可視性は、エンドポイントを保護するための最初のステップです。Cisco AI エンドポイント分析は、エンドポイントと Internet of Things(IoT)デバイスの識別とプロファイリングに役立つエンドポイント可視性ソリューションです。Cisco AI エンドポイント分析エンジンを使用すると、さまざまなソースからネットワーク経由で受信したテレメトリ情報を使用して、エンドポイントにラベルを割り当てることができます。
Cisco AI エンドポイント分析で使用できるプロファイリングラベルは、エンドポイントタイプ、ハードウェアモデル、製造元、およびオペレーティング システム タイプです。これは多要素分類と呼ばれます。
Cisco AI エンドポイント分析は、潜在的に危険なエンドポイントやデバイスを特定して対処することを可能にする信頼スコアなどの機能により、ネットワークにおける繊細な可視化と処置を実現します。Cisco AI エンドポイント分析の GUI から Cisco ISE を介して ANC ポリシーを適用することにより、潜在的なリスクを管理することもできます。Cisco AI エンドポイント分析でエンドポイントのランダムおよび変更 MAC アドレスの問題をモニターして回避し、MAC アドレスの代わりに「DUID」と呼ばれる一意の属性を使用してエンドポイントを正確に識別することができます。
Cisco AI エンドポイント分析は、さまざまなソースからエンドポイントテレメトリを収集するのに役立ちます。主要なソースは、Network-Based Application Recognition(NBAR)メカニズムです。NBAR メカニズムは、Cisco Catalyst
9000 シリーズ スイッチ(アクセスデバイス)に組み込まれていて、ディープ パケット インスペクション(DPI)を実行します。Cisco AI エンドポイント分析は、Cisco DNA トラフィック テレメトリ アプライアンスからテレメトリを受信することもできます。
Cisco AI エンドポイント分析を使用すると、さまざまなネットワークデバイスからのデータインフローが可能になり、エンドポイントをより高い精度で容易に識別してプロファイリングし、異常に対処する機能が拡張されます。Cisco AI エンドポイント分析では、さまざまなエンドポイント情報を集約し、そのデータを使用してエンドポイントをプロファイリングできます。エンドポイントのプロファイリング後、AI と機械学習アルゴリズムを使用して、さまざまな方法を直感的に活用することで不明なエンドポイントの数を減らすこともできます。
Cisco AI エンドポイント分析の主な機能
Cisco AI エンドポイント分析ダッシュボード
Cisco AI エンドポイント分析ダッシュボードでは、ネットワークに接続されているエンドポイントの全体像を確認できます。既知のエンドポイント、不明なエンドポイント、プロファイリングされたエンドポイント、プロファイリングされていないエンドポイント、信頼スコアが低いエンドポイント、およびランダム
MAC アドレスを使用するエンドポイントの数を表示できます。[AI Proposals] ダッシュレットには、エンドポイントのプロファイリングと管理を強化するためのインテリジェントなプロファイリングの提案が表示されます。
潜在的に危険なエンドポイントにフラグを付ける信頼スコア
Cisco AI エンドポイント分析は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニタして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。エンドポイントの信頼スコアを参照してください。
ランダム MAC アドレスを使用するエンドポイントの検出
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。
機械学習機能を使用したネット内の不明なエンドポイントの削減
Cisco AI エンドポイント分析では、エンドポイントのグループ化で学習した情報に基づいてプロファイリング提案が提供されます。このような提案を使用して、ネットワーク内の不明なエンドポイントやプロファイリングされていないエンドポイントの数を減らすことができます。
AI ベースのエンドポイントグループ化、カスタム プロファイリング ルール自動化、およびエンドポイントラベルに関する提案を受け取るには、また、ネットワーク内のスプーフィングされている可能性のあるデバイスを検出するには、[Cisco AI Analytics]
ウィンドウで、必要な設定を有効にする必要があります。
これらの AI ベースの提案を受け取るには、AI ネットワーク分析ソフトウェアをインストールする必要があります。
左上隅にあるメニューアイコンをクリックして次を選択します:[System] > [Settings] > [External Services] > [Cisco AI Analytics]の順に選択します。
有効にする次の各サービスのトグルボタンをクリックします。
