Cisco Firepower ユーザ エージェント バージョン 2.4 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2019年7月9日
章のタイトル: ユーザ エージェント入門
ユーザ エージェント入門
バージョン 2.4 のユーザ エージェントは、バージョン 6.2.3 以降の Firepower システム の管理対象デバイスと連携してユーザ データを収集します。ユーザ アクセス制御を実装するためにもユーザ エージェントが不可欠です。
ユーザ エージェントは最大 5 つの Microsoft Active Directory サーバをモニタし、Active Directory によって認証されるログインとログオフをレポートします。Firepower システム は、これらのレコードと、管理対象デバイス上でのトラフィックベースの検出により収集した情報を統合します。
コメント ユーザ エージェントのバージョン 2.4 は、Firepower Management Center バージョン 6.2.3 以降でのみ動作します。ユーザ エージェントと Firepower Management Center のバージョンに問題がある場合は、ユーザ エージェントのトラブルシューティングの説明に従ってバージョン 2.4 のユーザ エージェントをバージョン 2.3 のユーザ エージェントに置き換えることができます。
ユーザ エージェントについて
このセクションでは、Firepower システム にユーザ検出を実装する上でユーザ エージェントが果たす役割に焦点を当てています。ユーザの探索、ネットワーク探索、およびアイデンティティ ソースに関連するすべての概念のより詳細な説明については、ご使用のシステムのコンフィギュレーション ガイドを参照してください。
ユーザ エージェントの基礎
Firepower システム は、組織の Active Directory サーバからユーザ ID とユーザ アクティビティ情報の両方を取得できます。ユーザ エージェントでは、ユーザが Microsoft Active Directory サーバと認証する際に、そのユーザをモニタできます。
コメント ユーザ制御を実行するには、組織で Microsoft Active Directory が使用されている必要があります。Firepower システムは、Active Directory サーバをモニタするユーザ エージェントを使用してユーザと IP アドレスを関連付けます。その結果、アクセス制御ルールをトリガーできるようになります。
ユーザ エージェントのインストールと使用により、ユーザ コントロールを実行できるようになります。エージェントはユーザ名と 1 つ以上の IP アドレスを関連付け、この情報によりユーザの条件でアクセス制御規則をトリガーできます。
ユーザ制御を実行するためのユーザ エージェントの完全な設定には以下が含まれます。
- エージェントがインストールされているコンピュータ。
- Management Center とユーザ エージェント コンピュータとの間の接続。
- 各 Management Center から監視対象 Active Directory サーバへの接続。
- このバージョンのユーザ エージェントは、Firepower Management Center 6.2.3 以降でサポートされています。
ユーザ制御の詳細については、各システムのコンフィギュレーション ガイドを参照してください。
ユーザ エージェントは、監視対象の Microsoft Active Directory サーバに TCP/IP でアクセスできる任意の Microsoft Windows Vista、Microsoft Windows 7、Microsoft Windows 8、Microsoft Windows Server 2008、または Microsoft Windows Server 2012 コンピュータにインストールできます。サポートされるオペレーティング システムの 1 つを実行する Active Directory サーバ上にエージェントをインストールすることもできますが、そのようにすると安全性は低くなります。
コメント ユーザ エージェントを Windows Server 2003 またはそれ以前のオペレーティング システムにインストールする場合、ユーザ エージェントは Active Directory コンピュータからのリアルタイム統計を収集できません。
Management Center 接続は、ログインとログオフがユーザ エージェントによって検出されたユーザのメタデータを取得できるようにするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは Management Center に報告されません。
エージェントのモニタリング、ポーリング、およびレポート
各ユーザ エージェントは、定期スケジュールされたポーリングまたはリアルタイム モニタリングのいずれかによって、暗号化されたトラフィックを使用して権限のあるログインをモニタできます。
次に示すのは、ユーザ エージェントが Management Center に報告するいくつかのイベントです。
つまりたとえば、月曜日にユーザ名 james.harvey が IP アドレス 192.0.2.100 にログインしたとします。火曜日に、 james.harvey は IP アドレス 192.0.2.105 にログインします。このログインでは、Management Center でユーザ ログイン イベントがトリガーされます。
ユーザ ログイン イベントは、ユーザがワークステーションに直接ログインするか、またはリモート デスクトップを使用するときに発生します。
