この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Version 2.3 のユーザ エージェントは、Firepower システム の管理対象デバイスと連携してユーザ データを収集します。Firepower システム のバージョン 5.x または バージョン 6.x とともにエージェントを使用している場合は、ユーザ アクセス制御を実装するためにもユーザエージェントが不可欠です。
ユーザエージェントは最大 5 つの Microsoft Active Directory サーバをモニタし、Active Directory によって認証されるログインとログオフをレポートします。Firepower システムは、これらのレコードと、管理対象デバイス上でのトラフィックベースの検出により収集した情報を統合します。
ユーザエージェントに関するリリース固有の用語や機能サポートについては、次の表を参照してください。
|
|
|
---|---|---|
このセクションでは、Firepower システムにユーザ検出を実装する上でユーザエージェントが果たす役割に焦点を当てています。ユーザの探索、RNA/ネットワーク探索、およびアイデンティティ ソースに関連するすべての概念のより詳細な説明については、ご使用のシステムのコンフィギュレーション ガイドを参照してください。
Firepower システム は、組織の Active Directory サーバからユーザ ID とユーザアクティビティ情報の両方を取得できます。ユーザ エージェントでは、ユーザが Microsoft Active Directory サーバと認証する際に、そのユーザをモニタできます。
(注) ユーザ制御を実行するには、組織で Microsoft Active Directory が使用されている必要があります。Firepower システムは、Active Directory サーバをモニタするユーザ エージェントを使用してユーザと IP アドレスを関連付けます。その結果、アクセス制御ルールをトリガーできるようになります。
ユーザ エージェントのインストールと使用により、ユーザ コントロールを実行できるようになります。エージェントはユーザ名と 1 つ以上の IP アドレスを関連付け、この情報によりユーザの条件でアクセス制御規則をトリガーできます。
ユーザ制御を実行するためのユーザ エージェントの完全な設定には以下が含まれます。
ユーザ制御の詳細については、各システムのコンフィギュレーション ガイドを参照してください。
ユーザ エージェントは、監視対象の Microsoft Active Directory サーバに TCP/IP でアクセスできる任意の Microsoft Windows Vista、Microsoft Windows 7、Microsoft Windows 8、Microsoft Windows Server 2008、または Microsoft Windows Server 2012 コンピュータにインストールできます。サポートされるオペレーティング システムの 1 つを実行する Active Directory サーバ上にエージェントをインストールすることもできますが、そのようにすると安全性は低くなります。
(注) ユーザ エージェントを Windows Server 2003 またはそれ以前のオペレーティング システムにインストールする場合、ユーザ エージェントは Active Directory コンピュータからのリアルタイム統計を収集できません。
Management Center 接続は、ログインとログオフがユーザエージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは Management Center に報告されません。
各ユーザ エージェントは、定期スケジュールされたポーリングまたはリアルタイム モニタリングのいずれかによって、暗号化されたトラフィックを使用して権限のあるログインをモニタできます。
次に示すのは、ユーザ エージェントが Management Center に報告するいくつかのイベントです。
つまりたとえば、月曜日にユーザ名 james.harvey
が IP アドレス 192.0.2.100 にログインしたとします。火曜日に、 james.harvey
は IP アドレス 192.0.2.105 にログインします。このログインでは、Management Center でユーザ ログイン イベントがトリガーされます。
ユーザ ログイン イベントは、ユーザがワークステーションに直接ログインするか、またはリモート デスクトップを使用するときに発生します。
ログイン データとログオフ データを組み合わせることで、ネットワークにログインしたユーザをより完全に把握できます。
Active Directory サーバのポーリングによって、エージェントは定義されたポーリング間隔でユーザ アクティビティ データをまとめて取得できます。リアルタイム モニタリングは、Active Directory サーバがデータを受信するとすぐに、ユーザ アクティビティ データをエージェントに送信します。
