ネットワーク検出とアイデンティティの概要

次のトピックでは、ネットワーク検出およびアイデンティティポリシーとデータの概要を示します。

ホスト、アプリケーション、ユーザの検出

Firepower システムは、ネットワーク検出およびアイデンティティ ポリシーを使用して、ネットワークトラフィックのホスト、アプリケーション、およびユーザのデータを収集します。特定のタイプの検出およびアイデンティティデータを使用すると、ネットワークアセットの包括的なマップを作成し、フォレンジック分析、動作プロファイリング、アクセス制御を行い、組織が影響を受ける脆弱性およびエクスプロイトに対応して軽減することができます。

ホストおよびアプリケーションデータ

ホストやアプリケーションデータは、ネットワーク検出ポリシーの設定に従ってホストのアイデンティティソースとアプリケーションディテクタによって収集されます。管理対象デバイスは、指定したネットワークセグメントのトラフィックを確認します。

詳細については、ホストおよびアプリケーション検出の基礎を参照してください。

ユーザデータ（User Data）

ユーザデータはネットワーク検出およびアイデンティティポリシーの設定に従ってユーザのアイデンティティソースによって収集されます。データはユーザ認識とユーザ制御のために使用できます。

詳細については、ユーザアイデンティティについてを参照してください。

ホスト、アプリケーション、およびユーザ検出とアイデンティティデータの使用

検出データとアイデンティティデータをロギングすることにより、次のような Firepower システムのさまざまな機能を活用できます。

ネットワークアセットとトポロジの詳細を示すネットワークマップを表示します。その際、ホストとネットワークデバイス、ホスト属性、アプリケーションプロトコル、または脆弱性をグループ化して表示できます。
アプリケーション、レルム、ユーザ、ユーザグループ、および ISE 属性の各条件を使ってアクセスコントロールルールを作成することにより、アプリケーション制御およびユーザ制御を実行します。
検出されたホストで利用可能なすべての情報の完全なビューであるホストプロファイルを表示します。
（さまざまな機能の 1 つとして）ネットワークアセットとユーザアクティビティの概要を示すダッシュボードを表示します。
システムによって記録された検出イベントとユーザアクティビティに関する詳細情報を表示します。
ホストおよびそこで実行されているサーバ/クライアントと、被害を及ぼす可能性のあるエクスプロイトとを関連付けます。

これにより、脆弱性を特定して軽減したり、ネットワークに対する侵入イベントの影響を評価したり、ネットワークアセットを最大限に保護できるように侵入ルール状態を調整したりできます。
システムで特定の影響フラグ付きの侵入イベントまたは特定のタイプの検出イベントが生成された場合に、電子メール、SNMP トラップ、または syslog によるアラートを発行します。
許可されたオペレーティングシステム、クライアント、アプリケーションプロトコル、およびプロトコルのホワイトリストを使用して組織のコンプライアンスをモニタします。
システムが検出イベントを生成するかユーザアクティビティを検出したときにトリガーして相関イベントを生成するルールを使って、相関ポリシーを作成します。
該当する場合、NetFlow 接続をロギングして使用します。

ホストおよびアプリケーション検出の基礎

ネットワーク検出ポリシーを設定すると、ホストおよびアプリケーション検出を実行できます。

詳細については、概要：ホストのデータ収集および概要：アプリケーション検出を参照してください。

オペレーティングシステムおよびホストデータのパッシブ検出

パッシブ検出 は、システムがネットワークトラフィック（およびエクスポートされた NetFlow データ）を分析してネットワークマップにデータを取り込む際のデフォルト方式です。パッシブ検出では、ネットワークアセットに関するコンテキスト情報（オペレーティングシステムや実行中のアプリケーションなど）が提供されます。

モニタ対象のホストからのトラフィックが、ホストで実行されているオペレーティングシステムを示す決定的証拠とならない場合、使用されている可能性が最も高いオペレーティングがネットワークマップに表示されます。たとえば、複数のホストが NAT デバイスの「背後」にあることから、NAT デバイスが複数のオペレーティングシステムを実行しているように表示される場合があります。この最も可能性の高いオペレーティングを決定するためにシステムが使用するのは、検出された各オペレーティングシステムに割り当てられた信頼度の値と、検出されたオペレーティングシステムの中でその特定のオペレーティングシステムが使用されていることを裏付けるデータの量です。