AI エンドポイント分析:AI ネットワーク分析は、機械学習を利用してネットワークのインテリジェンスを推進し、ネットワークパフォーマンスを効果的に改善して問題解決を加速できるようにします。AI ネットワーク分析は、ネットワークの動作を分析し、ネットワーク環境に適応することで、ノイズや誤検出を大幅に削減します。
AI スプーフィング検出:AI スプーフィング検出は、事前トレーニング動作モデルに基づいてスプーフィングされているエンドポイントを識別します。 [Enable AI Spoofing Detection] トグルボタンを有効にすると、Catalyst Center はこれらの動作モデルとネットワークデバイスによって提供されるフロー情報を使用して、スプーフィングされたエンドポイントを検出できます。参加しているお客様から収集されたフロー情報を使用して、いくつかの行動モデルが構築され、集中的にトレーニングされます。
クラウドでスプーフィングの検出が実行されたら、Catalyst Center からクラウドに匿名化されたデータをエクスポートする必要があります。その後、Catalyst Center はスプーフィング検出のためにクラウドをポーリングします。
Cisco AI エンドポイント分析は、スマートグループ化アルゴリズムを使用して、ネットワーク内で類似するプロファイリングデータを持つ不明なエンドポイントをグループ化します。AI エンドポイント分析を有効にした場合、次のタイプのルール提案が表示されます。これらのルール提案は、次のようにエンドポイントクラスタから学習した内容に基づいています。
[Choose Your Product] ウィンドウで [Cisco DNA Center] をクリックし、Talos 脅威インテリジェンスの有効化用に選択します。
ステップ 10
[Activate Talos Threat Intelligence Application for your Product] ウィンドウでは、[Host Name/IP]、[Name]、[Description](ある場合)などです。[Type] ドロップダウンリストから、Cisco DNA Center などの登録する製品の適切なタイプを選択します。
ステップ 11
[登録(Register)]をクリックします。
ステップ 12
[Choose Your Product] ウィンドウで [Cisco DNA Center] をクリックして再度選択し、[Select Product] をクリックします。
ステップ 13
[Authenticate your Product] ウィンドウで [Auto Redeem] をクリックし、OTP を自動的に引き換えて製品を認証します。Cisco DNA Center が新しいウィンドウで開きます。
ワンタイムパスコード(OTP)をコピーしてウィンドウを閉じ、製品を手動で登録することもできます。
ステップ 14
表示される Cisco DNA Center のウィンドウで、Cisco DNA Center のログイン情報を使用してログインします。
(注)
登録が成功したら、ウィンドウを閉じて Cisco DNA Cloud に進み、ワークフローを続行します。
Cisco DNA Center を Cisco DNA Cloud に登録したら、3 分待ってからステップ 15 に進みます。
Catalyst Center - Cloud の GUI([Menu] > [Applications])で、登録した製品と登録ステータスを確認できます。
ステップ 15
[Scope Selection] ウィンドウで Cisco DNA Center に必要な範囲を選択し、[Next] をクリックします。
Cisco DNA Center 用に選択されたアプリケーション、製品、および範囲を要約する [Summary] ウィンドウが表示されます。
ステップ 16
[Activate] をクリックし、Cisco DNA Center を Talos 脅威インテリジェンスに接続します。
有効化のステータスが表示されます。
ステップ 17
(Cisco DNA Center デバイスを初めて登録し、Cisco DNA – Cloud で Talos を有効化した場合)[Exit] をクリックしてウィンドウを閉じます。
(Cisco DNA – Cloud で事前登録済みの Cisco DNA Center デバイスの Talos を有効化した場合)[Exit] をクリックし、Cisco DNA – Cloud の [Applications] ウィンドウに戻ります。[Applications] ウィンドウに接続されたアプリケーションが表示されます。
クラウド認証を使用した Cisco AI エンドポイント分析 と Cisco Talos インテリジェンスの統合
[Register Product] ペインで、[Host Name/IP]、[Name]、[Description](ある場合)などの必要な詳細を入力します。[Type] ドロップダウンリストから、Cisco DNA Center などの登録する製品の適切なタイプを選択します。[登録(Register)]をクリックします。
