領域で、Cisco AI エンドポイント分析の信頼スコア設定を構成して、Cisco ISE に接続されているエンドポイントと、アクティブなプローブアプリケーションが有効になっている
Cisco Catalyst デバイスで、開いているポートと、脆弱なクレデンシャルをスキャンできます。
[Open Port Scan] トグルボタンをクリックして、Cisco AI エンドポイント分析がポートスキャンをプロアクティブに実行して、ネットワーク上の定義済みエンドポイントで考えられる脆弱性を検出して解決できるようにします。
[Credential Vulnerability Scan] トグルボタンをクリックして、ネットワーク上のエンドポイントが脆弱なクレデンシャルを使用している場合に、Cisco AI エンドポイント分析がプロアクティブに検出できるようにして、悪意のあるアクティビティを防止します。
ステップ 7
(任意) 開いているポートのスキャンを有効にすることを選択した場合は、[Open Port Scan] 領域の [Scan Configuration] をクリックしてスキャンを定義できます。
エンドポイントの登録時に各エンドポイントをスキャンするには、[On enrollment, scan all endpoints] オプションボタンを選択します。
サブネット、プロファイル属性などにより、開いているポートのスキャンの範囲を定義するには、[Create a Custom Scan] オプションボタンを選択します。
どちらのタイプのポートのスキャンでも、許可されていないポートのリストを定義して、常に閉じておく必要があるポートを指定します。このリストにより、Cisco AI エンドポイント分析はエンドポイントの異常なポートアクティビティを認識し、低い信頼スコアを割り当てることができます。どちらのタイプのポートのスキャンでも、設定できるスキャンの最小頻度は
12 時間です。
同時 MAC アドレス検出とは、同じ MAC アドレスを持つ 2 つのエンドポイントがネットワークにアクセスしてトラフィックを生成していることが検出されることを意味します。次に、実際のエンドポイントとスプーフィングされたエンドポイントを区別し、スプーフィングされたエンドポイントに対して必要な修復アクションを実行することが不可欠になります。
コントロール エンドポイント スプーフィング機能は、エンドポイントの MAC アドレス以外のネットワーク情報を提供することにより、詳細なポリシーコントロールを提供します。ネットワーク情報には、サイト情報、ネットワークデバイスの IP アドレス、ネットワークデバイスポート、最初に承認されたタイムスタンプ、最後に承認されたタイムスタンプ、およびエンドポイントがネットワークで使用可能であった期間が含まれます。従来のように
MAC アドレスでエントリを区別するか、MAC アドレスと提供されたネットワーク情報の両方を使用してエントリを区別するかを選択できます。MAC アドレスと接続(ネットワーク情報)で区別することを選択した場合、スプーフィングされたエンドポイントを検出するための選択が自動的に行われます。自動選択を使用するか、スプーフィングされたエンドポイントであると思われるものを選択して、そのエンドポイントに適切な修復アクションを適用することができます。使用可能な修復アクションは、Cisco
ISE で設定された ANC(適応型ネットワーク制御)ポリシーです。
ダイナミック認証を、ネットワークデバイスで設定する必要があります。Cisco DNA Center から AAA 設定を使用してネットワークデバイスをプロビジョニングすることをお勧めします。
手順
ステップ 1
Cisco DNA Center GUI から、[Policy] > [AI Endpoint Analytics] > [Endpoint Inventory] > [View endpoints in trust score view]を選択します。
ステップ 2
確認するエンドポイントをクリックして、ANC ポリシーを適用します。
ステップ 3
[Trust Score] > [Concurrent MAC Address] を選択します。
ステップ 4
[Apply ANC Policy] をクリックします。
ステップ 5
[Apply ANC Policy] ウィンドウで、[Based on MAC address] または [Based on MAC address and connectivity] を選択します。
ステップ 6
[Apply ANC Policy] ドロップダウンリストから適切な修復アクションを選択します。
ステップ 7
[Apply ANC Policy] をクリックします。
このタスクを完了した後、そのエンドポイントの [Trust Score] ビューに戻ると、ANC ポリシー名と、ポリシーが適用されたネットワークデバイスの IP アドレスと、ANC ポリシーが適用された時刻を確認できます。
設定を確認するには、Cisco ISE GUI で、[Operation] > [RADIUS] > [Live logs] を選択します。[Identity] 列をエンドポイントの MAC アドレスでフィルタリングできます。
このエンドポイントの、Cisco ISE から開始された CoA アクションのエントリが一覧表示されます。詳細を確認すると、エンドポイントに適用した ANC ポリシーが [CoA Reason] に表示されます。
