- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: ユーザに基づくトラフィックの制御
ユーザに基づくトラフィックの制御
アクセス コントロール ポリシー 内の アクセス コントロール ルール は、ネットワーク トラフィックのロギングや処理の詳細な制御を行います。アクセス コントロール ルールのユーザ条件を使用することで、 ユーザ制御 を実行し、ホストにログインする LDAP ユーザに基づいてトラフィックを制限することによって、ネットワークを通過できるトラフィックを管理できます。
ユーザ制御は、 アクセス コントロールされたユーザ と IP アドレスを関連付けることによって機能します。展開されたエージェントは、ホストにログインまたはホストからログアウトするとき、または他の理由で Active Directory クレデンシャルで認証する場合に、指定されたユーザをモニタします。たとえば、組織は一元化された認証のために Active Directory に依存するサービスまたはアプリケーションを使用できます。
トラフィックがユーザ条件を持つアクセス コントロール ルールに一致するには、モニタ対象のセッション内の送信元ホストまたは宛先ホストいずれかの IP アドレスがログインしているアクセス制御されたユーザに関連付けられている必要があります。個々のユーザまたはユーザが属しているグループに基づいてトラフィックを制御できます。
ユーザ条件を互いに組み合わせたり、他のタイプの条件と組み合わせて、アクセス コントロール ルールを作成することができます。これらのアクセス コントロール ルールは単純または複雑にすることができ、複数の条件を使用してトラフィックを照合および検査できます。アクセス コントロール ルールの詳細については、アクセス コントロール ルールを使用したトラフィック フローの調整を参照してください。
(注
) ハードウェアベースの高速パス ルール、セキュリティ インテリジェンス ベースのトラフィック フィルタリング、および一部のデコードと前処理は、ネットワーク トラフィックがアクセス コントロール ルールによって評価される前に行われます。また、SSL インスペクション機能を設定し、暗号化されたトラフィックをアクセス コントロール ルールが評価する前にブロックまたは復号することができます。
ユーザ制御には Control ライセンスが必要であり、ユーザ エージェントのモニタリング Microsoft Active Directory サーバによって報告されるログインおよびログアウトのレコードを使用している、LDAP ユーザおよびグループ(アクセス制御されたユーザ)に対してのみサポートされます。
しかし、FireSIGHT ライセンスのみを使用して、ユーザ制御の基盤である ユーザ認識 を引き続き活用できます。ユーザ認識によって、管理対象デバイスが検出データについて許可されたネットワーク トラフィックを検査するときにシステムが検出できる、エージェントによって報告されたユーザ アクティビティ、および アクセス制御されていないユーザ の追加のアクティビティを表示できます。システムは、さまざまなプロトコル(AIM、IMAP、LDAP、Oracle、POP3、SIP、FTP、HTTP および MDNS)を介したログイン試行を識別できます。
システムによって報告されたユーザ アクティビティにコンテキストを追加するには、展開環境で LDAP サーバにクエリを行い、アクセス制御されたユーザだけでなく、一部のアクセス制御されていないユーザ(ユーザ検出によって検出された POP3 および IMAP ユーザ、およびアクティビティがユーザ検出またはユーザ エージェントによって検出される LDAP ユーザ)のメタデータを取得できます。
ユーザ認識によって、「何が」の背後にある「誰が」を決定するためのすべてのタイプの展開が可能になります。たとえば、以下について決定できます。
- ホスト重要度の高いサーバの不正アクセスを試みている人物
- 不合理な容量の帯域幅を使用している人物
- 重要なオペレーティング システム更新を適用しなかった人物
- 会社の IT ポリシーに違反してインスタント メッセージング ソフトウェアまたはピアツーピア ファイル共有アプリケーションを使用している人物
- 脆弱(レベル 1:赤)影響レベル(保護 が必要)の侵入イベントの対象になっているホストの所有者
- 内部攻撃またはポートスキャンを開始した人物(保護 が必要)
この情報を入手すれば、リスクを軽減したり、その他の人を中断から保護するための措置を講じたりするための的を絞ったアプローチを取ることができます。ユーザ制御によって、LDAP ユーザとユーザ アクティビティをブロックする機能が追加されます。また、ユーザ認識および制御の機能によって、監査制御が大幅に向上し、法規制の遵守が強化されます。詳細については、ユーザ データ収集についてを参照してください。
次の表に、ユーザ認識および制御に関する要件を示します。ユーザ エージェントの詳細および最新情報については、『 User Agent Configuration Guide 』を参照してください。
アクセス コントロール ルールへのユーザ条件の追加
サポートされるデバイス: シリーズ 2 と X-シリーズを除くすべて