(注)
[Enable Cloud Access Login] チェックボックスをオンにして、Catalyst Center - Cloud から Catalyst Center への自動ログインを有効にします。
OTP の交換が自動的に行われ、Catalyst Center が新しいウィンドウで開きます。
ステップ 7
Catalyst Center ウィンドウで、Catalyst Center のログイン情報を使用してログインします。
登録が成功したら、ウィンドウを閉じて Catalyst Center - Cloud に進み、ワークフローを続行します。
Catalyst Center デバイスを Catalyst Center - Cloud に登録したら、3 分待ってからステップ 8 に進みます。
ステップ 8
Catalyst Center - Cloud の GUI([Menu] > [Applications])で、登録した製品と登録ステータスを確認できます。
ステップ 9
Catalyst Center の GUI で、Cisco AI エンドポイント分析 ウィンドウ([AI Endpoint Analytics] > [Configurations] > [Trust Analytics])に移動し、[Talos IP Reputation] トグルボタンをクリックして有効にします。[Trust Score Sources] ウィンドウか [Cisco DNA Center System Settings] ウィンドウから [Talos IP Reputation] を有効にできます。
[Talos IP Reputation] を有効にすると、Catalyst Center は更新された IP のレピュテーションデータが利用可能になるたびにそのデータを受信します。ネットワーク内のエンドポイントが信頼できない IP アドレスにアクセスしようとすると、フラグが設定され、エンドポイントの [Trust Score] ビューの Talos IP レピュテーションに対して、「Detected」という警告メッセージが表示されます。この警告により、エンドポイントの全体的な信頼スコアが低下します。Talos IP レピュテーション機能により、アクセスされた信頼できない IP アドレスと、エンドポイントによるアクセス試行回数に関する情報が保存されます。この情報は、ネットワークのセキュリティを強化することを決定するときに役立ちます。
[Talos Reputation] ウィンドウ([Cisco DNA Center System Settings] > [Talos IP Reputation])には、Talos から受信したさまざまなファイルの最新バージョンが表示されます。これらのファイルを受信した時刻も表示されます。IPv4 および IPv6 ファイルは Talos IP レピュテーション データ ファイルであり、通常 1 日に
1 回更新されます。ただし、Threat Level ファイルはメタデータであり、このファイルが変更されることはほとんどありません。
Cisco ISE への許可属性の公開
ネットワークへのエンドポイントアクセスを承認し、エンドポイントを制御するために、Cisco ISE へ AI エンドポイント分析プロファイルデータを公開します。Cisco AI エンドポイント分析によって共有される属性情報には、AI エンドポイント分析ディクショナリを介して
Cisco ISE 管理者が簡単にアクセスできるようになります。Cisco ISE 管理者は、Cisco ISE で許可ポリシーを簡単に作成できます。次の属性が Cisco ISE と共有されます。
展開内では、アクセスレイヤにあるデバイスとアクセスレイヤよりも上にあるデバイスの IP サブネットが異なります。シスコの TTA デバイスの場合、エンドポイント プロファイリングの精度は、Cisco AI エンドポイント分析によってサウスバウンドトラフィックのみが分析される場合に最大になります。エンドポイント プロファイリングを向上させるには、Cisco AI エンドポイント分析 で分析する必要がある特定の IP サブネットまたはサブネット範囲を設定します。
必要な [View Known Profiles] ボタンをクリックして、[All Endpoints] ビューに表示されるエンドポイントのリストをフィルタ処理することもできます。エンドポイントタイプ、ハードウェア製造元、ハードウェアモデル、および OS タイプでエンドポイントのリストをフィルタ処理できます。
ネットワーク内に NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
同時 MAC アドレス
同じ MAC アドレスを共有し、Cisco Catalyst 9000シリーズ デバイスに接続されているエンドポイントを特定してください。共有 MAC アドレスを持つエンドポイントには、同時 MAC アドレススコアが割り当てられます。これにより、容易に、それらのエンドポイントを識別して詳細情報を調べることができます。
