このマニュアルでは、Cisco Tetration Analytics ソフトウェアの機能、不具合、および制限について説明します。
Cisco Tetration Analytics は、サーバ、Cisco Nexus®スイッチ、エンドポイント デバイス (ラップトップ、デスクトップ、スマートフォンなど) から収集された豊富なトラフィック テレメトリを使用して、包括的にデータセンターの運用およびセキュリティの課題に対応するように設計されています。プラットフォームは、ホリスティックなワークロード保護プラットフォームを提供するためのアルゴリズムアプローチを使用して高度な分析を実行します。このアルゴリズム的アプローチには、人手を介さない機械学習技術や動作分析が含まれています。プラットフォームには、次の使用事例をサポートするすぐに使用可能なソリューションが用意されています。
■ ホワイト リスト ポリシーの生成を自動化する動作ベースのアプリケーションの分析情報を提供する
■ アプリケーションのセグメンテーションを提供して、ゼロ信頼実績を効率とセキュリティを有効にする
■ オンプレミス データセンター、およびプライベート クラウドとパブリック クラウドの環境全体で一貫性のあるポリシー適用を実現する
■ プロセスの動作の違い、ソフトウェアの脆弱性、および攻撃対象領域を削減するへの公開を識別する
■ アプリケーションの動作の変更やポリシーの遵守違反をほぼリアルタイムに特定する
■ 異種環境での包括的なテレメトリ処理をサポートすることにより、実用的な情報を数分で提供する
■ スイッチとサーバの両方から収集されたテレメトリデータに基づいた包括的なネットワークのパフォーマンス メトリック
■ 詳細なフォレンジック、分析、およびトラブルシューティングのデータを長期間保持する
Cisco Tetration Analytics プラットフォーム内でケースの様々な使用事例をサポートするため、プラットフォームではデータセンター インフラストラクチャ全体からの一貫したテレメトリ データが必要です。豊富な Cisco Tetration Analytics テレメトリはセンサーを使用して収集されます。さまざまなタイプのセンサーがあり、ブラウンフィールドとグリーンフィールドデータセンターインフラストラクチャの両方をサポートするために使用できます。このリリースでは、次のセンサータイプがサポートされています。
■ 仮想マシン、ベアメタル、またはコンテナホストにインストールされているソフトウェアセンサー
■ Cisco Nexus 9000 cloudscale シリーズスイッチの内蔵ハードウェアセンサー
■ コピーされたパケットから Cisco Tetration テレメトリを生成できる ERSPAN センサー
■ Cisco Tetration テレメトリベースの Netflow v9 または IPFIX レコードを生成できる Netflow センサー
■ ラップトップ、デスクトップ、スマートフォンなどのエンドポイントからテレメトリを収集するための Cisco AnyConnect プロキシ
ソフトウェアセンサーもまた、アプリケーションセグメンテーションのポリシー施行ポイントとしても機能します。このアプローチを使用して、Cisco Tetration Analytics プラットフォームは、パブリック、プライベート、およびオンプレミスの導入全体で一貫性のある適用を実現します。センサーはネイティブのオペレーティング システム機能を使用するポリシーを適用し、でデータパスにセンサーを置く必要がなく、フェールセーフなオプションが提供されます。その他の製品マニュアルについては、「関連資料」の項を参照してください。
リリース ノートは、制限や警告に関する新しい情報によって更新される場合があります。このドキュメントの最新バージョンについては、次の Web サイトを参照してください。
Table 1 に、このドキュメントのオンライン変更履歴を示します。
表 1 オンライン変更履歴
日付 |
説明 |
2018 年 11 月 28 日 |
リリース 3.1.1.54 が使用可能になりました。 |
2018 年 12 月 4 日 |
「関連資料」セクションで、最新の脅威データソースのリンクを追加しました。 |
このマニュアルの構成は、次のとおりです。
■ 注意事項
■ 関連資料
This section lists the new and changed features in this release and includes the following topics:
■ 動作における変更
このパッチ リリースには、新しいソフトウェア機能は含まれていません。
このパッチ リリースには、動作の変更は含まれていません。
このセクションには、未解決および解決済みの警告と既知の動作のリストが含まれています。
■ 既知の動作
次の表は、このリリースで開いている注意事項のリストです。不具合 ID をクリックして、不具合検索ツールにアクセスし、そのバグに関する追加情報を表示します。
表2開いている注意事項
不具合 ID |
説明 |
クラスタでは、最後にハイライトされたターゲットまたはソースを示しません。 |
|
vPC は、8 ラック装置展開のパブリック ネットワークには設定されません。 |
次の表は、このリリースで解決済みの不具合のリストです。不具合 ID をクリックして、不具合検索ツールにアクセスし、そのバグに関する追加情報を表示します。
表 3 解決済みの不具合
不具合 ID |
説明 |
MsiInstaller が詳細な可視性エージェントのために windows Agentengine の適用サービスを誤ってインストールする |
|
3.1.1.53 リリースにアップグレードした後、UI 管理者の電子メールを変更するオプションが、会社ページに表示されません。問題は修正され、編集可能な UI 管理者電子メールが表示されるようになりました。この問題は、アップグレードにのみ影響します。 |
|