特定のユーザ名または IP アドレスに関連付けられたログインまたはログオフの報告を除外するように、エージェントを設定できます。これはたとえば次への繰り返しログインを除外するために役立てることができます。
最大 5 つの Active Directory サーバをモニタし、暗号化されたデータを 5 つの Management Center に送信するように、エージェントを設定できます。
バージョン 5.x またはバージョン 6.x を使用してアクセス制御を実行すると、ユーザ エージェントが報告したログインによってユーザと IP アドレスが関連付けられ、その結果としてユーザ条件によるアクセス制御ルールがトリガーされます。
(注) 複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防止する方法の詳細については、アイドル セッション タイムアウトの有効化を参照してください。
|
|
---|---|
エージェントは、バージョン 5.2 以降を実行している Defense Center に対して、IPv6 アドレスを持つホストへのユーザ ログインを報告します。 エージェントは、バージョン 5.0.1 以降を実行している Defense Center に対して、権限のないユーザログインと NetBIOS ログインを報告します。 Active Directory サーバへのログインを検出するには、サーバの IP アドレスを使用して Active Directory サーバの接続を設定する必要があります。詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。 |
|
エージェントは、バージョン 5.2 以降の Defense Center に対して、検出されたログオフを報告します。 ログオフはすぐに検出されない場合があります。ログオフに関連付けられたタイムスタンプは、ユーザがホストの IP アドレスにマップされなくなったことをエージェントが検出した時間であり、ユーザがホストからログオフした時間とは一致しない場合があります。 |
|
Active Directory サーバで Windows Server 2008 または Windows Server 2012 を実行している必要があります。 ユーザ エージェント コンピュータは、Windows 7、Windows 8、Windows 10、または Windows Server の Server 2003 より新しいバージョンを実行している必要があります。 |
ユーザ エージェントは、ユーザがネットワークにログインするか、またはアカウントがその他の理由で Active Directory のクレデンシャルに対して認証されるときに、ユーザをモニタします。ユーザ エージェントは、ホストへの対話型ユーザ ログイン、リモート デスクトップ ログイン、ファイル共有認証、およびコンピュータ アカウント ログインを検出します。
ユーザエージェントは 権限を有した ユーザのログインを報告します。権限のあるログインのデータ(たとえば、リモート デスクトップ ログインや、ユーザによるホストへの対話型ログインなど)によって、ホスト IP アドレスにマップされた現在のユーザが新たなログインからのユーザに変更されます。
ネットワーク検出のトラフィックベース検出では、 権限を持たない ユーザによるログインが報告されます。権限のないログインでは、現在のユーザを変更しないか、ユーザも権限がない場合にのみ現在のユーザを変更します。
エージェントは、すべてのログインについて次の情報を Management Center に送信します。
(注) Unicode 文字を含むユーザ名は、Management Center により正しく表示されない場合があります。
(注) ユーザが Linux コンピュータでリモートデスクトップを使用して Windows コンピュータにログインした場合、エージェントはログインを検出すると、Linux コンピュータの IP アドレスではなく Windows コンピュータの IP アドレスを Management Center に報告します。
Management Center はユーザ アクティビティ データベースにログイン情報とログオフ情報を記録し、ユーザ データをユーザ データベースに記録します。ユーザ エージェントがユーザ ログインまたはログオフからのユーザ データを報告すると、報告されたユーザがユーザ データベース内のユーザのリストと照合してチェックされます。報告されたユーザがエージェントから報告された既存のユーザと一致した場合、報告されたデータがそのユーザに割り当てられます。報告されたユーザが既存のユーザと一致しなかった場合、新しいユーザが作成されます。
除外されたユーザ名に関連付けられたユーザ アクティビティは報告されませんが、関連するユーザ アクティビティは報告される場合があります。エージェントがコンピュータへのユーザ ログインを検出し、その後 2 人目のユーザ ログインを検出したときに、2 人目のユーザ ログインに関連付けられたユーザ名が報告対象から除外されていた場合、エージェントは元のユーザのログオフを報告します。ただし、2 人目のユーザのログインは報告されません。その結果、除外されたユーザがホストにログインしていた場合でも、IP アドレスにユーザはマップされません。