その後、Cisco ISE から適応型ネットワーク制御(ANC)ポリシーを適用して、エンドポイントで適切な修復アクションを実施することができます。Cisco ISE の管理者ガイドで「Maintain and Monitor」の章にある「Adaptive Network Control」を参照してください。
ANC ポリシーは、Cisco ISE で定義され、選択したエンドポイントに修復アクションを適用することを可能にします。ANC ポリシーを適用して、エンドポイントを隔離またはシャットダウンしたり、エンドポイントのポートをバウンスしたり、エンドポイントの再認証を強制的に実行することができます。Cisco AI エンドポイント分析で望ましくない信頼スコアを持つエンドポイントに ANC ポリシーを適用すると、認可変更(CoA)が Cisco ISE からそのエンドポイントに送信されます。
エンドポイントは、MAC アドレスによって識別されます。Cisco ISE は、ANC 適用時点で識別された MAC アドレスに関してアクティブセッションを保持しているエンドポイントに CoA を送信します。その時点で Cisco ISE においてアクティブセッションを持たない、同じ MAC アドレスのエンドポイントは、新しいセッションが開始されたときに、または設定された再認証タイマーの終了時に再認証する必要がある場合に、ANC ポリシーと照合されます。
ANC ポリシーが適用されているエンドポイントを確認するには、Cisco ISE 管理ポータルにログインします。メインメニューから、[Operations] > [RADIUS] > [Live Sessions] の順に選択します。[Endpoint ID] 列に、スプーフィングされたエンドポイントの MAC アドレスを入力します。これにより、同じ MAC アドレスを共有し、現在 Cisco ISE でライブセッションを持つエンドポイントがフィルタ処理されます。これらが、ANC ポリシーの影響を受けるエンドポイントです。
Cisco ISE で RADIUS セッションの履歴ログを表示するには、メインメニューから、[Operations] > [Reports] > [Reports] > [Endpoints and Users] > [RADIUS Authentications] の順に選択します。
Cisco ISE でエンドポイントへの ANC ポリシーの適用を表示または変更するには、メインメニューから、[Context Visibility] > [Endpoints] の順に選択します。必要に応じて、エンドポイントの MAC アドレスの横にあるチェックボックスをオンにして、リストの上部に表示されるオプションをクリックしてください。
前提条件
エンドポイントの信頼スコアを受信するための前提条件:
Cisco ISE がオンプレミス Catalyst Center に接続されている。
ネットワーク アクセス デバイスが、Cisco Catalyst アシュアランス と Cisco ISE の両方によって管理されている。
影響を受けるエンドポイントが Cisco ISE に接続されている場合は、この異常に関するデータが Cisco ISE に送信されます。このデータは、Cisco ISE 管理者がポリシーを定義するために簡単に使用できるエンドポイント分析ディクショナリ属性として使用できます。
エンドポイント属性の競合の検出は、カスタムルールが適用されているエンドポイントには使用できません。
NAT モード検出
ネットワークアドレス変換(NAT)は、登録されていない IP アドレスを使用してインターネットへ接続するプライベート IP インターネットワークを可能にします。NAT は、ネットワーク全体で 1 つだけのアドレスを外部にアドバタイズするように設定できます。ネットワーク内に
NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
NAC 対応ルータとして機能するデバイスは、不正なエンドポイントをネットワークに接続させる可能性があるため、NAT 検出が信頼スコアの計算に含まれます。NAT モード検出スコアが割り当てられているエンドポイントの場合は、[Endpoint Inventory]
タブで MAC アドレスをクリックすると、スライドインウィンドウにエンドポイントの詳細情報が表示されます。エンドポイントのアイデンティティがネットワーク内の NAT 対応ルータに対応していることが確実な場合は、次の手順を実行します。
Cisco Catalyst 9000 シリーズ デバイスに接続された同時 MAC アドレスを持つエンドポイント
同じ MAC アドレスを共有し、Cisco Catalyst 9000 シリーズ デバイスに接続されているエンドポイントを特定してください。同時 MAC アドレスを持つエンドポイントの問題は、有線環境と、有線展開およびワイヤレス展開を含むハイブリッド環境で発生します。ワイヤレス環境では、常時、特定の