FireSIGHT システム のユーザ制御機能は、アクセス制御されたユーザをホストの IP アドレスに関連付けることで機能します。配置されたユーザ エージェントは、指定したユーザが Microsoft Active Directory クレデンシャルで認証するときにモニタします。トラフィックがユーザ条件を持つアクセス コントロール ルールに一致するには、モニタ対象のセッション内の送信元ホストまたは宛先ホストいずれかの IP アドレスがログインしているアクセス制御されたユーザに関連付けられている必要があります。
- Defense Center と Microsoft Active Directory サーバとの間に接続を設定します。アクセス制御されたユーザおよび LDAP ユーザのメタデータの取得を参照してください。
- Active Directory サーバへの TCP/IP アクセスがある Microsoft Windows コンピュータにユーザ エージェントをインストールします。Active Directory のログインを報告するためのユーザ エージェントの使用を参照してください。
モニタする多数のユーザ グループを設定する場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、システムはメモリ制限のためにグループに基づいてユーザ マッピングをドロップすることがあります。その結果、ユーザ グループに基づくアクセス コントロール ルールが想定どおりに起動しない可能性があります。
1 つのユーザ条件で、最大 50 のユーザおよびグループを [選択されたユーザ(Selected Users)] に追加できます。ユーザ グループを持つ条件は、そのグループのメンバー(サブグループのメンバーを含む)のいずれかが送信元/宛先であるトラフィックを照合します。ただし、個別に除外されたユーザと、除外されたサブグループのメンバーは含まれません。
(注) グループの条件を使用してユーザ制御を実行する前に、システムはそのグループ内の少なくとも 1 人のユーザからのアクティビティを検出する必要があります。この最初の接続は、一致するアクセス コントロール ルールによって処理されませんが、代わりに一致する次のルール、またはアクセス コントロール ポリシーのデフォルト アクションによって処理されます。
ユーザ条件を作成する際、警告アイコンは無効な設定を示します。アイコンの上にポインタを置くと詳細が表示されます。また、アクセス コントロール ポリシーおよびルールのトラブルシューティングを参照してください。
アクセス: Admin/Access Admin/Network Admin
手順 1 LDAP ユーザまたはグループ別にトラフィックを制御するデバイスを対象とするアクセス コントロール ポリシーで、新しいアクセス コントロール ルールを作成するか、または既存のルールを編集します。
詳細な手順については、アクセス コントロール ルールの作成および編集を参照してください。
手順 2 ルール エディタで、[ユーザ(Users)] タブを選択します。
手順 3 [有効なユーザ(Available Users)] リストから追加するユーザおよびグループを見つけて選択します。
ユーザおよびグループは異なるアイコンでマークされます。追加するユーザおよびグループを検索するには、[有効なユーザ(Available Users)] リストの上にある [名前または値で検索(Search by name or value)] プロンプトをクリックし、ユーザまたはグループの名前を入力します。入力していくと、リストが更新されて一致する項目が表示されます。
項目を選択するには、その項目をクリックします。複数の項目を選択するには、Shift キーおよび Ctrl キーを使用するか、または右クリックして [すべて選択(Select All)] を選択します。
手順 4 [ルールに追加(Add to Rule)] をクリックし、選択したユーザおよびグループを [選択されたユーザ(Selected Users)] リストに追加します。
選択したユーザおよびグループをドラッグ アンド ドロップすることもできます。
変更を反映させるには、アクセス コントロール ポリシーを適用する必要があります。アクセス コントロール ポリシーの適用を参照してください。
アクセス制御されたユーザおよび LDAP ユーザのメタデータの取得
ユーザ制御を実行する(つまり、ユーザ条件を含むアクセス コントロール ルールを作成する)前に、Defense Center と組織の 1 つ以上の Microsoft Active Directory サーバ間の接続を設定する必要があります。Defense Center は、定期的かつ自動的に LDAP サーバにクエリを行い、アクセス制御されたユーザ(つまり、ユーザ エージェントでアクティビティをモニタするユーザおよびグループ、およびトラフィックの制限時に条件として使用できるユーザおよびグループ)のメタデータを更新します。Defense Center は、アクティビティがユーザ エージェントによってすでに報告されているアクセス制御されていないユーザのメタデータも取得します。または、オンデマンド クエリを実行できます。