（注）

この決定を行う際、システムは「unknown」として報告されたアプリケーションとオペレーティングシステムを考慮しません。

パッシブ検出でネットワークアセットが正確に識別されない場合は、管理対象デバイスの配置について検討してください。また、システムのパッシブ検出機能をオペレーティングシステムのカスタムフィンガープリントとカスタムアプリケーションディテクタで増補することもできます。あるいは、アクティブ検出 を使用するという方法もあります。アクティブ検出では、トラフィック分析をベースとするのではなく、スキャン結果やその他の情報ソースを使用して直接ネットワークマップを更新できます。

オペレーティングシステムおよびホストデータのアクティブ検出

アクティブ検出では、アクティブソースによって収集されたホスト情報をネットワークマップに追加します。たとえば、Nmap スキャナを使用して、ネットワーク上の対象ホストをアクティブにスキャンできます。Nmap は、ホストでオペレーティングシステムおよびアプリケーションを検出します。

さらに、ホスト入力機能によって、ネットワークマップにホスト入力データをアクティブに追加することができます。ホスト入力データには 2 種類のカテゴリがあります。

ユーザ入力データ：FirePOWER システムユーザインターフェイスで追加されたデータ。このユーザインターフェイスを使用して、ホストのオペレーティングシステムやアプリケーションの ID を変更できます。
ホストインポート入力データ：コマンドラインユーティリティを使用してインポートされたデータ。

システムは、それぞれのアクティブソースに対して 1 個の ID を保持します。たとえば、Nmap スキャンインスタンスを実行すると、以前のスキャンの結果は新しいスキャン結果に置き換えられます。ただし、Nmap スキャンを実行し、それらの結果をクライアントからのデータ（コマンドラインを使用してインポートした結果）と交換する場合、システムは Nmap の結果の ID とインポートクライアントの ID の両方を保持します。システムは、ネットワーク検出ポリシーで設定された優先順位を使用して、現在の ID として使用するアクティブ ID を判別します。

複数のユーザが入力したとしても、ユーザ入力は 1 ソースと見なされることに注意してください。たとえば、UserA がホストプロファイルを使用してオペレーティングシステムを設定し、UserB がホストプロファイルを使用してその定義を変更した場合、UserB によって設定された定義が保持され、UserA によって設定された定義は破棄されます。また、ユーザ入力によって、他のアクティブソースすべてが上書きされ、存在する場合、現在の ID として使用されることに注意してください。

アプリケーションおよびオペレーティングシステムの現在の ID

ホストのアプリケーションまたはオペレーティングシステムの現在の ID は、ホストが最も正しい可能性が高いと認識する ID です。

システムは、以下の目的で、オペレーティングシステムまたはアプリケーションの現在の ID を使用します。

脆弱性のホストへの割り当て
影響評価
オペレーティングシステムの識別、ホストプロファイルの認定、およびコンプライアンスのホワイトリストに対して記述された相関ルールの評価
ワークフローのホストおよびサーバのテーブルビューでの表示
ホストプロファイルでの表示
[検出統計情報（Discovery Statistics）] ページでのオペレーティングシステムとアプリケーションの統計の計算

システムは、ソースの優先順位を使用して、アプリケーションまたはオペレーティングシステムの現在の ID として使用するアクティブ ID を判別します。

アプリケーションまたはオペレーティングシステムの現在の ID として使用されるアクティブ ID の概略図。

たとえば、ユーザがホストでオペレーティングシステムを Windows 2003 Server に設定した場合、Windows 2003 Server が現在の ID になります。そのホストの Windows 2003 Server の脆弱性を狙った攻撃により大きな影響力があると見なされ、ホストプロファイルのそのホストについてリストされた脆弱性に、Windows 2003 Server の脆弱性が含められます。

データベースは、ホストのオペレーティングシステムや特定のアプリケーションに関する複数のソースからの情報を保持する場合があります。

データのソースに最も高いソースの優先順位が付けられている場合に、システムはオペレーティングシステムまたはアプリケーションの ID を現在の ID として扱います。使用される可能性のあるソースには、次の優先順位があります。