MAC アドレスを持つエンドポイントは 1 つしかネットワークにアクセスできないため、同時 MAC アドレスは発生しません。
Cisco AI エンドポイント分析では、同時 MAC アドレススコアをエンドポイントに割り当てることにより、同時 MAC アドレスを持つエンドポイントを特定することができます。ネットワーク内で共有 MAC アドレスを持つエンドポイントを検出するには、接続されている
Cisco Catalyst 9000 シリーズ デバイスで CBAR を有効にする必要があります。
同じ MAC アドレスを持つデバイスが Cisco Catalyst 9000 シリーズ デバイスに接続すると、それらのエンドポイントは同時エンドポイントとして認識され、その MAC アドレスに低いスコアが割り当てられます。同時 MAC アドレスを持つエンドポイントは、次のデバイスに接続できます。
異なる VLAN から同じ Cisco Catalyst 9000 シリーズ デバイス
異なる Cisco Catalyst 9000 シリーズ デバイス
表 1. 同時 MAC アドレスの問題が発生する環境
展開 1
展開 2
ネットワークで同時 MAC アドレスが発生するか
この環境での同時 MAC アドレス検出のサポート
有線
有線
対応
対応
有線
ワイヤレス
対応
対応
ワイヤレス
有線
対応
対応
ワイヤレス
ワイヤレス
非対応
非対応
[Endpoint Inventory] タブの [Trust Scores] ビューに [Concurrent MAC Address] 列があります。共有 MAC アドレスは異常として検出され、[Concurrent MAC Address] 列に低いスコアが割り当てられます。[MAC Address] をクリックすると、スライドインウィンドウが表示され、その MAC アドレスの詳細情報が示されます。[Concurrent MAC Address] をクリックすると、フィールドが展開され、MAC アドレスのさまざまな送信元に関する情報が表示されます。
プライバシー対策として、モバイルデバイスでは接続先の SSID ごとにランダムおよび変更 MAC アドレスを使用することが増えています。一部のデスクトップ オペレーティング システムは、ユーザーが定期的に MAC アドレスをランダム化する機能も提供しています。つまり、エンドポイントは、異なる
SSID に接続するたびに異なる MAC アドレスを提示します。
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。Cisco ISE での GUID の割り当て方法の詳細については、Cisco ISE の管理者ガイド(リリース 3.1)を参照してください。
Cisco AI エンドポイント分析の [Overview] ウィンドウの [Endpoint MAC Randomization] ダッシュレットには、ネットワーク内のランダムおよび変更 MAC アドレスを使用しているエンドポイントの数がグラフィカルに表示されます。
Cisco ISE に接続され、DUID 情報を使用可能なエンドポイントの場合、この情報は Cisco AI エンドポイント分析にも表示されます。次の列には、Cisco AI エンドポイント分析の [Endpoint Inventory] ウィンドウで必要になる情報が表示されます。
[DUID]:エンドポイントの DUID 値。
[Previous MAC Addresses]:エンドポイントが以前にネットワークへの接続に使用していたランダムおよび変更 MAC アドレス。
DUID 値を使用することで、Cisco AI エンドポイント分析では、エンドポイントを確実に識別し、エンドポイントが以前に使用していたさまざまな MAC アドレスを追跡することが可能になっています。これは、ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアも高精度であることを意味します。以前の
MAC アドレスでのエンドポイントの信頼スコアは、エンドポイントが提示している現在の MAC アドレスに引き継がれ、同じエンドポイントに関して受信されたプローブデータの影響を受け続けます。
デバイスで [Private Address] 設定が有効になっている場合、このデバイスの [Is MAC Random] 列に [Yes] という値が表示されます。つまり、このデバイスは、ランダムおよび変更 MAC アドレスとして認識されます。ただし、このデバイスに関して DUID 値を使用できるかどうかは、エンドポイントが Cisco ISE を介して認証されているかどうかと、Cisco ISE でこのエンドポイントの
GUID が生成されているかどうかに依存します。
Cisco DNA Center アプリケーションのホスティングウィンドウで、.tar ファイルを有効にした少なくとも 1 つの Cisco Catalyst 9000 シリーズ デバイスの [App Hosting Status] がアクティブであることを確認します。
ステップ 6
