Cisco Tetration、リリース 3.1.1.53、リリース ノート
Cisco Tetration、リリース 3.1.1.53、リリース ノート
このマニュアルでは、Cisco Tetration Analytics ソフトウェアの機能、不具合、および制限について説明します。
Cisco Tetration Analytics は、サーバ、Cisco Nexus®スイッチ、エンドポイントデバイス (ラップトップ、デスクトップ、スマートフォンなど) から収集された豊富なトラフィックテレメトリを使用して、データセンターの運用およびセキュリティの課題の数に対応するように設計されています。プラットフォームは、ホリスティックなワークロード保護プラットフォームを提供するためのアルゴリズムアプローチを使用して高度な分析を実行します。このアルゴリズム的アプローチには、人手を介さない機械学習技術や動作分析が含まれています。プラットフォームには、次の使用事例をサポートするすぐに使用可能なソリューションが用意されています。
■ ホワイト リスト ポリシーの生成を自動化する動作ベースのアプリケーションの分析情報を提供する
■ アプリケーションのセグメンテーションを提供して、ゼロ信頼実績を効率とセキュリティを有効にする
■ オンプレミス データセンター、およびプライベート クラウドとパブリック クラウドの環境全体で一貫性のあるポリシー適用を実現する
■ プロセスの動作の違い、ソフトウェアの脆弱性、および攻撃対象領域を削減するへの公開を識別する
■ アプリケーションの動作の変更やポリシーの遵守違反をほぼリアルタイムに特定する
■ 異種環境での包括的なテレメトリ処理をサポートすることにより、実用的な情報を数分で提供する
■ スイッチとサーバの両方から収集されたテレメトリデータに基づいた包括的なネットワークのパフォーマンス メトリック
■ 詳細なフォレンジック、分析、およびトラブルシューティングのデータを長期間保持する
Cisco Tetration Analytics プラットフォーム内でケースの様々な使用事例をサポートするため、プラットフォームではデータセンター インフラストラクチャ全体からの一貫したテレメトリ データが必要です。豊富な Cisco Tetration Analytics テレメトリはセンサーを使用して収集されます。さまざまなタイプのセンサーがあり、ブラウンフィールドとグリーンフィールドデータセンターインフラストラクチャの両方をサポートするために使用できます。このリリースでは、次のセンサータイプがサポートされています。
■ 仮想マシン、ベアメタル、またはコンテナホストにインストールされているソフトウェアセンサー
■ Cisco Nexus 9000 cloudscale シリーズスイッチの内蔵ハードウェアセンサー
■ コピーされたパケットから Cisco Tetration テレメトリを生成できる ERSPAN センサー
■ Cisco Tetration テレメトリベースの Netflow v9 または IPFIX レコードを生成できる Netflow センサー
■ ラップトップ、デスクトップ、スマートフォンなどのエンドポイントからテレメトリを収集するための Cisco AnyConnect プロキシ
ソフトウェアセンサーもまた、アプリケーションセグメンテーションのポリシー施行ポイントとしても機能します。このアプローチを使用して、Cisco Tetration Analytics プラットフォームは、パブリック、プライベート、およびオンプレミスの導入全体で一貫性のある適用を実現します。センサーはネイティブのオペレーティング システム機能を使用するポリシーを適用し、でデータパスにセンサーを置く必要がなく、フェールセーフなオプションが提供されます。その他の製品マニュアルについては、「関連資料」の項を参照してください。
リリース ノートは、制限や警告に関する新しい情報によって更新される場合があります。このドキュメントの最新バージョンについては、次の Web サイトを参照してください。
Table 1 に、このドキュメントのオンライン変更履歴を示します。
表 1 オンライン変更履歴
| 日付 |
説明 |
| 2018 年 10 月 31 日 |
リリース 3.1.1.53 が使用可能になりました。 |
| 2018 年 12 月 7 日 |
「新しいソフトウェア機能」セクションでは、ADM 機能の拡張機能に関する情報を追加しました。 |
目次
このマニュアルの構成は、次のとおりです。
■ 注意事項
■ 関連資料
New and Changed Information
This section lists the new and changed features in this release and includes the following topics:
■ 動作における変更
新しいソフトウェア機能
このリリースでは、次の新しいソフトウェア機能を使用できます。
■ 完全な可視性とポリシーの適用サポートは、次のオペレーティング システムのバージョンで拡張されています。
— Red Hat Enterprise Linux リリース 6.10 および 7.5
— CentOS リリース 6.10 および 7.5
— Oracle Linux 6.10 および 7.5
— SUSE Linux 12.3
■ Z/Linux オペレーティング システムを実行している IBM zSystems のベータ機能として、完全な可視性とポリシー適用機能を利用できます。このリリースでは、次の配信およびバージョンの z/Linux サポートを使用できます。
— SUSE Linux 11.2、11.3、および 11.4
— SUSE Linux 12.0、12.1、12.2、および 12.3
■ Cisco AnyConnect NVM モジュールを使用して、ラップトップ、デスクトップ、スマートフォンなどのエンドポイント デバイスからテレメトリを収集するためのサポートが追加されました。Cisco AnyConnect サポートには、次の利点があります。
— このサポートによりエンドポイントからのテレメトリが強化され、ユーザー、ユーザー グループ、およびユーザーのロケーション情報に基づいて、可視性とより強力なセグメンテーション ポリシーが提供されます。
— Cisco AnyConnect NVM モジュールからのテレメトリは、プロキシ VM を介して集約されます。このプロキシ VM の OVA は、Cisco Tetration のダウンロード ページからダウンロードできます。
— Cisco AnyConnect NVM モジュールの詳細については、次のドキュメントを参照してください。 https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200600-Install-and-Configure-Cisco-Network-Visi.pdf