ユーザーがアップロードした CMDB 注釈では、ピリオド (".") は許可されなくなりました。 |
|
Dmidecode バージョン 3.1 以降の Bios UUID のケースの変更によって、Tetration で重複するセンサーが設定されています。このパッチを適用すると、Cisco Tetration よって BIOS UUID のケースの変更が処理されます。 |
|
/Openapi/v1/sensors API のセンサーに対して公開されている created_at 属性。 |
|
このパッチでは、ポリシー数が大きい場合に、ポリシー分析ページでタイムアウトを修正するパフォーマンス改善が行われています。 |
|
ユーザーが 1 名のサイト管理者によって削除され、ロールが別のサイト管理者によって復元された場合、そのユーザーのロールは編集できません。この UI の問題は修正されました。 |
|
自動アップグレードを使用できるため、ソフトウェア センサーがアップグレードされたときに、Windows ソフトウェア センサーの MSI インストーラがシステムをリブートしないようにします。 |
■ 展開とアップグレード
o Syslog (syslog サーバおよび syslog ポート) の設定フィールドは、アップグレード/展開 GUI で廃止されています。これらのフィールドの変更は、TAN GUI でのみ行うことができます。
o リモート CA の設定フィールド (remote CA、remote CA URL、remote CA username、remote CA password) は、物理および ESX フォームファクタではサポートされていません。
o バグ CSCvn37738 の修正プログラムの副次的影響として、エージェントのアップグレードの途中で MSI のインストールが停止し、エージェントが停止および回復不能状態になることがあります。そのような場合、お客様がエージェントを再インストールする必要があります。(logs フォルダにある)「migrate.log」ファイルをチェックして、移行プロセスでエラーが発生しているか確認します。
■ TAN
o ユーザアプリケーションのアラートは、TAN 仮想アプライアンスではサポートされていません。
o 大きなサイズのアラート (> 64k) は、UDP を介して syslog サーバに送信することはできません。
■ データタップ/Kafka
o 8 ラックユニットの展開と ESXi クラスタの設定では、Cisco Tetration は Kafka ブローカのインスタンスを 1 つだけ実行します。このため、インスタンスをホストしているベアメタルまたは VM の使用停止または再コミッションがある場合は、データが失われます。
■ 施行
o 施行を有効にしてから無効にすると、エージェントはすべてのルールをフラッシュし、キャッチオールを入力と出力の両方に許可したままにします。
o エージェントは、最後に既知の正常なポリシーをバックエンドから保存し、サービスの再起動時にポリシーをリロードします。
o ネットワークポリシーの更新中、Linux のエージェントは、ipset のコンテンツをフラッシュおよび再プログラミングではなく新しいコンテンツとスワップすることにより、ipset リストをよりアトミックな方法で再プログラミングします。これにより、トラフィックがドロップされる可能性が低くなります。
o ネットワークポリシーの更新中に、Windows のエージェントは、最初に Windows ファイアウォールのインバウンドおよびアウトバウンドのデフォルトポリシーを設定し、現在のルールを削除し、新しいルールをプログラミングし、ネットワークポリシー設定によって指定されたポリシーに従って、インバウンドおよびアウトバウンドのデフォルトをプログラミングします。これにより、拒否キャッチオールポリシーの場合にトラフィックがドロップされる可能性が低くなります。
o 適用されたワークスペースで適用が停止されるたびに、ユーザは施行が停止してから約15分間、そのワークスペースのオブジェクトを削除してはなりません。これにより、パイプラインがそのワークスペースの状態を更新するのに十分な時間が確保されます。削除されたアプリケーションによって参照されるユーザインベントリフィルタまたは範囲は、アプリケーションの削除後 15 ~ 20 分間は削除されません。
■ データリーク
o データリーク検出には 5 分間の遅延があるため、データリークスコアにはデータリークイベント時間と比べて 5 分の遅延があります。
o データリークイベントは、現在、フォレンジック分析ページには表示されていません。
■ プロセスハッシュの異常
o 周波数分析 (つまり、出力スコア) は、rootscope レベルでのみ実行されます。
o 分析は1時間に1回実行されます。
■ AnyConnect
o 複数の AnyConnect プロキシが同じ AnyConnect エンドポイントマシンからデータを取得することは推奨されません。このモードを必要とする使用事例がある場合は、Cisco にご連絡ください。
o エンドポイントが異なるプロキシ間で反転しない限り、同じエンドポイントが異なる時点で異なるプロキシに接続できます。反転が発生した場合、AnyConnect プロキシは、このような反転が発生したときに少なくとも7日が必要になるようにシナリオを制限します。エンドポイントが2つの異なるプロキシ間で交互に接続されている反転の使用事例がある場合は、Cisco にお問い合わせください。
■ Kafka でのポリシー公開
o この機能を使用するクライアントアプリケーションの場合、この設定には Kafka ブローカーのインスタンスが 1 つしかないため、8 ラックユニットの導入と ESXi クラスタの設定を使用することは推奨されません。アプリケーションをホストしているベアメタルまたは VM の廃止/再コミッションがない場合、作成されたポリシーストリームは正しく回復されず、動作不能になります。代わりに、39ラックユニットのクラスタ設定を使用して、ポリシーストリームの可用性を高めます。