1. ユーザ

2. スキャナとアプリケーション（ネットワーク検出ポリシーで設定）

3. 管理対象デバイス

4：NetFlow レコード

新しい優先順位の高いアプリケーション ID は、現在のアプリケーション ID よりも詳細でない場合、現在の ID を上書きしません。

また、ID の競合が発生した場合、競合の解決はネットワーク検出ポリシーの設定または手動解決によります。

現在のユーザ ID

システムは、同じホストに対して異なるユーザによる複数のログインを検出すると、特定のホストにログインするユーザは一度に 1 人だけであり、ホストの現在のユーザが最後の権限のあるユーザログインであると見なします。権限のないユーザログインだけがホストにログインしている場合は、最後にログインしたものが現在のユーザと見なされます。複数のユーザがリモートセッション経由でログインしている場合は、サーバによって報告された最後のユーザが Firepower Management Centerに報告されるユーザです。

システムは、同じホストに対して異なるユーザによる複数のログインを検出すると、ユーザが初めて特定のホストにログインした時点を記録し、それ以降のログインを無視します。あるユーザが特定のホストにログインしている唯一の人物の場合は、システムが記録する唯一のログインがオリジナルのログインです。

ただし、そのホストに別のユーザがログインした時点で、システムは新しいログインを記録します。その後で、オリジナルのユーザが再度ログインすると、その人物の新しいログインが記録されます。

アプリケーションおよびオペレーティングシステムの ID の競合

現在のアクティブ ID および以前に報告されたパッシブ ID と競合する新しいパッシブ ID が報告されると、ID の競合が発生します。たとえば、オペレーティングシステムの以前のパッシブ ID は Windows 2000 と報告され、Windows XP のアクティブ ID が現在の ID になります。次に、システムが Ubuntu Linux 8.04.1 の新しいパッシブ ID を検出します。Windows XP と Ubuntu Linux の ID が競合状態になります。

ホストのオペレーティングシステムまたはホスト上のいずれかのアプリケーションの ID に対して ID の競合が存在する場合、システムは現在の ID として競合する両方の ID をリストし、競合が解決されるまで影響評価に両方の ID を使用します。

管理者特権を持つユーザは、パッシブ ID を常に使用するか、またはアクティブ ID を常に使用するかを選択することによって、自動的に ID の競合を解決できます。ID の競合の自動解決を無効にしない限り、ID の競合は常に自動的に解決されます。

ID の競合解決の概略図

管理者特権を持つユーザは、ID の競合が発生した場合に、イベントを生成するようにシステムを設定することもできます。そのユーザは、相関応答として Nmap スキャンを使用する相関ルールで相関ポリシーを設定できます。イベントが発生すると、Nmap はホストをスキャンして、更新されたホストのオペレーティングシステムとアプリケーションデータを取得します。

Firepower システムの NetFlow データ

NetFlow は、ルータを通過するパケットの統計情報を提供する、Cisco IOS アプリケーションの 1 つです。NetFlow は Cisco ネットワーキングデバイスで使用できます。また、Juniper、FreeBSD、OpenBSD デバイスに組み込むことも可能です。

NetFlow がネットワークデバイスで有効にされている場合、そのデバイス上のデータベース（NetFlow キャッシュ）に、ルータを通過するフローのレコードが格納されます。Firepower システムで接続と呼ばれるフローは、特定のポート、プロトコル、およびアプリケーションプロトコルを使用する送信元ホストと宛先ホスト間のセッションを表すパケットのシーケンスです。この NetFlow データをエクスポートするようにネットワークデバイスを設定できます。本書では、そのように設定されたネットワークデバイスを NetFlow エクスポータと呼びます。

Firepower システムの管理対象デバイスは、NetFlow エクスポータからレコードを収集して、それらのレコードに含まれるデータに基づいて単方向の接続終了イベントを生成し、それらのイベントを接続イベントデータベースに記録するために Firepower Management Center に送信するように設定できます。また、NetFlow 接続内の情報に基づいて、ホストとアプリケーションプロトコルに関する情報をデータベースに追加するためのネットワーク検出ポリシーを設定することもできます。

この検出データと接続データを使用して、管理対象デバイスによって直接収集されたデータを補完できます。これは、管理対象デバイスでモニタできないネットワークを NetFlow エクスポータにモニタさせる場合には特に有効です。