エージェントによって検出されるユーザ名に関する次の制限事項に注意してください。
$
)で終わるユーザ名は、ネットワーク マップを更新しますが、ユーザ ログインとして表示されません。エージェントは、他のバージョンの Management Center に対してドル記号文字( $
)で終わるユーザ名を報告しません。Management Center で保存できる検出済みユーザの総数は、以下の内容によって異なります。
ユーザ制限に達すると、ほとんどの場合、データベースへの新しいユーザの追加が停止されます。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを削除する必要があります。
ドメインごとに複数の Active Directory サーバがある場合は、複数のユーザ エージェントのインストールを検討できます。Active Directory サービスは認証情報は共有しますが、セキュリティ ログ(ユーザ エージェントが一部の情報を収集する場所)は共有しません。
したがって、ドメイン内に複数の Active Directory サーバがある場合、以下のいずれかを実行できます。
1 つのユーザ エージェントは、最大 5 つの Active Directory サーバと通信できます。
– Active Directory サーバが地理的に分散している。Active Directory サーバに地理的に近接しているコンピュータには、ユーザ エージェントをインストールすることをお勧めします(または Active Directory サーバ コンピュータ自体にもインストールできますが、これは安全性が低くなります)。
– Active Directory サーバのトラフィックの負荷が高い。
(注) 各ユーザ エージェントを、ドメイン コントローラの完全修飾ホスト名または IP アドレスと通信するように構成する必要があります。マルチドメイン システムでは、各ドメイン コントローラが別々の IP アドレスまたはホスト名を持つのが一般的です。
Active Directory サーバにインストールされているバージョン 1.0(レガシー)のユーザエージェントは、引き続き Active Directory サーバから 1 つの Management Center にユーザログインデータを送信できます。レガシー エージェントの導入要件と検出機能に変更はありません。
レガシーエージェントを Active Directory サーバにインストールして、1 つの Management Center のみに接続する必要があります。ただし、ユーザ エージェントのステータス モニタ ヘルス モジュールではレガシー エージェントはサポートされないため、レガシー エージェントが接続されている Management Center ではこのモジュールを有効にしないでください。
今後のリリースでレガシー エージェントのサポートが停止される場合に備えてできるだけ早くVersion 2.3 のユーザ エージェントを使用するように導入環境をアップグレードしてください。
組織で Microsoft Active Directory サーバが使用されている場合、ユーザ エージェントをインストールして、Active Directory サーバを使用してユーザ アクティビティをモニタすることを推奨します。バージョン 5.x でユーザ制御を実行するには、ユーザ エージェントをインストールし、Defense Center への接続を設定する 必要があります 。
バージョン 6.0 では、ユーザ エージェントに代わって、Cisco Identity Services Engine(ISE)がサポートされるようになりました。ユーザ エージェントと ISE は、ユーザ アクセス制御のためのデータを収集するパッシブなアイデンティティ ソースです。バージョン 6.x でユーザ制御を実行するには、エージェントまたは ISE デバイスに接続されている Management Center 上の監視対象 Active Directory サーバに、アイデンティティ レルムを設定できます。レルム、アイデンティティ ソース、および ISE/ISE-PIC の詳細については、ご使用のシステムのコンフィギュレーション ガイドを参照してください。
Firepower Management Center バージョン 6.6 が、ユーザエージェントを有効にできる最後のバージョンです。Firepower Management Center 6.7 ではユーザエージェントを有効にできません。6.7 にアップグレードすると、アップグレードする前にユーザエージェントを無効にするように警告されます。
可能な限り早くユーザ エージェントの使用を停止し、Cisco Identity Services Engine/Passive Identity Connector(ISE/ISE-PIC)の使用に切り替えることを強く推奨します。
ユーザエージェントでは使用できない次の機能を活用できるようになります。