■ 新しいセンサーのインストールとセンサーのアップグレードの両方について、このリリースのその他の詳細な可視性および適用ソフトウェア センサー関連の更新:
— このリリース以降、管理者は OS バージョンごとに個別のソフトウェア パッケージをダウンロードする必要はありません。管理者は、OS タイプ (Linux または Windows) と可視性のみまたは適用を選択する必要があります。スタブ インストーラは、正しい OS バージョンを決定するための事前チェックを実行し、クラスタから必要なインストール ファイルをダウンロードします。インストール パッケージ バンドルをダウンロードする従来のメカニズムは、このリリースでも引き続き利用できますが、今後は廃止されます。
— Windows センサーのインストール ファイルは、自動化を容易にするために MSI 形式で使用できるようになりました。新規インストールの場合は、新しいインストール スクリプトによって MSI が自動的にダウンロードされ、ホストにインストールされます。3.1.1.53 以前のリリースから 3.1.1.53 リリースに移行する場合は、UI ワークフローを使用して、現在のセンサーがアップグレードを内部的に処理できるようにする必要があります。
— Linux インストーラ スクリプトでは、ネストされた RPM は使用されず、センサー代替の電話機もインストールされません。
— Linux エージェント RPM は rpm コマンドの出力に「tet-sensor-<version>」と表示します。センサーのバイナリ バージョンは RPM バージョンと一致している必要があります。
■ このリリースには、次のワークロード保護機能が含まれています。
— セキュリティ ダッシュボードが追加され、アプリケーション範囲、テナント (ルート範囲)、またはデータセンター全体のセキュリティ状況が表示されるようになりました。このダッシュボードには複合セキュリティ スコアが含まれており、全体的なスコアに寄与するさまざまなメトリックが表示されます。ドリル ダウンして、スコアの背後にある各メトリックの詳細を確認することができます。
— バックエンドと UI の設定ノブを使用して、マルチキャスト/ブロードキャスト トラフィックの有効化をサポートします。
— IPv6 スタックが有効になっていない場合、適用は IPv6 の適用をスキップします (ランタイムに実行されます)。
— Linux のフロー ディスポジション: ポリシーにドロップされたポリシーが含まれている場合 (具体的なルールと catch-all ドロップ ルールの両方)、すべてのドロップされたフローは、詳細な可視性エージェントがフローをキャプチャできるように、NFLOG を使用してすべてのドロップされたフローをロギングします。
— フォレンジック機能は、通信動作パターンやその他の基準に基づいて、データ漏洩信号を検出するように拡張されています。拡張フォレンジック機能には、次のものが含まれます。
§ 一時分析を使用してプロバイダーとコンシューマ間の通信を分析およびベースライン化します (これについては、時期を考慮してください)。
§ 通信動作の逸脱を検出します (デフォルトのアウトオブボックス ルールを使用できます)。
§ 新しいイベントと他のフォレンジックイベントを関連付けます。
§ 条件が満たされた場合にイベントを生成します。
— フォレンジック ルールにおける新しいフォレンジック イベント タイプ:
§ ユーザー ログオンのフォロー: ユーザー ログオン イベント プロセス (SSH や RDP など) の後に分岐または実行された子孫プロセス (最大 4 レベル) を報告するプロセス イベントを表します。このイベント タイプで報告されるプロセスは監査目的であり、セキュリティ イベントは必要ありません。
§ データ リーク: 一定時間のプロデューサ コンシューマ比率の異常を特定することによって、データ リークの可能性があるインシデントを検出するワークロード イベントを表します。データ リーク イベント タイプには、次の利点があります。
· データ リーク イベントを記録し、データ リーク イベントに関するアラートを送信するためのデフォルトのフォレンジック ルールを提供します。ユーザーは、データ リーク イベントのさまざまな属性に基づいて独自の洗練されたフォレンジックルールを作成して、システムの検出結果を向上させることができます。
· ユーザーは、7 日以内に同じワークロードで発生する 3 種類のフォレンジック イベント (ログイン失敗、ログイン、および非表示コマンド) と、PCR の異常を相関させることができます。
· ユーザーがデータ リーク イベント内の関連する属性を使用して、定期的な cron ジョブによって引き起こされる誤検出を減らすことができるように、季節性検出方式を提供します。
· データ リークのフォレンジック ルールの重大度に基づいて、セキュリティ ダッシュボードのデータ リーク スコアを提供します。
— 新しい 4 つのデフォルト フォレンジック ルール: 新しいルールは、環境内で意味のある事前定義されたルールを構築するのに役立ちます。デフォルトのルールは、デフォルト プロファイル「Tetrtrprofile」を有効にするか、またはユーザーのフォレンジック プロファイルに追加することによって適用できます。ルールは、フォレンジック設定ページに表示されます。ルールは編集できず、すべてのルート範囲でのみ使用できます。
— Linux でのファイル アクセスおよび Raw ソケット作成フォレンジック イベントは Linux Auditd によって異なります。センサーがインストールされているマシンでは、Auditd が有効になっている必要があります。さらに、Redhat と SUSE マシンの /etc/sysconfig/auditd ファイル、または Ubuntu マシンの /etc/default/auditd ファイルで設定 USE_AUGENRULES="yes" または USE_AUGENRULES="YES" が必要です。
— ファイル アクセス フォレンジック イベントは、ファイルの修正セットをモニタします。詳細はユーザー ガイドをご覧ください。
— Meltdown エクスプロイトの検出と異常なキャッシュ アクティビティの検出は、エージェント設定ページから個別に有効にすることができます。Meltdown エクスプロイト検出は、現在、ベアメタルと仮想マシンの両方で CentOS 7、Ubuntu 14.04、および Ubuntu 16.04 をサポートしています。異常なキャッシュ アクティビティ検出は、現在、ベアメタル マシン上で実行されている CentOS 7 と Ubuntu 16.04 をサポートしています。
— プロセス ハッシュの異常この機能により、次のような機能が提供されます。
§ システム内のプロセス ハッシュの異常を分析して検出します。
§ ワークロード間で同じプロセス グループ内のプロセス ハッシュの不一致を検出します。
§ プロセス グループは、実行可能バイナリ パスと OS バージョンの同じ組み合わせを持つ一連のプロセスとして定義されます。