NetFlow データを使用するための要件

NetFlow データを分析するために Firepower System を設定する前に、ルータまたは使用する他の NetFlow が有効なネットワークデバイス上で NetFlow 機能を有効にし、管理対象デバイスのセンシングインターフェイスを接続する宛先ネットワークへ NetFlow データをブロードキャストするようにデバイスを設定する必要があります。

Firepower System では、NetFlow バージョン 5 レコードと NetFlow バージョン 9 レコードをいずれも解析できます。Firepower System にデータをエクスポートするには、NetFlow エクスポータがいずれかのバージョンを使用する必要があります。さらに、このシステムでは、特定のフィールドがエクスポートされた NetFlow テンプレートとレコードに存在する必要があります。NetFlow エクスポータがカスタマイズ可能なバージョン 9 を使用している場合は、エクスポートされたテンプレートとレコードに次のフィールドが任意の順序で含まれていることを確認する必要があります。

IN_BYTES (1)
IN_PKTS (2)
PROTOCOL (4)
TCP_FLAGS (6)
L4_SRC_PORT (7)
IPV4_SRC_ADDR (8)
L4_DST_PORT (11)
IPV4_DST_ADDR (12)
LAST_SWITCHED (21)
FIRST_SWITCHED (22)
IPV6_SRC_ADDR (27)
IPV6_DST_ADDR (28)

Firepower System は管理対象デバイスを使用して NetFlow データを分析するため、NetFlow エクスポータの監視可能な 1 つ以上の管理対象デバイスを展開に含める必要があります。この管理対象デバイス上の 1 つ以上のセンシングインターフェイスを、エクスポートされた NetFlow データを収集可能なネットワークに接続する必要があります。通常、管理対象デバイス上のセンシングインターフェイスには IP アドレスが割り当てられないため、システムは NetFlow レコードの直接収集をサポートしません。

一部のネットワークデバイス上で使用可能な Sampled NetFlow 機能は、デバイスを通過するパケットのサブセットだけに基づく NetFlow 統計情報を収集することに注意してください。この機能を有効にすると、ネットワークデバイス上の CPU 使用率が改善される可能性がありますが、Firepower System で分析するために収集されている NetFlow データに影響する場合があります。

NetFlow データと管理対象デバイスデータの違い

Firepower は、NetFlow データによって表されるトラフィックを直接分析しません。代わりに、エクスポートした NetFlow レコードを接続ログおよびホストとアプリケーションのプロトコルデータに変換します。

その結果、変換された NetFlow データと、管理対象デバイスによって直接収集された検出および接続データにはいくつかの違いがあります。以下のことを必要とする分析を実行する場合に、これらの違いを意識しなければなりません。

検出された接続数に基づく統計情報
オペレーティングシステムとその他のホスト関連情報（脆弱性を含む）
クライアント情報、Web アプリケーション情報、ベンダーおよびバージョンサーバ情報を含むアプリケーションデータ
接続内の発信側のホストと応答側のホストの認識

ネットワーク検出ポリシーとアクセスコントロールポリシーの違い

接続ロギングを含む NetFlow データ収集は、ネットワーク検出ポリシー内のルールを使用して設定します。これを、アクセスコントロールルールごとに設定した FirePOWER システム管理対象デバイスによって検出された接続の接続ロギングと比較してください。

接続イベントのタイプ

NetFlow データ収集はアクセスコントロールルールではなくネットワークにリンクされているため、システムがログに記録する NetFlow 接続をきめ細かく制御することはできません。

NetFlow データは、セキュリティインテリジェンスイベントを生成することはできません。

NetFlow ベースの接続イベントは、接続イベントデータベースにのみ保存できます。システムログまたは SNMP トラップサーバに送信することはできません。

モニタ対象セッションごとに生成される接続イベントの数

管理対象デバイスによって直接検出された接続の場合は、アクセスコントロールルールを設定して、接続の最初か最後またはその両方で双方向接続イベントをログに記録できます。

それに対し、エクスポートされた NetFlow レコードには単方向接続データが含まれているため、システムは処理する各 NetFlow レコードに対し少なくとも 2 つの接続イベントを生成します。これは、概要の接続数が NetFlow データに基づいた接続ごとに 2 ずつ増加することも意味しており、ネットワーク上で実際に発生している接続数が急増することになります。