- ユーザ ログオフ :ユーザが IP アドレスからログアウトするときに発生します。ユーザ ログオフ イベントは、コンピュータからユーザがログオフした直後ではなく設定可能な間隔で Management Center に報告されます。
- 新規ユーザ ID :ユーザ名が IP アドレスに初めて関連付けられたときに発生する 1 回限りのイベント。
- ユーザ ID の削除 :Management Center 管理者がユーザ ID を削除すると発生します。
ログイン データとログオフ データを組み合わせることで、ネットワークにログインしたユーザをより完全に把握できます。
Active Directory サーバのポーリングによって、エージェントは定義されたポーリング間隔でユーザ アクティビティ データをまとめて取得できます。リアルタイム モニタリングは、Active Directory サーバがデータを受信するとすぐに、ユーザ アクティビティ データをエージェントに送信します。
特定のユーザ名または IP アドレスに関連付けられたログインまたはログオフの報告を除外するように、エージェントを設定できます。これはたとえば次への繰り返しログインを除外するために役立てることができます。
エージェントは、最大 5 つの Active Directory サーバをモニタし、暗号化されたデータを 5 つの Management Center に送信するように設定できます。
バージョン 6.2.3 以降を使用してアクセス制御を実行すると、ユーザ エージェントが報告したログインによってユーザと IP アドレスが関連付けられ、その結果としてユーザ条件によるアクセス制御ルールがトリガーされます。
コメント 複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防止する方法の詳細については、アイドル セッション タイムアウトの有効化を参照してください。
|
|
|
|---|---|
エージェントは、バージョン 6.2.3 以降を実行している Firepower Management Center に対して、IPv6 アドレスを持つホストへのユーザ ログインを報告します。 エージェントは、バージョン 6.2.3 以降を実行している Firepower Management Center に対して、権限のないユーザ ログインと NetBIOS ログインを報告します。 Active Directory サーバへのログインを検出するには、サーバの IP アドレスを使用して Active Directory サーバの接続を設定する必要があります。詳細については、ユーザ エージェントの Active Directory サーバ接続の設定を参照してください。 |
|
エージェントは、検出されたログオフを Firepower Management Center バージョン 6.2.3 以降に対して報告します。 ログオフはすぐに検出されない場合があります。ログオフに関連付けられたタイムスタンプは、ユーザがホストの IP アドレスにマップされなくなったことをエージェントが検出した時間であり、ユーザがホストからログオフした時間とは一致しない場合があります。 |
|
Active Directory サーバで Windows Server 2008 または Windows Server 2012 を実行している必要があります。 ユーザ エージェント コンピュータは、Windows 7、Windows 8、Windows 10、または Windows Server の Server 2003 より新しいバージョンを実行している必要があります。 |
ユーザ エージェントのログイン データ
ユーザ エージェントは、ユーザがネットワークにログインするか、またはアカウントがその他の理由で Active Directory のクレデンシャルに対して認証されるときに、ユーザをモニタします。ユーザ エージェントは、ホストへの対話型ユーザ ログイン、リモート デスクトップ ログイン、ファイル共有認証、およびコンピュータ アカウント ログインを検出します。
ユーザ エージェントは 権限を有した ユーザのログインを報告します。権限のあるログインのデータ(たとえば、リモート デスクトップ ログインや、ユーザによるホストへの対話型ログインなど)によって、ホスト IP アドレスにマップされた現在のユーザが新たなログインからのユーザに変更されます。
ネットワーク検出のトラフィックベース検出では、 権限を持たない ユーザによるログインが報告されます。権限のないログインでは、現在のユーザを変更しないか、ユーザも権限がない場合にのみ現在のユーザを変更します。
- エージェントがファイル共有認証用のログインを検出した場合は、ホストに対するユーザ ログインを報告しますが、ホスト上の現在のユーザは変更しません。
- エージェントがホストに対するコンピュータ アカウント ログインを検出した場合は、NetBIOS Name Change 検出イベントを生成し、ホスト プロファイルに NetBIOS 名の変更が反映されます。
- 除外されたユーザ名のログインを検出した場合、エージェントは Management Center にログインを報告しません。
エージェントは、すべてのログインについて次の情報を Management Center に送信します。
コメント Unicode 文字を含むユーザ名は、Management Center により正しく表示されない場合があります。
コメント ユーザが Linux コンピュータでリモート デスクトップを使用して Windows コンピュータにログインした場合、エージェントはログインを検出すると、Linux コンピュータの IP アドレスではなく Windows コンピュータの IP アドレスを Management Center に報告します。