§ (OpenAPI を使用して) アップロードしたブラックリストに表示されるプロセス ハッシュを検出します。
§ ホワイトリストをアップロードして、誤アラームを防止できます (OpenAPI を使用)。
§ 脅威インテリジェンスを使用して NIST RDS ハッシュを設定し、そのハッシュをホワイトリストとして使用できます。
§ SHA-256 と SHA-1 の両方をサポートします。
§ ブラックリスト/ホワイトリスト一致と周波数分析に基づいてハッシュをスコアリングします。
— NIST ホワイトリスト データベースに対してワークロード上で実行されているプロセスをチェックして、プロセスが正常であることを確認します。
— 管理者は、ホワイトリストに登録する必要があるカスタム プロセスをアップロードできます。
— 特定のアプリケーション範囲またはルート範囲内のワークロード全体でのプロセス ハッシュの一貫性を確認します。ハッシュ値が同じプロセスで異なる場合は、複合セキュリティ スコアに影響します。
— ポリシー定義は、次の LDAP パラメータをサポートするように拡張されています。
§ CN
§ ユーザ グループ
§ 場所
§ 説明
— 自動更新が無効になっている場合は、脆弱性やその他の脅威データソースを手動でアップロードできるようになりました。最新の脅威データソースは、https://updates.tetrationcloud.com からダウンロードできます。次のデータ ソースは手動で更新できます。
§ CVE データベース
§ Geo データベース
§ Bogon IP アドレス リスト
§ Team Cymru (Zeus C&C リスト)
■ CMDB のアップロード
— OpenAPI は、CSV ファイル内のエントリの重複に関する警告を生成するようになりました。
— サブネットベースの注釈継承がサポートされるようになりました。高プレフィックス サブネットに対して定義されたタグ値は、下位のプレフィックス サブネットまたは IP アドレスによって継承されます (値が欠落している場合)。
■ レガシー ホスト プロファイル ページがワークロード プロファイル ページに置き換えられるようになりました。
— ワークロード プロファイル ページは、Cisco Tetration ソフトウェア エージェントがインストールされているか、または AnyConnect NVM を有効にしているエンドポイントを持つホストで使用できます。
— ワークロード プロファイル ページには、インベントリ プロファイル ページよりも多くの情報が含まれています。
— エージェントのタイプに基づいて、長期間のプロセス、インストールされたパッケージ、プロセス スナップショット、適用ポリシー、データ リーク、ファイル ハッシュ、訪問履歴、およびエージェント関連情報が情報に含まれます。
— ワークロード情報ページには、訪問履歴が表示されます。このページには、次のようなワークロードの通信先の情報が表示されます。
§ Geo ロケーション: 都道府県、国、および市区町村。
§ AS 番号と AS 所有者 (AS 番号を所有する組織)。
§ ドメイン情報: これは、Cisco Anyconnect NVM モジュールが Cisco Tetration プラットフォームにテレメトリを送信している場合にのみ使用できます。
§ DNS リゾルバ。
— インベントリ プロファイル ページは、フロー テレメトリ データを通じて報告されるすべての IP アドレスで引き続き使用できます。インベントリ プロファイルは引き続き、範囲、ユーザー注釈、およびその他のインベントリ フィルタでタグ付けされます。
■ このリリースには、アラート設定ワークフローの変更に加えて、アラートの拡張オプションが含まれています。また、アラートの処理とパブリッシュのために外部仮想アプライアンスが導入されています。
— アラート Cisco Tetration アプリが削除され、アラート設定に新しい簡素化されたワークフローを使用できます。
— 中央集中型のユーザー インターフェイス ページを使用して、アラートを設定できるようになりました。
— アラートは、コンプライアンス、隣接グラフ、フォレンジック、ルックアウト、ファブリック、センサー、適用、プラットフォーム、およびユーザー アプリケーションなどさまざまなカテゴリに設定できます。
— Kafka に加えて、アラート メカニズムは、syslog、電子メール、pager duty、および Amazon kinesis をサポートするように拡張されています。
— 各カテゴリは、1 つ以上のメカニズムを使用してアラートをパブリッシュできます。通知メカニズムは、アラート UI ページを使用して設定します。
— すべてのアラートは、Tetration Alerts Notification (TAN) アプライアンスと呼ばれる外部仮想アプライアンスを通過します。TAN を起動するための OVA は、ソフトウェア ダウンロード ページからダウンロードできます。
— TAN は、Cisco Tetration GUI を使用してアラート設定を変更すると、アラート イベントと設定の更新を受信するために、Cisco tetration クラスタとのセキュアな接続を確立します。
— コンプライアンス イベントのアラート設定は、[Enforcement (適用)] タブの下に移動するようになりました。
■ このリリースには、ADM 機能に関する次の機能拡張が含まれています。
— 管理者は、ルート範囲のデフォルトの ADM 実行設定を行うことができます。この設定には、外部の依存関係の設定、範囲の順序、およびクラスタリング アルゴリズムと粒度が含まれます。ルート範囲の下にあるすべてのアプリケーション ワークスペースは、このデフォルト設定を継承します。アプリケーションの所有者は、必要に応じて、自分のワークスペースのデフォルトを変更できます。
— 後続の ADM 実行を行う場合は、ルート範囲のデフォルト設定を使用するか、以前の実行からの設定を使用できます。
— ADM によって生成されたポリシーには、新しいポリシー信頼度属性が含まれるようになりました。信頼度レベルは、ポート、プロトコル、およびクライアントサーバの方向に関連付けられます。この情報は、[ADM Conversion (ADM 変換)] タブおよび [Policy (ポリシー)] タブで使用できます。
■ 近隣グラフは、プロトコルおよびポート情報に基づいて近隣のフィルタリングをサポートするように拡張されています。また、パスには最大 3 つのホップ ビューが表示されます。
■ Cisco Tetration プラットフォームは、Cisco ACI モードの次のスイッチのネットワーク パフォーマンス管理および診断 (NPMD) 機能をサポートするようになりました。
— Cisco ACI リリース 13.2 以降を搭載した 9336C-FX2 Cisco Nexus