接続がまだ実行中であっても、NetFlow エクスポータは固定間隔でレコードを出力するため、長時間実行しているセッションの場合は複数のエクスポートされたレコードが生成される場合があり、その各レコードが接続イベントを生成します。たとえば、NetFlow エクスポータが 5 分ごとにエクスポートする場合に、特定の接続が 12 分間続いている場合、システムはそのセッションに対し 6 つの接続イベントを生成します。

最初の 5 分間の 1 つのイベントペア
次の 5 分間の 1 つのペア
接続が終了した時点の最後のペア

ホストデータとオペレーティングシステムデータ

NetFlow データからのネットワークマップに追加されたホストには、オペレーティングシステム、NetBIOS、またはホストタイプ（ホストまたはネットワークデバイス）の情報がありません。ただし、ホスト入力機能を使用してホストのオペレーティングシステム ID を手動で設定できます。

アプリケーションデータ

管理対象デバイスによって直接検出された接続の場合は、接続内のパケットを検査することによって、システムはアプリケーションプロトコル、クライアント、および Web アプリケーションを識別できます。

システムは NetFlow レコードを処理するときに、/etc/sf/services 内のポート関連付けを使用して、アプリケーションプロトコル ID を推測します。ただし、これらのアプリケーションプロトコルに関するベンダーまたはバージョン情報が存在しないため、接続ログにはセッションで使用されるクライアントまたは Web アプリケーションに関する情報が含まれません。しかし、ホスト入力機能を使用してこの情報を手動で提供できます。

単純なポート関連付けでは、非標準ポート上で動作しているアプリケーションプロトコルが特定されないまたは誤認される可能性があることに注意してください。加えて、関連付けが存在しない場合は、システムがそのアプリケーションプロトコルを接続ログで unknown としてマークします。

脆弱性マッピング

システムは、ホスト入力機能を使用してホストのオペレーティングシステム ID またはアプリケーションプロトコル ID を手動で設定しない限り、NetFlow エクスポータによってモニタされるホストに脆弱性をマッピングできません。NetFlow 接続内にクライアント情報が存在しないため、クライアントの脆弱性を NetFlow データから作成されたホストに関連付けることはできないことに注意してください。

接続内の発信側情報と応答側情報

管理対象デバイスによって直接検出された接続の場合、システムは発信側または送信元のホストと応答側または宛先のホストを識別できます。ただし、NetFlow データには発信側または応答側の情報が含まれていません。

Firepower システムは、NetFlow レコードを処理するときに、それぞれのホストが使用しているポートとそれらのポートが既知かどうかに基づいて、この情報を判断するアルゴリズムを使用します。

使用されているポートの両方が既知のポートの場合、または、どちらも既知のポートでない場合、システムは番号の小さい方のポートを使用しているホストを応答側と見なします。
どちらかのホストだけが既知のポートを使用している場合は、システムがそのホストを応答側と見なします。

したがって、既知のポートは、1 ～ 1023 の番号が割り当てられたポートまたは管理対象デバイス上の /etc/sf/services にアプリケーションプロトコル情報が保存されているポートです。

さらに、管理対象デバイスによって直接検出された接続の場合、システムは対応する接続イベントの 2 バイト数を記録します。

[イニシエータバイト数（Initiator Bytes）] フィールドは送信バイト数を記録します。
[レスポンダバイト数（Responder Bytes）] フィールドは受信バイト数を記録します。

単方向 NetFlow レコードに基づく接続イベントには、1 バイト数しか含まれておらず、ポートベースアルゴリズムに応じて、システムが [イニシエータバイト数（Initiator Bytes）] または [レスポンダバイト数（Responder Bytes）] に割り当てます。システムによって他のフィールドは 0 に設定されます。NetFlow レコードの接続の概要（集約接続データ）を表示している場合に、両方のフィールドに値が読み込まれる場合があることに注意してください。

NetFlow のみの接続イベントフィールド

いくつかのフィールドは、NetFlow レコードから生成された接続イベントでのみ表示されます（接続イベントフィールドで利用可能な情報を参照）。

ユーザアイデンティティについて

ユーザアイデンティティ情報を使用すると、ポリシー違反、攻撃、ネットワークの脆弱性の発生源を特定し、特定のユーザまで遡って追跡することができます。たとえば、以下について決定できます。