Management Center はユーザ アクティビティ データベースにログイン情報とログオフ情報を記録し、ユーザ データをユーザ データベースに記録します。ユーザ エージェントがユーザ ログインまたはログオフからのユーザ データを報告すると、報告されたユーザがユーザ データベース内のユーザのリストと照合してチェックされます。報告されたユーザがエージェントから報告された既存のユーザと一致した場合、報告されたデータがそのユーザに割り当てられます。報告されたユーザが既存のユーザと一致しなかった場合、新しいユーザが作成されます。
除外されたユーザ名に関連付けられたユーザ アクティビティは報告されませんが、関連するユーザ アクティビティは報告される場合があります。エージェントがコンピュータへのユーザ ログインを検出し、その後 2 人目のユーザ ログインを検出したときに、2 人目のユーザ ログインに関連付けられたユーザ名が報告対象から除外されていた場合、エージェントは元のユーザのログオフを報告します。ただし、2 人目のユーザのログインは報告されません。その結果、除外されたユーザがホストにログインしていた場合でも、ユーザが IP アドレスにマップされません。
エージェントによって検出されるユーザ名の次の制限に注意してください。
- ドル記号で終わるユーザ名は他のバージョンの Management Center に報告されません。
- Management Center では、Unicode 文字を含むユーザ名の表示が制限される場合があります。
Management Center で保存できる検出済みユーザの総数は、以下の内容によって異なります。
ユーザ制限に達すると、ほとんどの場合、データベースへの新しいユーザの追加が停止されます。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベースから手動で削除するか、データベースからすべてのユーザを削除する必要があります。
複数のユーザ エージェントの展開
ドメインごとに複数の Active Directory サーバがある場合は、複数のユーザ エージェントのインストールを検討できます。Active Directory サービスは認証情報は共有しますが、セキュリティ ログ(ユーザ エージェントが一部の情報を収集する場所)は共有しません。
したがって、ドメイン内に複数の Active Directory サーバがある場合、以下のいずれかを実行できます。
1 つのユーザ エージェントは、最大 5 つの Active Directory サーバと通信できます。
–
Active Directory サーバが地理的に分散している。Active Directory サーバに地理的に近接しているコンピュータには、ユーザ エージェントをインストールすることをお勧めします(または Active Directory サーバ コンピュータ自体にもインストールできますが、これは安全性が低くなります)。
– Active Directory サーバのトラフィックの負荷が高い。
コメント 各ユーザ エージェントを、ドメイン コントローラの完全修飾ホスト名または IP アドレスと通信するように構成する必要があります。マルチドメイン システムでは、各ドメイン コントローラが別々の IP アドレスまたはホスト名を持つのが一般的です。
レガシー エージェントのサポート
Active Directory サーバにインストールされているバージョン 1.0(レガシー)のユーザ エージェントは、引き続き Active Directory サーバから 1 つの Management Center にユーザ ログイン データを送信できます。レガシー エージェントの導入要件と検出機能に変更はありません。
レガシー エージェントを Active Directory サーバにインストールして、1 つの Management Center のみに接続する必要があります。ただし、ユーザ エージェントのステータス モニタ ヘルス モジュールではレガシー エージェントはサポートされないため、レガシー エージェントが接続されている Management Center ではこのモジュールを有効にしないでください。
今後のリリースでレガシー エージェントのサポートが停止される場合に備えてできるだけ早くバージョン 2.4 のユーザ エージェントを使用するように導入環境をアップグレードしてください。
バージョン 6.x のユーザ エージェント、ISE、およびアクセス制御について
バージョン 6.0 では、ユーザ エージェントに代わって、Cisco Identity Services Engine(ISE)がサポートされるようになりました。ユーザ エージェントと ISE は、ユーザ アクセス制御のためのデータを収集するパッシブなアイデンティティ ソースです。バージョン 6.x でユーザ制御を実行するには、エージェントまたは ISE デバイスに接続されている Management Center 上の監視対象 Active Directory サーバに、アイデンティティ レルムを設定できます。レルム、アイデンティティ ソース、および ISE/ISE-PIC の詳細については、ご使用のシステムのコンフィギュレーション ガイドを参照してください。
このリリースで修正される問題
|
|
|
|---|---|
ユーザ エージェント バージョン 2.4 は、バージョン 6.3 にアップグレードした後、ASA with FirePOWER Services デバイスで通信できます。 |
|
ユーザ エージェント バージョン 2.4 は、脆弱性に対処するために Microsoft SQL Server Compact Edition サポートをアップグレードしました。 |
フィードバック