プロファイリングルール
Cisco AI エンドポイント分析のプロファイリングルールを使用すると、共通の属性を組み合わせてエンドポイントをグループ化できます。これらの属性により、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元でエンドポイントを識別できます。プロファイリングルールを使用すると、多くのエンドポイントを簡単に管理できます。
Cisco AI エンドポイント分析は、DPI、メディアプロトコル、医療業界のプロトコルなどを介してネットワークデバイスからプロファイリングデータを受信します。Cisco ISE からのプロファイリングデータは、pxGrid を介して通信されます。これらのプロファイリング属性をデバイスディクショナリで使用してプロファイルルールを作成できます。
プロファイリングルールは、Cisco AI エンドポイント分析の [Profiling Rules] タブで確認できます。このタブの下に表示されるテーブルで、[Rule Name] エントリをクリックすると、割り当てられたプロファイルと使用される属性が表示されます。
Cisco AI エンドポイント分析でエンドポイントをプロファイリングするために使用されるプロファイリングルールは次のとおりです。
システムルール
シスコの規則
Cisco AI ルール
ルールの優先順位付け
Cisco AI エンドポイント分析のプロファイリングルールには優先順位があります。プロファイリングルールの実行は、このルールの優先順位に従って、精度の高いエンドポイントをプロファイリングします。
Cisco AI エンドポイント分析ではユーザー入力がプライマリであるため、プロファイリングルールの優先順位は次のようになります。
更新をスケジュールする曜日のボタンをクリックします。複数の日を選択できます。次に、[Time Slot] テキストフィールドを使用して、更新の時間を選択します。Cisco DNA Center によって更新が受信されるまでに 30 分かかります。2 番目のタイムスロット領域は編集できず、スケジュールされた更新が完了すると予想される時間が表示されます。
ステップ 3
Cisco DNA Center がシステムルールの更新を受信すると、[Profiling Rules] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Profiling Rules])に通知が表示されます。ダイアログボックスで [Expand] をクリックすると、次の通知が表示されます。
[Status] 列の値が [Disabled] から [Active] に更新され、API のリストが表示されます。各 API の予期される要求および応答ペイロードを確認することもできます。
API バンドルを有効にすると、Cisco AI エンドポイント分析 API が Cisco DNA Center 開発者用ツールキットに追加されます。その後、[Developer Toolkit] ウィンドウ([Platform] > [Developer Toolkit])から API にアクセスできます。
AI アルゴリズムが展開全体で学習したエンドポイント プロファイリング データの変更に基づいた、不適切なラベルを含むプロファイリングルールの削除提案。ルールの削除を受け入れると、影響を受けるエンドポイントから不適切なプロファイリングラベルが削除されます。エンドポイントのプロファイリングタイプの値は空になるか、以前に割り当てられたラベルに戻ります。詳細については、プロファイリングルールを削除するためのスマート提案を参照してください。
カスタム プロファイリング ルールと Cisco AI ルールを移行するには、.json ファイルをインポートします。
手順
ステップ 1
[Profiling Rule] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Import Profiling Rules] を選択します。
ステップ 3
[Choose a file] をクリックし、システムの .json ファイルを参照します。
ステップ 4
[OK]をクリックします。
プロファイリングルールのエクスポート
Cisco AI エンドポイント分析からカスタムルールおよび Cisco AI プロファイリングルールをエクスポートしてバックアップできます。[Export Profiling Rules] オプションは、使用可能なすべてのカスタムルールと Cisco
AI プロファイリングルールをエクスポートします。ルールを選択してエクスポートすることはできません。
手順
ステップ 1
[Profiling Rules] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Export Profiling Rules] を選択します。
ステップ 3
[Yes] をクリックして、すべてのカスタムルールと ML プロファイリングルールをエクスポートします。終了するには、[No] をクリックします。
(注)
同じファイルを Cisco AI エンドポイント分析に再度インポートできます。
階層
Cisco AI エンドポイント分析階層は、エンドポイントタイプに基づいてエンドポイントの論理グループを作成するのに役立ちます。エンドポイントのカテゴリとサブカテゴリを作成すると、エンドポイントの可視性に焦点が当てられ、許可プロセスが簡素化されます。