■ このリリースでは、NPMD 機能の新しいダッシュボードが導入されています。ダッシュボードを使用して、特定のネットワーク パフォーマンスのボトルネックを迅速に特定し、そこからドリルダウンすることができます。ダッシュボードに表示される KPI メトリックを使用するには、Cisco Tetration ソフトウェア センサーを展開する必要があります。
■ テナントごとのメトリックは、ファブリック ページで使用できます。
■ 新しいパフォーマンス ダッシュボードは、TCP 輻輳メトリックに基づいてネットワークとアプリケーションのパフォーマンスの問題を特定するのに役に立ちます。
■ LDAP には、「SSL 検証」を選択するための追加の設定オプションがあります。これにより、お客様は LDAP サーバの SSL 証明書をアップロードすることができます。
■ LDAP group-to-role mapping: ロール マッピングが許可されるグループ数の制限が 5 から 50 に増えました。
■ このリリースには、Cisco Tetration ソフトウェア アップグレード プロセスへの次の機能拡張が含まれています。
— アップグレードに失敗した場合は、2.3.1.x リリースから 3.1.1.53 リリースにアップグレードするとエラー コードが表示されます。
— アップグレード プロセスでは、アップグレードを許可する前に RPM のアップロード順序が適用されます。RPM の順序は、展開とアップグレードで同じです。
— 管理者がアップグレード リンクを受信しない場合は、Explore UI を使用してリンクを取得できます。
— アップグレードには、サイトの検証中に電子メールで送信されるトークンが必要です。同じトークンは、Explore UI を使用して取得できます。
— 管理者は、セットアップ UI からすべてのアップグレード ログをダウンロードできます。
— サイト情報の特定のフィールドは、アップグレードをトリガーすることなく変更できます。
— 任意の障害ポイントからアップグレードを再開できるようになりました。アップグレードは、障害発生前の最後の安定ポイントから続行されます。
■ クラスタ ステータス ページには、クラスタ内の障害が発生したノードを交換する際の、コミッション、廃止、および再イメージ化のワークフローが表示されます。この段階での障害は、すぐに GUI に表示されるようになりました。
■ アップグレード前のチェックは、[Upgrade (アップグレード)] ページからいつでもオンデマンドで実行できます。
動作における変更
このリリースには、次の動作における変更が含まれています。
■ これで、[Security (セキュリティ)] ダッシュボードがデフォルトのランディング ページになります。ランディング ページは、GUI の [Preferences (設定)] メニューで変更できます。
■ このリリースでは、サイト情報からの syslog トンネリングはサポートされなくなりました。bosun およびその他のプラットフォーム レベルの syslog イベントを受信するための syslog を設定するには、デフォルトの Rootscope で TAN を設定する必要があります。変更の詳細についてはユーザー ガイドを参照してください。
■ ユーザー セッションは 6 時間後に期限切れになり、[Sign In (サインイン)] ページにリダイレクトされ、クレデンシャルの再要求が再度表示されます。
■ 電子メール アドレスとパスワードを使用してログイン試行が 5 回失敗すると、アカウントがロックされます。ロックアウト間隔は 30 分に設定されます。
■ アラートは、データ プラットフォームではなく、UI のナビゲーション メニューの最初のレベルに表示されます。
■ アラート アプリが、App Store に表示されなくなりました。データ タップへのアラート設定 (および新しい通知の設定) は、[Alerts (アラート)] > [Configuration (設定)] ページから視覚的に表示されます。データ タップおよび通知へのアラートの設定は、ルート範囲の所有者またはサイト管理者が行う必要があります。
■ Cisco Tetration のマシン データとインベントリ データは、次のリリースでは Data Lake および VMware vSphere 分散スイッチ (VDS) から廃止されます。警告がユーザー アプリケーションに追加されました。集約されたフローでは、同等のデータが使用可能になります。
■ Linux には新しいアップグレード ワークフローがあります。
— 新しい「ソフトウェア ダウンロード」ページに、インストーラのダウンロードがデフォルトで表示されるようになりました。
— 2.3.1. x リリースからアップグレードする場合、プロセスはクリーンアップされるため、システム rpmdb によって内部 RPM のバージョンが表示され、バージョンがセンサーのバイナリと一致している必要があります。
— 内部 rpm のみが維持されます。
— レガシー ダウンロード ページは引き続きサポートされています。
— インストーラ スクリプトは、詳細可視性/適用エージェントのみ (Linux と Windows の両方) で使用できます。
— Bash が Linux に使用されるようになりました。
— Powershell が Windows に使用されるようになりました (Powershell 4.0 以降が必要)。
— インストーラは、新しいファイル形式 (Linux の場合は内部 RPM、Windows の場合は MSI) を使用します。
— アップグレード プロセスでは、ACTIVATION_KEY を使用して user.cfg ファイルが事前に読み込まれます (使用可能な場合)。
— アップグレード プロセスでは、デフォルトで事前チェック機能が実行されます。
■ フォレンジック
— 以前のリリースの「サイド チャネル キャッシュ攻撃」フォレンジック イベントは、「サイド チャネル異常キャッシュ アクティビティ」という名前に変更されました。
— 同じルール構文を、フォレンジック設定ページとフォレンジック分析ページの両方のサイド チャネル イベントに使用できるようになりました。以前のリリースから生成されたサイド チャネル フォレンジックイベントは維持され、イベント タイプ列は空になります。
— データ リーク イベントは、フォレンジック分析ページには表示されません。これらは、セキュリティ ダッシュボード、ワークロード プロファイル、およびアラートから確認できます。
■ コンプライアンス アプリ
— コンプライアンス アプリが App Store に表示されなくなりました。コンプライアンス アラートは、アプリケーション ワークスペースの [Enforcement (適用)] タブを使用するか、または [new Alert Configuration (新規アラート設定)] ページを使用して設定できます。コンプライアンス アラートは、適用機能 (またはそれ以上) を持つユーザーによって適用されるアプリケーションでのみ設定できます。