脆弱（レベル 1：赤）影響レベルの侵入イベントの対象になっているホストの所有者。
内部攻撃またはポートスキャンを開始した人物。
特定のホストへの不正アクセスを試みている人物。
過度に大量の帯域幅を使用している人物。
重要なオペレーティングシステム更新を適用しなかった人物。
会社のポリシーに違反してインスタントメッセージングソフトウェアまたはピアツーピアファイル共有アプリケーションを使用している人物。
ネットワーク上の侵害の兆候に関連付けられている人物。

この情報を入手すれば、Firepower システムの他の機能を使用して、リスクを低減し、アクセス制御を実行し、他のユーザを破壊行為から保護するためのアクションを実行できます。これらの機能により、監査制御が大幅に改善され、規制の順守が促進されます。

ユーザアイデンティティソースを設定してユーザデータを収集すると、ユーザ認識とユーザ制御を実行できます。

アイデンティティの用語

このトピックでは、ユーザアイデンティティおよびユーザ制御の一般的な用語について説明します。

ユーザ認識

アイデンティティソース（ユーザエージェントや TS エージェントなど）を使用して、ネットワーク上のユーザを識別します。ユーザ認識によって、権限のあるソース（Active Directory など）および権限のないソース（アプリケーションベース）の両方からユーザを識別できます。Active Directory をアイデンティティソースとして使用するには、レルムおよびディレクトリを設定する必要があります。詳細については、ユーザアイデンティティソースについてを参照してください。

ユーザ制御

アクセスコントロールポリシーに関連付けるアイデンティティポリシーを構成します。（アイデンティティポリシーは、アクセスコントロール サブポリシーと呼ばれるようになります。）アイデンティティポリシーはアイデンティティソースを指定し、オプションで、そのソースに属するユーザおよびグループを指定します。

アイデンティティポリシーをアクセスコントロールポリシーに関連付けることで、ネットワークのトラフィックでユーザまたはユーザアクティビティをモニタ、信頼、ブロックまたは許可するかどうかを決定します。詳細については、アクセスコントロールポリシーの開始を参照してください。

権限のあるアイデンティティソース

信頼できるサーバによってユーザログインが検証されています（たとえば、Active Directory）。権限のあるログインから取得したデータを使用すると、ユーザ認識とユーザ制御を実行できます。権限のあるユーザログインは、パッシブ認証とアクティブ認証から得られます。

パッシブ認証は、ユーザが外部サーバ経由で認証されるときに発生します。ユーザエージェント、ISE、および TS エージェントは、Firepower システムでサポートされるパッシブ認証方式です。
アクティブ認証は、ユーザが事前設定済みの管理対象デバイス経由で認証されるときに発生します。Firepower システムでサポートされているアクティブ認証方式は、キャプティブポータルだけです。

権限のないアイデンティティソース

ユーザログインの検証を行った不明または信頼できないサーバ。トラフィックベースの検出は、Firepower システムでサポートされている唯一の権限のないアイデンティティソースです。権限のないログインから取得されたデータを使用すると、ユーザ認識を実行できます。

アイデンティティ導入

システムがユーザログイン、またはアイデンティティソースからのユーザデータを検出すると、そのログインからのユーザは、Firepower Management Center ユーザデータベース内のユーザのリストに照らしてチェックされます。ログインユーザが既存のユーザと一致した場合は、ログインからのデータがそのユーザに割り当てられます。ログインが SMTP トラフィック内に存在しない場合は、既存のユーザと一致しないログインによって新しいユーザが作成されます。SMTP トラフィック内の一致しないログインは破棄されます。

ユーザが所属するグループは、ユーザがネットワーク上のトラフィックを渡すと、ユーザに関連付けられます。

次の図は、Firepower システムがユーザデータをどのように収集して保存するかを示しています。

ユーザアクティビティデータベース

Firepower Management Center のユーザアクティビティデータベースには、設定されたすべてのアイデンティティソースによって検出または報告されたネットワーク上のユーザアクティビティのレコードが含まれています。システムがイベントを記録するのは以下のような状況です。