ユーザ制御を実行していない場合は、追加のタイプの LDAP サーバにクエリを行い、ユーザ認識データ(POP3 および IMAP ユーザのみならず、アクティビティがユーザ エージェントによって報告されるものではなくユーザ検出によって検出される LDAP ユーザに関連付けられているメタデータ)を取得できます。システムは、POP3 および IMAP ログイン内の電子メール アドレスを使用して、Active Directory、OpenLDAP、または Oracle Directory Server Enterprise Edition サーバ上の LDAP ユーザに関連付けます。この場合、Defense Center は定期的に LDAP サーバにクエリを行い、アクティビティが最後のクエリ以降にシステムによって検出されたユーザの新規および更新されたメタデータを取得します。
ユーザ認識および制御のための LDAP サーバへの接続
Defense Center と組織の LDAP サーバとの間の接続によって以下を行うことができます。
- アクセス制御されたユーザおよびグループ(ユーザ エージェントでアクティビティをモニタするユーザおよびグループ、およびアクセス コントロール ルールによるトラフィックの制限時に条件として使用できるユーザおよびグループ)を指定します。
- アクセス制御されたユーザと、一部のアクセス制御されていないユーザ(ユーザ検出によって検出される POP3 および IMAP ユーザ、およびアクティビティがユーザ検出またはユーザ エージェントによって検出される LDAP ユーザ)のメタデータ取得のためにサーバに対してクエリを実行できます。
これらの接続、または ユーザ認識オブジェクト は、LDAP サーバに対して接続設定および認証フィルタ設定を指定します。これらは、FireSIGHT システム の Web インターフェイスへの外部認証を管理するために設定する認証オブジェクトに似ています。認証オブジェクトの管理を参照してください。
ユーザ制御を実行するには、Microsoft Active Directory LDAP サーバに接続する 必要があります 。LDAP ユーザ メタデータを簡単に取得したい場合、システムは他のタイプの LDAP サーバへの接続をサポートします。表 17-1を参照してください。
システムがユーザ アクティビティを検出すると、システムはそのユーザのレコードを Defense Center ユーザ データベース(ユーザ アイデンティティ データベースとも呼ばれます)に追加できます。Defense Center は、定期的に LDAP サーバにクエリを行い、最後のクエリ以降にアクティビティが検出された新しいユーザおよび更新されたユーザのメタデータを取得します。ユーザがデータベースにすでに存在している場合、システムはメタデータが過去 12 時間更新されていなければ更新します。システムが新しいユーザ ログインを検出してから、Defense Center がユーザ メタデータで更新するまで数分かかる場合があります。
システムは、POP3 と IMAP ログイン内の電子メール アドレスを使用して LDAP サーバ上のユーザに関連付けます。たとえば、LDAP ユーザと電子メール アドレスが同じユーザの POP3 ログインを管理対象デバイスが検出すると、システムは LDAP ユーザのメタデータをそのユーザに関連付けます。
(注) LDAP サーバからシステムによって検出されたユーザを削除しても、Defense Center はユーザ データベースからそのユーザを削除しません。そのため、手動で削除する必要があります。ただし、LDAP 変更は、Defense Center が次にアクセス制御されたユーザのリストを更新したときにアクセス コントロール ルールに反映されます。
次の表に、モニタ対象ユーザに関連付けることができる LDAP メタデータを示します。LDAP サーバからユーザのメタデータを正常に取得するには、サーバはこの表にリストされている LDAP フィールド名を使用する 必要がある ことに注意してください。LDAP サーバ上のフィールド名を変更すると、Defense Center はそのフィールドの情報を使ってデータベースに入力できなくなります。
|
|
|
|
|
|
|---|---|---|---|---|
LDAP 管理者と密に連携し、LDAP サーバが正しく設定され、そのサーバに接続して LDAP 接続の作成時に提供する必要がある情報を確実に取得できるようにします。
プライマリ LDAP サーバ(オプションでバックアップ LDAP サーバも)のサーバ タイプ、IP アドレスまたはホスト名、およびポートを指定する必要があります。ユーザ制御を実行する場合は、Microsoft Active Directory サーバを使用する 必要があります 。
Defense Center が認証サーバ上のユーザ情報を取得するために LDAP サーバを検索する場合は、その検索の出発点が必要です。ベース識別名、すなわち ベース DN を提供することで検索する 名前空間 またはディレクトリ ツリーを指定できます。通常、ベース DN には、企業ドメインおよび部門を示す基本構造があります。たとえば、Example 社のセキュリティ(Security)部門のベース DN は、 ou=security,dc=example,dc=com となります。プライマリ サーバを特定したら、そのサーバから使用可能なベース DN のリストが自動的に取得され、該当するベース DN を選択できることに注意してください。