— 「ライブ分析」アプリケーションのコンプライアンス アラートは使用できなくなりました。アラートは、「適用されるアプリケーション」でのみ使用できます。
— コンプライアンス アラートは、[Enable with Flow Details (フロー詳細の有効化)] オプションを使用して設定できるようになりました。このオプションは、概要アラートではなく個々のアラートにのみ適用されます。このオプションは、設定されたアラートと一致する 5 タプル フロー (src、src ポート、dst、dst ポート、およびプロトコル) のリストを含む「constituent_flows」という名前のアラート詳細にフィールドを追加します。
§ 詳細には最大 100 のフローが含まれています。100 を超えるフローがある場合は、複数のアラートが生成されます。
§ 警告: 設定されたアラートに一致するフローが多数存在する場合、このオプションでアラートの受信が遅くなる可能性があります。
— TAN syslog 通知には最大 UDP メッセージ サイズがあります。フローの詳細を含むコンプライアンス アラートは、この最大メッセージ サイズを超えている可能性があり、その場合はドロップされます。
— コンプライアンス アラートの詳細には、「consumer_scope_ids」および「provider_scope_ids」に加えて「consumer_scope_names」および「provider_scope_names」フィールドが表示されるようになりました。
警告
このセクションには、未解決および解決済みの警告と既知の動作のリストが含まれています。
未解決の警告
次の表は、このリリースで開いている注意事項のリストです。不具合 ID をクリックして、不具合検索ツールにアクセスし、そのバグに関する追加情報を表示します。
表2 未解決の問題
| 不具合 ID |
説明 |
| クラスタでは、最後にハイライトされたターゲットまたはソースを示しません。 |
|
| vPC は、8 ラック装置展開のパブリック ネットワークには設定されません。 |
解決済みの不具合 (p.11)
次の表は、このリリースで解決済みの不具合のリストです。不具合 ID をクリックして、不具合検索ツールにアクセスし、そのバグに関する追加情報を表示します。
表 3 解決済みの不具合
| 不具合 ID |
説明 |
| keepalived は、パブリック ネットワークのインターフェイスがダウンしている場合、appServer の VIP をフェールオーバーしません。 |
|
| Qualys スキャン-フォーム ベース認証のパスワードに対して、AutoComplete 属性が無効になっていません |
|
| CVE-2016-2183 (TLS 暗号に対する誕生日攻撃) によって影響を受ける可能性があるインターフェイス |
|
| CVE-2014-8730 (Poodle 攻撃-TLS) の影響を受ける可能性があるインターフェイス |
|
| 削除されたユーザーを復元しようとすると、UI は「オブジェクトが見つかりません」というメッセージをスローします。 |
|
| リブート コマンドを実行すると、バージョン ページのパッチ更新の表記が削除されます。 |
|
| インベントリ検索ボタンは、最初にインベントリの検索を試行している間は無効になります |
|
| Tetraiton は、ADM の DNS サービスとして SUNRPC TCP/111 を表示します。 |
|
| Tetr-V//グレースフル クラスタの電源がオフになる |
|
| keepalived は、パブリック ネットワークのインターフェイスがダウンしている場合、appServer の VIP をフェールオーバーしません。 |
|
| systemd: dnsmasq.service: メイン プロセスが終了しました。コード = 終了、ステータス = 1/失敗 |
|
| CitrixParser は l4 ポートを表す設定行を解析できません * |
|
| SLB 設定ファイルの解析後に CitrixParser がクラッシュする可能性があります |
|
| 特定のテナントのネイバーフッド アプリケーションを無効にする機能 |
|
| 再イメージ化中にオーケストレーションに書き込まれたテキストの管理者パスワードを消去します。 |
|
| 拡張機能: パッチのインストールは、[upgrade (アップグレード)] ボタンで成功しますが、ログは表示されません。 |
|
| UI でアプリケーション ポリシーの値が正しくない |
|
| Mongo の孤立したデータにより、アプリケーション ワークスペースの削除が失敗する |
|
| アプリケーション バージョンを切り替えようとすると、要求が 502 応答でタイムアウトします。 |
|
| SSO with Microsoft Azure errors AADSTS75005: 要求は有効な Saml2 プロトコル メッセージではありません。 |
|
| 注釈ファイルを複数回アップロードすると、システムが範囲ごとの合計サブネット制限に達する |
|
| 列名が「VRF」の注釈ファイルをアップロードすると、エラーがスローされる |
|
| ルックアウト注釈が有効になっている範囲のコントロールを許可する |
|
| 注釈 csv をアップロードするときに、一貫性のない UI 応答がある |
|
| アップグレード: vmmgr.log を生成するスクリプトは、修正可能な ECC エラーのある DIMM を識別する必要があります。 |
|
| Bosun アラート: 修正可能な ECC エラーは、ノードのエラー合計ではない個別の DIMM に対して行う必要があります。 |
|
| RPM が破損しているために、Tetration アップグレード UI のクリア エラー メッセージが表示されず、RPM のアップロードが失敗する |
|
| 削除後の Tetration センサーの重複するホスト エージェント表示 |
|
| 拡張機能: エージェントのアップグレード パネルでのグループ/サブグループの作成要求 |
既知の動作
■ 展開とアップグレード
o Syslog (syslog サーバおよび syslog ポート) の設定フィールドは、アップグレード/展開 GUI で廃止されています。これらのフィールドの変更は、TAN GUI でのみ行うことができます。
o リモート CA の設定フィールド (remote CA、remote CA URL、remote CA username、remote CA password) は、物理および ESX フォームファクタではサポートされていません。
■ TAN
o ユーザアプリケーションのアラートは、TAN 仮想アプライアンスではサポートされていません。
o 大きなサイズのアラート (> 64k) は、UDP を介して syslog サーバに送信することはできません。
■ データタップ/Kafka