個別のログインまたはログオフを検出したとき。
新しいユーザを検出したとき。
システム管理者が手動でユーザを削除したとき。
データベース内に存在しないユーザをシステムが検出したものの、ユーザ数の制限に達したためにそのユーザを追加できなかったとき。
ユーザに関連付けられている侵害の兆候を解決したとき、またはユーザに対して侵害の兆候ルールを有効または無効にしたとき。

（注）

TS エージェントが別のパッシブ認証のアイデンティティソース（ユーザエージェントや ISE など）と同じユーザをモニタする場合、Firepower Management Center では TS エージェントのデータを優先します。TS エージェントと別のパッシブのソースが同じ IP アドレスからの同じアクティビティを報告した場合、TS エージェントのデータだけが Firepower Management Center に記録されます。

システムで検出されたユーザアクティビティは、Firepower Management Center Web インターフェイスを使用して表示できます。（[分析（Analysis）] > [ユーザ（Users）] > [ユーザアクティビティ（User Activity）]）。

ユーザデータベース

Firepower Management Center のユーザデータベースには、設定されたすべてのアイデンティティソースによって検出または報告されたユーザごとのレコードが含まれています。権限のあるソースから取得したデータをユーザ制御に使用できます。

サポートされている権限のないアイデンティティソースと権限のあるアイデンティティソースの詳細については、ユーザアイデンティティソースについてを参照してください。

Firepower システムのユーザの制限で説明されているように、Firepower Management Center で保存できるユーザの合計数は、Firepower Management Center のモデルごとに異なります。ユーザ制限に達した後、システムは、アイデンティティソースに基づいて未検出ユーザデータを次のように優先順位付けします。

新しいユーザが権限のないアイデンティティソースからである場合、ユーザはデータベースに追加されません。新規ユーザを追加できるようにするには、手動またはデータベースの消去によってユーザを削除する必要があります。
新しいユーザが権限のあるアイデンティティソースからである場合、システムは最も長い期間にわたって非アクティブのままになっている権限のないユーザを削除し、データベースに新しいユーザを追加します。

アイデンティティソースが特定のユーザ名を除外するように設定されている場合、それらのユーザ名のユーザアクティビティデータは Firepower Management Center に報告されません。これらの除外されたユーザ名はデータベースに残りますが、IP アドレスに関連付けられません。システムによって保存されるデータのタイプの詳細については、ユーザデータ（User Data）を参照してください。

Firepower Management Center ハイアベイラビリティが設定済みで、プライマリに障害が発生した場合、権限のある送信元のユーザエージェント、ISE、TS エージェント、またはキャプティブポータルデバイスから報告されるログインはフェールオーバーダウンタイム中に識別不能になります（たとえユーザが以前に確認されて Firepower Management Center にダウンロードされた場合でも）。未確認のユーザは Firepower Management Center には不明なユーザとして記録されます。ダウンタイム後、不明のユーザはアイデンティティポリシーのルールに従って再確認され、処理されます。

（注）

TS エージェントが別のパッシブ認証のアイデンティティソース（ユーザエージェントまたは ISE）と同じユーザをモニタする場合、Firepower Management Center では TS エージェントのデータを優先します。TS エージェントと別のパッシブのソースが同じ IP アドレスからの同じアクティビティを報告した場合、TS エージェントのデータだけが Firepower Management Center に記録されます。

システムが新しいユーザセッションを検出すると、そのユーザセッションのデータは、次のいずれかが発生するまでユーザデータベースに残ります。

Firepower Management Center のユーザが手動でユーザセッションを削除した。
アイデンティティソースがそのユーザセッションのログオフを報告した。
レルムがレルムの [ユーザセッションのタイムアウト：認証されたユーザ（User Session Timeout: Authenticated Users）] 設定、[ユーザセッションのタイムアウト：認証に失敗したユーザ（User Session Timeout: Failed Authentication Users）] 設定、または [ユーザセッションのタイムアウト：ゲストユーザ（User Session Timeout: Guest Users）] 設定で指定されているユーザセッションを終了した。

Firepower システムのホストとユーザの制限

Firepower Management Center モデルにより、展開でモニタできる個別のホストの数、モニタし、ユーザ制御を実行するために使用できるユーザの数が決定されます。

Firepower システムのホスト制限

システムは（ネットワーク検出ポリシーで定義されている）モニタ対象ネットワークで IP アドレスに関連付けられたアクティビティを検出すると、ネットワークマップにホストを追加します。Firepower Management Center がモニタでき、ネットワークマップに保存できるホストの数。モデルによって異なります。

