アクセス コントロール ルール:レルムとユーザ
次の項では、ネットワークでユーザ トラフィックを制御する方法について説明します。
レルム、ユーザ、ユーザ グループ、および ISE 属性のアクセス コントロール ルール条件
ライセンス: Control
ユーザ制御を実行する(レルム全体、個々のユーザ、ユーザ グループ、または ISE 属性に基づいてアクセス コントロール ルール条件を作成する)前に、次のことを行う必要があります。
- モニタ対象の Microsoft Active Directory または LDAP サーバのそれぞれに対し、レルムを設定する。レルムに対してユーザのダウンロードを有効にすると、FirePOWER Management Center は定期的および自動的に、新規に報告されたかすでに報告済みの権限のあるユーザおよびユーザ グループのメタデータをダウンロードするようサーバに照会します。
(注) SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
- レルムを認証方式に関連付けるために、アイデンティティ ポリシーを作成する。
- 1 つ以上のユーザ エージェントまたは ISE/ISE-PIC デバイス、あるいはキャプティブ ポータルを設定する。ISE 属性の条件を使用するには、ISE を設定する必要があります。
ユーザ エージェント、ISE/ISE-PIC およびキャプティブ ポータルは、アクセス コントロール ルール条件でユーザ制御に使用できる、権限のあるユーザ データを収集します。アイデンティティ ソースは、指定したユーザがホストにログイン、ログアウトしたり、LDAP または AD クレデンシャルを使用して認証する際にモニタします。
(注) ユーザ エージェントまたは ISE/ISE-PIC デバイスのモニタ対象に多くのユーザ グループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、Firepower Management Center のユーザ制限が原因で、システムがグループに基づいてユーザ マッピングをドロップすることがあります。その結果、レルム、ユーザ、またはユーザ グループ条件をもつアクセス コントロール ルールが想定どおりに適用されない可能性があります。
1 つのユーザ条件で、最大 50 のレルム、ユーザおよびグループを [選択されたユーザ(Selected Users)] に追加できます。ユーザ グループを持つ条件は、そのグループのメンバー(サブグループのメンバーを含む)のいずれかが送信元/宛先であるトラフィックを照合します。ただし、個別に除外されたユーザと、除外されたサブグループのメンバーは含まれません。
ユーザ グループを含めると、自動的に、すべてのセカンダリ グループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでセカンダリ グループを使用する場合は、明示的にセカンダリ グループを含める必要があります。
(注) アクセス コントロール ルールがネットワーク トラフィックを評価する前に、ハードウェア ベースの高速パス ルール、セキュリティ インテリジェンス ベースのトラフィック フィルタリング、SSL インスペクション、ユーザ識別、および一部のデコードと前処理が行われます。
ユーザ アクセス コントロール ルールに関するトラブルシューティング
ライセンス: Control
ユーザ アクセス コントロール ルールの予期しない動作に気付いたら、ルール、アイデンティティ ソース、またはレルムの設定を調整することを検討してください。
レルム、ユーザ、またはユーザ グループに対するアクセス コントロール ルールが適用されない
ユーザ エージェントまたは ISE/ISE-PIC デバイスのモニタ対象に多くのユーザ グループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、FirePOWER Management Center のユーザ制限が原因で、システムがユーザ レコードをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するアクセス コントロール ルールが想定どおりに適用されない可能性があります。
ユーザ グループまたはユーザ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない
ユーザ グループ条件を含むアクセス コントロール ルールを設定する場合は、LDAP または Active Directory サーバでユーザ グループを設定している必要があります。サーバが基本的なオブジェクト階層でユーザを整理している場合、FirePOWER Management Center はユーザ グループ制御を実行できません。
セカンダリ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない
Active Directory サーバのセカンダリ グループのメンバーであるユーザを含めるか除外するユーザ グループ条件を含むアクセス コントロール ルールを設定する場合、サーバは報告するユーザの数を制限していることがあります。
デフォルトでは、Active Directory サーバはセカンダリ グループから報告するユーザの数を制限します。この制限は、セカンダリ グループ内のすべてのユーザが FirePOWER Management Center に報告され、ユーザ条件を含むアクセス コントロール ルールでの使用に適するようにカスタマイズする必要があります。
アクセス コントロール ルールが、初めて表示されたユーザに一致していない
システムは、以前に表示されていないユーザからのアクティビティを検出すると、サーバから情報を取得します。システムがこの情報を正常に取得するまで、このユーザに表示されるアクティビティは、一致するアクセス コントロール ルールによって処理されません。代わりに、ユーザ セッションは、一致する次のアクセス コントロール ルール(またはアクセス コントロール ポリシーのデフォルト アクション)によって処理されます。
たとえば、次のような状況が考えられます。
- ユーザ グループのメンバーであるユーザが、ユーザ グループ条件を含むアクセス コントロール ルールに一致しない。
- ユーザ データ取得に使用されたサーバが Active Directory サーバである場合に、ISE/ISE-PIC またはユーザ エージェントによって報告されたユーザがアクセス コントロール ルールに一致しない。
これにより、システムがユーザ データをイベント ビューおよび分析ツールに表示するのが遅れる可能性があることに注意してください。
アクセス コントロール ルールへのレルム、ユーザ、またはユーザ グループ条件の追加
ライセンス: Control
はじめる前に
- ユーザ アイデンティティ ソースの説明に従って、1 つ以上の権限のあるユーザ アイデンティティ ソースを設定します。
- レルムの作成の説明に従って、レルムを設定します。アクセス コントロール ルールでレルム、ユーザ、またはユーザ グループ条件を設定できるようにするには、その前にユーザによるダウンロード(自動またはオンデマンド)が実行される必要があります。
手順 1 アクセス コントロール ルール エディタで、[ユーザ(Users)] タブを選択します。
手順 2 [使用可能なレルム(Available Realms)] リストで名前または値で検索してレルムを選択します。
手順 3 [使用可能なユーザ(Available Users)] リストで名前または値で検索してレルムを選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。
手順 5 ルールを保存するか、編集を続けます。
次の作業
ISE 属性条件の設定
ライセンス: Control
はじめる前に
- レルムの作成の説明に従って、レルムを設定します。アクセス コントロール ルールで ISE 属性条件を設定できるようにするには、その前にユーザによるダウンロード(自動またはオンデマンド)が実行される必要があります。
(注) SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
(注) ISE-PIC アイデンティティ ソースでは、ISE 属性データを提供しません。ISE を設定する必要があります。
手順 1 アクセス コントロール ルール エディタで、[SGT/ISE 属性(ISE Attributes)] タブをクリックします。
手順 2 [使用可能な属性(Available Attributes)] リストで、上述の名前または値で検索し、属性を選択します。
手順 3 [使用可能なメタデータ(Available Metadata)] リストで、上述の名前または値で検索し、メタデータを選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。
手順 5 [ロケーション IP アドレスの追加(Add a Location IP Address)] フィールドで、IP アドレスによりルールを制約します。
(注) ISE 属性条件を制約するために、ISE 割り当てセキュリティ グループ タグ(SGT)を使用できます。アクセス コントロール ルールでカスタム SGT を使用するには、ISE SGT ルール条件とカスタム SGT ルール条件との比較を参照してください。
手順 6 ルールを保存するか、編集を続けます。
次の作業