o 8 ラックユニットの展開と ESXi クラスタの設定では、Cisco Tetration は Kafka ブローカのインスタンスを 1 つだけ実行します。このため、インスタンスをホストしているベアメタルまたは VM の使用停止または再コミッションがある場合は、データが失われます。
■ 施行
o 施行を有効にしてから無効にすると、エージェントはすべてのルールをフラッシュし、キャッチオールを入力と出力の両方に許可したままにします。
o エージェントは、最後に既知の正常なポリシーをバックエンドから保存し、サービスの再起動時にポリシーをリロードします。
o ネットワークポリシーの更新中、Linux のエージェントは、ipset のコンテンツをフラッシュおよび再プログラミングではなく新しいコンテンツとスワップすることにより、ipset リストをよりアトミックな方法で再プログラミングします。これにより、トラフィックがドロップされる可能性が低くなります。
o ネットワークポリシーの更新中に、Windows のエージェントは、最初に Windows ファイアウォールのインバウンドおよびアウトバウンドのデフォルトポリシーを設定し、現在のルールを削除し、新しいルールをプログラミングし、ネットワークポリシー設定によって指定されたポリシーに従って、インバウンドおよびアウトバウンドのデフォルトをプログラミングします。これにより、拒否キャッチオールポリシーの場合にトラフィックがドロップされる可能性が低くなります。
o 適用されたワークスペースで適用が停止されるたびに、ユーザは施行が停止してから約15分間、そのワークスペースのオブジェクトを削除してはなりません。これにより、パイプラインがそのワークスペースの状態を更新するのに十分な時間が確保されます。削除されたアプリケーションによって参照されるユーザインベントリフィルタまたは範囲は、アプリケーションの削除後 15 ~ 20 分間は削除されません。
■ データリーク
o データリーク検出には 5 分間の遅延があるため、データリークスコアにはデータリークイベント時間と比べて 5 分の遅延があります。
o データリークイベントは、現在、フォレンジック分析ページには表示されていません。
■ プロセスハッシュの異常
o 周波数分析 (つまり、出力スコア) は、rootscope レベルでのみ実行されます。
o 分析は1時間に1回実行されます。
■ AnyConnect
o 複数の AnyConnect プロキシが同じ AnyConnect エンドポイントマシンからデータを取得することは推奨されません。このモードを必要とする使用事例がある場合は、Cisco にご連絡ください。
o エンドポイントが異なるプロキシ間で反転しない限り、同じエンドポイントが異なる時点で異なるプロキシに接続できます。反転が発生した場合、AnyConnect プロキシは、このような反転が発生したときに少なくとも7日が必要になるようにシナリオを制限します。エンドポイントが2つの異なるプロキシ間で交互に接続されている反転の使用事例がある場合は、Cisco にお問い合わせください。
■ Kafka でのポリシー公開
o この機能を使用するクライアントアプリケーションの場合、この設定には Kafka ブローカーのインスタンスが 1 つしかないため、8 ラックユニットの導入と ESXi クラスタの設定を使用することは推奨されません。アプリケーションをホストしているベアメタルまたは VM の廃止/再コミッションがない場合、作成されたポリシーストリームは正しく回復されず、動作不能になります。代わりに、39ラックユニットのクラスタ設定を使用して、ポリシーストリームの可用性を高めます。
■ ADM
o ADM の実行は、現在のアプリケーションで手動で作成されたポリシーによってすでにカバーされているフローのポリシーを生成しなくなります。
o クラスタを提供サービスとして使用することはできなくなりました。公開としてマークされ、外部アプリケーションによって参照される既存のクラスタは、インベントリフィルタに変換されます。インベントリフィルタは、範囲またはアプリケーションによって提供されるサービスを示す唯一の方法になります。
o クラスタがインベントリフィルタに昇格されると、そのクラスタは会話ビューから削除されます。更新された IP アドレスとフィルタのマッピングを生成するには、新しい ADM を実行する必要があります。
o 除外フィルタは、ADM の実行をまたいで実行されます。クラスタが除外フィルタの一部として使用されている場合、フローはアプリケーションがプライマリの場合にのみ削除されます。
o Citrix ロードバランサー設定の SLB アップロードでは、ポート範囲として * を使用することはできません。設定では、1 つのポートを設定で指定する必要があります。
■ TIM の設定
o 高可用性モードで F5 が設定されている場合は、次のようになります。
§ TIM F5 プラグインは、設定されたホストのリストから 1 つの F5 のみから設定を取得します。この設定がプライマリおよびスタンバイの REST エンドポイント間で異なる F5 のすべての機能は、TIM が新しいマスターに接続するまで、スイッチオーバー後に遅延が発生する可能性があります。
o Netscale が HA モードで設定されているときの Citrix 設定。
§ TIM Citrix プラグインは、設定されているホストのリストから 1 つの Netscaler から設定を取得します。この設定がプライマリおよびセカンダリ REST エンドポイント間で異なる Netscaler のすべての機能は、TIM が新しいマスターに接続するまで、スイッチオーバー後に遅延が発生する可能性があります。
o VMware vCenter HA モードがアクティブな場合は、次のようになります。
§ TIM VMware vCenter プラグインは、一度に 1 つの VMware vCenter エンドポイントからのみ設定を取得します。VMware vCenter HA モードと TIM VMware vCenter プラグインの動作はテストされていません。
互換性に関する情報
3.1.1.53 リリースのソフトウェアセンサーは、従来のディープ可視性と詳細な可視性を実現するために、次のオペレーティングシステム (仮想マシンおよびベアメタルサーバ) をサポートしています。
■ Linux の場合
— CentOS-5. x: 5.1 ~ 5.11
— CentOS-6.x: 6.1 ~ 6.10
— CentOS-7.x: 7.0、7.1、7.2、7.3、7.4、7.5
— Redhat Enterprise Linux-5.x: 5.1 ~ 5.11
— Redhat Enterprise Linux-6.x: 6.1 ~ 6.10
— Redhat Enterprise Linux-7.x: 7.0、7.1、7.2、7.3、7.4、7.5
— Oracle Linux サーバ-6.x: 6.0 ~ 6.10
— Oracle Linux サーバ: 7.0、7.1、7.2、7.3、7.4、7.5