前の手順で説明したようにアクティブプローブコンテナをインストールして有効にした後、[Security Sensor] 領域で、Cisco AI エンドポイント分析の信頼スコア設定を構成して、Cisco ISE に接続されているエンドポイントと、アクティブなプローブアプリケーションが有効になっている
Cisco Catalyst デバイスで、開いているポートと、脆弱なクレデンシャルをスキャンできます。
[Open Port Scan] トグルボタンをクリックして、Cisco AI エンドポイント分析がポートスキャンをプロアクティブに実行して、ネットワーク上の定義済みエンドポイントで考えられる脆弱性を検出して解決できるようにします。
[Credential Vulnerability Scan] トグルボタンをクリックして、ネットワーク上のエンドポイントが脆弱なクレデンシャルを使用している場合に、Cisco AI エンドポイント分析がプロアクティブに検出できるようにして、悪意のあるアクティビティを防止します。
ステップ 7
(任意) 開いているポートのスキャンを有効にすることを選択した場合は、[Open Port Scan] 領域の [Scan Configuration] をクリックしてスキャンを定義できます。
エンドポイントの登録時に各エンドポイントをスキャンするには、[On enrollment, scan all endpoints] オプションボタンを選択します。
サブネット、プロファイル属性などにより、開いているポートのスキャンの範囲を定義するには、[Create a Custom Scan] オプションボタンを選択します。
どちらのタイプのポートのスキャンでも、許可されていないポートのリストを定義して、常に閉じておく必要があるポートを指定します。このリストにより、Cisco AI エンドポイント分析はエンドポイントの異常なポートアクティビティを認識し、低い信頼スコアを割り当てることができます。どちらのタイプのポートのスキャンでも、設定できるスキャンの最小頻度は
12 時間です。
同時 MAC アドレス検出とは、同じ MAC アドレスを持つ 2 つのエンドポイントがネットワークにアクセスしてトラフィックを生成していることが検出されることを意味します。次に、実際のエンドポイントとスプーフィングされたエンドポイントを区別し、スプーフィングされたエンドポイントに対して必要な修復アクションを実行することが不可欠になります。
コントロール エンドポイント スプーフィング機能は、エンドポイントの MAC アドレス以外のネットワーク情報を提供することにより、詳細なポリシーコントロールを提供します。ネットワーク情報には、サイト情報、ネットワークデバイスの IP アドレス、ネットワークデバイスポート、最初に承認されたタイムスタンプ、最後に承認されたタイムスタンプ、およびエンドポイントがネットワークで使用可能であった期間が含まれます。従来のように
MAC アドレスでエントリを区別するか、MAC アドレスと提供されたネットワーク情報の両方を使用してエントリを区別するかを選択できます。MAC アドレスと接続(ネットワーク情報)で区別することを選択した場合、スプーフィングされたエンドポイントを検出するための選択が自動的に行われます。自動選択を使用するか、スプーフィングされたエンドポイントであると思われるものを選択して、そのエンドポイントに適切な修復アクションを適用することができます。使用可能な修復アクションは、Cisco ISE で設定された適応型ネットワーク制御(ANC)ポリシーです。
ダイナミック認証を、ネットワークデバイスで設定する必要があります。Catalyst Center から AAA 設定を使用してネットワークデバイスをプロビジョニングすることをお勧めします。
手順
ステップ 1
Catalyst Center の GUI から、[Policy] > [AI Endpoint Analytics] > [Endpoint Inventory] > [View endpoints in trust score view] の順に選択します。
ステップ 2
確認するエンドポイントをクリックして、ANC ポリシーを適用します。
ステップ 3
[Trust Score] > [Concurrent MAC Address] を選択します。
ステップ 4
[Apply ANC Policy] をクリックします。
ステップ 5
[Apply ANC Policy] ウィンドウで、[Based on MAC address] または [Based on MAC address and connectivity] を選択します。
ステップ 6
[Apply ANC Policy] ドロップダウンリストから適切な修復アクションを選択します。
ステップ 7
[Apply ANC Policy] をクリックします。
このタスクを完了した後、そのエンドポイントの [Trust Score] ビューに戻ると、ANC ポリシー名と、ポリシーが適用されたネットワークデバイスの IP アドレスと、ANC ポリシーが適用された時刻を確認できます。