■ ADM
o ADM の実行は、現在のアプリケーションで手動で作成されたポリシーによってすでにカバーされているフローのポリシーを生成しなくなります。
o クラスタを提供サービスとして使用することはできなくなりました。公開としてマークされ、外部アプリケーションによって参照される既存のクラスタは、インベントリフィルタに変換されます。インベントリフィルタは、範囲またはアプリケーションによって提供されるサービスを示す唯一の方法になります。
o クラスタがインベントリフィルタに昇格されると、そのクラスタは会話ビューから削除されます。更新された IP アドレスとフィルタのマッピングを生成するには、新しい ADM を実行する必要があります。
o 除外フィルタは、ADM の実行をまたいで実行されます。クラスタが除外フィルタの一部として使用されている場合、フローはアプリケーションがプライマリの場合にのみ削除されます。
o Citrix ロードバランサー設定の SLB アップロードでは、ポート範囲として * を使用することはできません。設定では、1 つのポートを設定で指定する必要があります。
■ TIM の設定
o 高可用性モードで F5 が設定されている場合は、次のようになります。
§ TIM F5 プラグインは、設定されたホストのリストから 1 つの F5 のみから設定を取得します。この設定がプライマリおよびスタンバイの REST エンドポイント間で異なる F5 のすべての機能は、TIM が新しいマスターに接続するまで、スイッチオーバー後に遅延が発生する可能性があります。
o Netscale が HA モードで設定されているときの Citrix 設定。
§ TIM Citrix プラグインは、設定されているホストのリストから 1 つの Netscaler から設定を取得します。この設定がプライマリおよびセカンダリ REST エンドポイント間で異なる Netscaler のすべての機能は、TIM が新しいマスターに接続するまで、スイッチオーバー後に遅延が発生する可能性があります。
o VMware vCenter HA モードがアクティブな場合は、次のようになります。
§ TIM VMware vCenter プラグインは、一度に 1 つの VMware vCenter エンドポイントからのみ設定を取得します。VMware vCenter HA モードと TIM VMware vCenter プラグインの動作はテストされていません。
このパッチでは、ソフトウェア リリース 3.1.1.53 を実行するために Cisco Tetration が必要です。3.1.1.53 リリースの詳細については、次のリリース ノートを参照してください。
ここでは、Cisco Tetration の使用上のガイドラインを示します。
■ Web ベースのユーザインターフェイスにアクセスするには、Google Chrome ブラウザバージョン40.0.0 以降を使用する必要があります。
■ このリリースでは、Cisco Nexus 9300-EX スイッチのハードウェア センサーからのテレメトリと分析の収集がサポートされています。ただし、収集ルールを定義する必要があります。
■ sDNS を設定した後、Cisco Tetration クラスタの URL (https://<cluster.domain) を参照します。
検証済みスケーラビリティの制限値については、次の URL にある『Cisco Tetration Analytics、リリース 3.1.1.53、リリース ノート』 [英語] を参照してください。
Cisco Tetration Analytics のマニュアルには、次の web サイトからアクセスできます。
Tetration プラットフォーム データシート: http://www.cisco.com/c/en/us/products/collateral/data-center-analytics/tetration-analytics/datasheet-c78-737256.html
このマニュアルには、インストール情報とリリースノートが含まれています。
表 8 インストールマニュアル
マニュアル |
説明 |
Cisco Tetration Analytics クラスタ展開ガイド |
Cisco Tetration 39-RU) プラットフォームと Cisco Tetration (8 RU) のシングルおよびデュアルラックインストールの物理的な構成、設置場所の準備、およびケーブル配線について説明します。 ドキュメント リンク:http://www.cisco.com/c/en/us/td/docs/data-center-analytics/tetration-analytics/hw/installation_guide/b_36_server_rack_installation.html [英語] |
Cisco Tetration 仮想アプライアンス導入ガイド |
Amazon Web Services での Cisco Tetration Cloud の導入について説明します。 |
Cisco Tetration クラスターアップグレードガイド |
ドキュメント リンク |
最新の脅威データソース |
Cisco および Cisco ロゴは、シス コ またはその関連会社の米国およびその他の国における商標または登録商標です。シスコの商標の一覧については、www.cisco.com/go/trademarks をご覧ください。掲載されている第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語は、シスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2018 Cisco Systems, Inc. All rights reserved.