— SUSE Linux-11.x: 11.2、11.3、および 11.4
— SUSE Linux-12. x: 12.0、12.1、12.2、および 12.3
— Ubuntu-12.04
— Unbuntu-14.04 および 14.10
— Ubuntu-16.04
■ Windows Server (64 ビット):
— Windows Server 2008 Datacenter
— Windows Server 2008 Enterprise
— Windows Server 2008 Essentials
— Windows Server 2008 Standard
— Windows Server 2008R2 Datacenter
— Windows Server 2008R2 Enterprise
— Windows Server 2008R2 Essentials
— Windows Server 2008R2 Standard
— Windows Server 2012 Datacenter
— Windows Server 2012 Enterprise
— Windows Server 2012 Essentials
— Windows Server 2012 Standard
— Windows Server 2012R2 Datacenter
— Windows Server 2012R2 Enterprise
— Windows Server 2012R2 Essentials
— Windows Server 2012R2 Standard
— Windows Server 2016 Standard
— Windows Server 2016 Essentials
— Windows Server 2016 Datacenter
■ Windows VDI デスクトップクライアント:
— Microsoft Windows 7
— Microsoft Windows 7 Pro
— Microsoft Windows 7 Home
— Microsoft Windows 7 Enterprise
— Microsoft Windows 8
— Microsoft Windows 8 Pro
— Microsoft Windows 8 Home
— Microsoft Windows 8 Enterprise
— Microsoft Windows 8.1
— Microsoft Windows 8.1 Pro
— Microsoft Windows 8.1 Home
— Microsoft Windows 8.1 Enterprise
— Microsoft Windows 10
— Microsoft Windows 10 Pro
— Microsoft Windows 10 Home
— Microsoft Windows 10 Enterprise
3.1.1.53 リリースでは、ポリシー施行アドオン機能に対して次のオペレーティングシステムがサポートされています。
■ Linux の場合
— CentOS-6.x: 6.1 ~ 6.10
— CentOS-7.x: 7.0、7.1、7.2、7.3、7.4、7.5
— Redhat Enterprise Linux-6.x: 6.1 ~ 6.10
— Redhat Enterprise Linux-7.x: 7.0、7.1、7.2、7.3、7.4、7.5
— SUSE Linux-11.x: 11.2、11.3、および 11.4
— SUSE Linux-12. x: 12.0、12.1、12.2、および 12.3
— Oracle Linux サーバ-6.x: 6.0 ~ 6.10
— Oracle Linux サーバ: 7.0、7.1、7.2、7.3、7.4、7.5
— Ubuntu-14.04 および 14.10
— Ubuntu-16.04
■ Windows Server (64 ビット):
— Windows Server 2008 Datacenter
— Windows Server 2008 Enterprise
— Windows Server 2008 Essentials
— Windows Server 2008 Standard
— Windows Server 2008R2 Datacenter
— Windows Server 2008R2 Enterprise
— Windows Server 2008R2 Essentials
— Windows Server 2008R2 Standard
— Windows Server 2012 Datacenter
— Windows Server 2012 Enterprise
— Windows Server 2012 Essentials
— Windows Server 2012 Standard
— Windows Server 2012R2 Datacenter
— Windows Server 2012R2 Enterprise
— Windows Server 2012R2 Essentials
— Windows Server 2012R2 Standard
— Windows Server 2016 Standard
— Windows Server 2016 Essentials
— Windows Server 2016 Datacenter
■ Windows VDI デスクトップクライアント:
— Microsoft Windows 7
— Microsoft Windows 7 Pro
— Microsoft Windows 7 Home
— Microsoft Windows 7 Enterprise
— Microsoft Windows 8
— Microsoft Windows 8 Pro
— Microsoft Windows 8 Home
— Microsoft Windows 8 Enterprise
— Microsoft Windows 8.1
— Microsoft Windows 8.1 Pro
— Microsoft Windows 8.1 Home
— Microsoft Windows 8.1 Enterprise
— Microsoft Windows 10
— Microsoft Windows 10 Pro
— Microsoft Windows 10 Home
— Microsoft Windows 10 Enterprise
■ ポリシーを施行するためのコンテナホスト OS バージョン:
— Red Hat Enterprise Linux リリース 7.1、7.2、7.3、7.4
— CentOS リリース 7.1、7.2、7.3、7.4
— Ubuntu リリース 16.04
3.1.1.53 リリースでは、ユニバーサル可視性センサーの次のオペレーティング システムがサポートされています。
■ 32 ビットおよび 64 ビット (CentOS 4.x、RHEL 4.x、CentOS 5.x、RHEL 5.x など)