設定を確認するには、Cisco ISE の GUI で、[Operation] > [RADIUS] > [Live logs] の順に選択します。[Identity] 列をエンドポイントの MAC アドレスでフィルタリングできます。
このエンドポイントの Cisco ISE から開始された CoA アクションのエントリが一覧表示されます。詳細を確認すると、エンドポイントに適用した ANC ポリシーが [CoA Reason] に表示されます。
プロファイリングルール
Cisco AI エンドポイント分析のプロファイリングルールを使用すると、共通の属性を組み合わせてエンドポイントをグループ化できます。これらの属性により、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元でエンドポイントを識別できます。プロファイリングルールを使用すると、多くのエンドポイントを簡単に管理できます。
Cisco AI エンドポイント分析は、DPI、メディアプロトコル、医療業界のプロトコルなどを介してネットワークデバイスからプロファイリングデータを受信します。Cisco ISE からのプロファイリングデータは、pxGrid を介して通信されます。これらのプロファイリング属性をデバイスディクショナリで使用してプロファイルルールを作成できます。
プロファイリングルールは、Cisco AI エンドポイント分析の [Profiling Rules] タブで確認できます。このタブの下に表示されるテーブルで、[Rule Name] エントリをクリックすると、割り当てられたプロファイルと使用される属性が表示されます。
Cisco AI エンドポイント分析でエンドポイントをプロファイリングするために使用されるプロファイリングルールは次のとおりです。
システムルール
シスコの規則
Cisco AI ルール
ルールの優先順位付け
Cisco AI エンドポイント分析のプロファイリングルールには優先順位があります。プロファイリングルールの実行は、このルールの優先順位に従って、精度の高いエンドポイントをプロファイリングします。
Cisco AI エンドポイント分析ではユーザー入力がプライマリであるため、プロファイリングルールの優先順位は次のようになります。
[Status] 列の値が [Disabled] から [Active] に更新され、API のリストが表示されます。各 API の予期される要求および応答ペイロードを確認することもできます。
API バンドルを有効にすると、Cisco AI エンドポイント分析 API が Catalyst Center 開発者用ツールキットに追加されます。その後、[Developer Toolkit] ウィンドウ([Platform] > [Developer Toolkit])から API にアクセスできます。
AI アルゴリズムが展開全体で学習したエンドポイント プロファイリング データの変更に基づいた、不適切なラベルを含むプロファイリングルールの削除提案。ルールの削除を受け入れると、影響を受けるエンドポイントから不適切なプロファイリングラベルが削除されます。エンドポイントのプロファイリングタイプの値は空になるか、以前に割り当てられたラベルに戻ります。詳細については、プロファイリングルールを削除するためのスマート提案を参照してください。
カスタム プロファイリング ルールと Cisco AI ルールを移行するには、.json ファイルをインポートします。
手順
ステップ 1
[Profiling Rule] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Import Profiling Rules] を選択します。
ステップ 3
[Choose a file] をクリックし、システムの .json ファイルを参照します。
ステップ 4
[OK]をクリックします。
プロファイリングルールのエクスポート
Cisco AI エンドポイント分析からカスタムルールおよび Cisco AI プロファイリングルールをエクスポートしてバックアップできます。[Export Profiling Rules] オプションは、使用可能なすべてのカスタムルールと Cisco
AI プロファイリングルールをエクスポートします。ルールを選択してエクスポートすることはできません。
手順
ステップ 1
[Profiling Rules] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Export Profiling Rules] を選択します。
ステップ 3
[Yes] をクリックして、すべてのカスタムルールと ML プロファイリングルールをエクスポートします。終了するには、[No] をクリックします。
(注)
同じファイルを Cisco AI エンドポイント分析に再度インポートできます。
階層
Cisco AI エンドポイント分析階層は、エンドポイントタイプに基づいてエンドポイントの論理グループを作成するのに役立ちます。エンドポイントのカテゴリとサブカテゴリを作成すると、エンドポイントの可視性に焦点が当てられ、許可プロセスが簡素化されます。