表 1. Firepower Management Center モデル別のホスト制限
Management Center モデル	ホスト
MC750	2,000
MC1000	50,000
MC1500	50,000
FS2000	150,000
MC2500	150,000
MC3500	300,000
MC4000	600,000
MC4500	600,000
仮想	50,000

ネットワークマップに存在しないホストのコンテキストデータは表示できません。ただし、アクセス制御は実行できます。たとえば、コンプライアンスホワイトリストを使用してホストのネットワークコンプライアンスをモニタできない場合でも、ネットワークマップに存在しないホストとの間のトラフィックでアプリケーション制御を実行できます。

（注）

システムでは、IP アドレスと MAC アドレスの両方によって識別されるホストとは別に、MAC 専用ホストがカウントされます。1 つのホストに関連付けられているすべての IP アドレスは、まとめて 1 つのホストとしてカウントされます。

ホスト制限への到達とホストの削除

ホスト制限に到達した後に新しいホストを検出すると、ネットワーク検出ポリシーが制御を行います。新しいホストをドロップするか、または非アクティブになっている期間が最も長いホストを置換することができます。また、システムが非アクティブであるためネットワークからホストを削除するまでの期間を設定できます。ホスト、サブネット全体、またはすべてのホストをネットワークマップから手動で削除できますが、システムは、削除されたホストに関連付けられたアクティビティを検出した場合は、ホストを再追加します。

マルチドメイン展開では、各リーフドメインに自身のネットワーク検出ポリシーがあります。したがって、各リーフドメインによって、システムが新しいホストを検出したときの独自の動作が決定されます。

Firepower システムのユーザの制限

Firepower Management Center モデルにより、モニタできる個々のユーザ数が決まります。システムが新しいユーザのアクティビティを検出すると、そのユーザは Firepower Management Center の Users データベースに追加されます。任意のアイデンティティソースを使用して、ユーザを検出できます。

検討するユーザ制限には 2 つのタイプがあります。

同時使用ユーザ制限は、システムに同時にログインできるユーザの人数です。これらのユーザはすべて権限のあるユーザであり、権限のあるユーザソース（ユーザエージェント、ISE、TS エージェント、およびキャプティブポータル）によって Firepower Management Center にレポートされることを意味します。

権限のあるユーザのみがアクセスコントロールポリシーによるユーザ制御を使用できます。
ユーザ総数の制限。データベースに保存できる、権限のあるユーザと権限のないユーザの数です。権限のないユーザデータは、トラフィックベースの検出を使用して収集されます。

表 2. Firepower Management Center モデル別のユーザ制限
Management Center モデル	同時使用ユーザ	ユーザ総数
MC750	2,000	2,000
MC1000	50,000	50,000
MC1500	50,000	50,000
FS2000	64,000	150,000
MC25000	64,000	150,000
MC3500	64,000	300,000
MC4000	64,000	600,000
MC4500	64,000	600,000
仮想	50,000	50,000

制限に達してから、新しい、以前検出されなかったユーザをシステムが検出すると、アイデンティティソースに基づいてユーザデータに優先順位が付けられます。

新しいユーザが権限のないソースからである場合、権限のないユーザはデータベースに追加されません。新規ユーザを追加できるようにするには、手動でユーザを削除するか、データベースを消去する必要があります。
新しいユーザが権限のあるアイデンティティソースからである場合、システムは最も長い期間にわたって非アクティブのままになっている権限のないユーザを削除し、データベースに新しい権限のあるユーザを追加します。

（注）

展開に ASDM によって管理される ASA FirePOWER モジュールが含まれる場合、Firepower Management Center モデルに関係なく、最大 2,000 の権限のあるユーザを保存できます。

ヒント

トラフィックベースの検出を使用している場合、プロトコルによるユーザロギングを制限すると、ユーザ名の散乱を最小限に抑え、データベースのスペースを残しておくことができます。たとえば、システムが AIM、POP3、および IMAP トラフィックで検出されたユーザを追加できないようにすることができます（モニタを望んでいない特定の契約業者または訪問者からのトラフィックであることがわかっているため）。

Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

偏向のない言語

翻訳について

Book Title

Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

Chapter Title