■ Windows Server 2008 (32 ビットおよび 64 ビット)
■ X86 (64 ビット) 上の Solaris 11
■ AIX 5.3、6.1、7.1、および 7.2
3.1.1.53 リリースでは、NX OS および Cisco Application Centric Infrastructure (ACI) モードで、次の Cisco Nexus 9000 シリーズスイッチがサポートされています。
表 4 NX-OS および ACI モードでサポートされている Cisco Nexus 9000 シリーズスイッチ
| 製品ライン |
プラットフォーム |
ソフトウェア リリースの最小要件 |
| Cisco Nexus 9300 プラットフォーム スイッチ (NX-OS モード) |
Cisco Nexus 93180YC-EX、93108TC-EX、および 93180LC-EX |
Cisco NX-OS リリース 9.2.1 以降 |
| Cisco Nexus 93180YC-FX、93108TC-FX、および 9348GC-FXP |
Cisco NX-OS リリース 9.2.1 以降 |
|
| Cisco Nexus 9336C-FX2 |
Cisco NX-OS リリース 9.2.1 以降 |
|
| Cisco Nexus 9300 プラットフォーム スイッチ(Cisco ACI モード) |
Cisco Nexus 93180YC-EX、93108TC-EX、および 93180LC-EX |
Cisco ACI リリース 3.1(1i) 以降 |
| Cisco Nexus 93180YC-FX、93108TC-FX** |
Cisco ACI リリース 3.1(1i) 以降 |
|
| Cisco Nexus 9348GC-FXP |
Cisco ACI リリース 3.1(1i) 以降 |
|
| Cisco Nexus 9336C-FX2 |
Cisco ACI リリース 3.2 以降 |
|
| N9K X9736C-FX ラインカードのみを搭載した Cisco Nexux 9500シリーズスイッチ |
Cisco ACI リリース 3.1(1i) 以降 |
* * ハードウェアセンサーを使用するネットワークパフォーマンス機能は、リリース3.1 以降を搭載した Cisco ACI モードでのみサポートされます。
使用上の注意事項
ここでは、Cisco Tetration Analytics の使用上のガイドラインを示します。
■ Web ベースのユーザインターフェイスにアクセスするには、Google Chrome ブラウザバージョン40.0.0 以降を使用する必要があります。
■ sDNS を設定した後、Cisco Tetration クラスタの URL (https://<cluster.domain) を参照します。
検証済みスケーラビリティの制限値
次の表に、Cisco tetration 39-RU)、Cisco Tetration (8 RU)、および Cisco Tetration のスケーラビリティ制限を示します。
Cisco 5 tetration (39-RU) の表のスケーラビリティの制限
| 設定可能なオプション |
規模 |
| ワークロードの数 |
最大 25000 (VM またはベアメタル) |
| 1 秒あたりのフロー機能 |
最大 200 万 |
| ハードウェア センサー対応 Cisco Nexus 9000 シリーズ スイッチの数 |
最大 100 |
注:サポートされているスケールは、最初に制限に達したパラメータに基づいています。
Cisco 6 tetration (8 RU) の表のスケーラビリティの制限
| 設定可能なオプション |
規模 |
| ワークロードの数 |
最大 5000 (VM またはベアメタル) |
| 1 秒あたりのフロー機能 |
最大 500,000 台 |
| ハードウェア センサー対応 Cisco Nexus 9000 シリーズ スイッチの数 |
最大 100 |
注:サポートされているスケールは、最初に制限に達したパラメータに基づいています。
表 7 Cisco Yetration Virtual (VMWare ESXi) のスケーラビリティの制限
| 設定可能なオプション |
規模 |
| ワークロードの数 |
最大 1000 (VM またはベアメタル) |
| 1 秒あたりのフロー機能 |
最大 7 万 |
| ハードウェア センサー対応 Cisco Nexus 9000 シリーズ スイッチの数 |
サポート対象外 |
注:サポートされているスケールは、最初に制限に達したパラメータに基づいています。
関連資料
Cisco Tetration Analytics のマニュアルには、次の web サイトからアクセスできます。
Tetration プラットフォーム データシート: http://www.cisco.com/c/en/us/products/collateral/data-center-analytics/tetration-analytics/datasheet-c78-737256.html
このマニュアルには、インストール情報とリリースノートが含まれています。
表 8 インストールマニュアル
| マニュアル |
説明 |
| Cisco Tetration Analytics クラスタ展開ガイド |
Cisco Tetration 39-RU) プラットフォームと Cisco Tetration (8 RU) のシングルおよびデュアルラックインストールの物理的な構成、設置場所の準備、およびケーブル配線について説明します。 ドキュメント リンク:http://www.cisco.com/c/en/us/td/docs/data-center-analytics/tetration-analytics/hw/installation_guide/b_36_server_rack_installation.html [英語] |
| Cisco Tetration 仮想アプライアンス導入ガイド |
Amazon Web Services での Cisco Tetration Cloud の導入について説明します。 |
| Cisco Tetration クラスターアップグレードガイド |
ドキュメント リンク |
| 最新の脅威データソース |
Cisco および Cisco ロゴは、シス コ またはその関連会社の米国およびその他の国における商標または登録商標です。シスコの商標の一覧については、www.cisco.com/go/trademarks をご覧ください。掲載されている第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語は、シスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2018 Cisco Systems, Inc. All rights reserved.
フィードバック