取得するユーザ情報に適切な権限を持っているユーザのユーザ クレデンシャルを指定する必要があります。指定したユーザの識別名はディレクトリ サーバのディレクトリ インフォメーション ツリーで一意でなければならないことに注意してください。
また、LDAP 接続の暗号化方式を指定することもできます。認証に証明書が使用される場合は、証明書内の LDAP サーバの名前と Defense Center Web インターフェイスで指定したホスト名が一致する 必要がある ことに注意してください。たとえば、LDAP 接続を設定するときに 10.10.10.250 を使用し、証明書内で computer1.example.com を使用した場合は、接続が失敗します。
最後に、無応答の LDAP サーバへの接続の試みがバックアップ接続にロールオーバーされるタイムアウト期間を指定する必要があります。
ユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータ
ユーザ制御を実行するには、アクセス コントロール ルールで条件として使用するグループを指定します。
グループを含めると、自動的に、すべてのサブグループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでサブグループを使用する場合は、明示的にサブグループを含める必要があります。また、グループと個別のユーザを除外することもできます。グループを除外すると、ユーザが他のグループのメンバーであっても、そのグループのすべてのメンバーが除外されます。
アクセス コントロールで使用可能なユーザの最大数は FireSIGHT ライセンスによって異なります。含めるユーザとグループを選択するときに、ユーザの総数が FireSIGHT のユーザ ライセンス数より少ないことを確認します。アクセス コントロール パラメータの範囲が広すぎる場合、Defense Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザ数をタスク キューで報告します。
(注) 含めるグループを指定しなかった場合、システムは指定された LDAP パラメータと一致するすべてのグループのユーザ データを取得します。パフォーマンス上の理由から、シスコでは、アクセス コントロールで使用するユーザを代表するグループだけを明示的に含めることを推奨しています。ユーザ グループまたはドメイン ユーザ グループを含めることはできないことに注意してください。
また、Defense Center がアクセス コントロールで使用する新しいユーザを取得するために LDAP サーバに対してクエリを実行する頻度を指定する必要もあります。
LDAP 接続を作成した後、削除アイコン(
)をクリックして、選択内容を確認することで、その接続を削除できます。LDAP 接続を変更するには、編集アイコン(
)をクリックします。接続が有効になっている場合は、Defense Center が LDAP サーバ対して次回クエリを実行したときに保存した変更が反映されます。
ユーザ認識またはユーザ制御用の LDAP 接続を作成するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [ユーザ(Users)] の順に選択します。
[ユーザ ポリシー(Users Policy)] ページが表示されます。
手順 2 [LDAP 接続の追加(Add LDAP Connection)] をクリックします。
[ユーザ認識認証オブジェクトの作成(Create User Awareness Authentication Object)] ページが表示されます。
手順 3 オブジェクトの [名前(Name)] と [説明(Description)] を入力します。
手順 4 [LDAP サーバタイプ(LDAP Server Type)] を選択します。
ユーザ制御を実行する場合は、Microsoft Active Directory サーバを使用する 必要があります 。
(注) ユーザ エージェントは $ 記号で終わる Active Directory ユーザ名を Defense Center に送信できません。これらのユーザをモニタする場合は、最後の $ の文字を削除する必要があります。
手順 5 プライマリ LDAP サーバ(オプションで、バックアップ LDAP サーバも)の [IP アドレス(IP Address)] または [ホスト名(Host Name)] を指定します。
手順 6 LDAP サーバが認証トラフィックに使用する [ポート(Port)] を指定します。
手順 7 ユーザがアクセスする LDAP ディレクトリの [ベース DN(Base DN)] を指定します。
たとえば、Example 社の Security 組織で名前を認証するには、 ou=security,dc=example,dc=com と入力します。
ヒント 使用可能なすべてのドメインのリストを取得するには、[DN の取得(Fetch DNs)] をクリックして、ドロップダウンリストから該当するベース識別名を選択します。
手順 8 LDAP ディレクトリへのアクセスを検証するために使用する識別 [ユーザ名(Username)] と [パスワード(Password)] を指定します。パスワードを確認します。
たとえば、ユーザ オブジェクトに uid 属性が設定されており、Example 社の Security 部門の管理者用のオブジェクトの uid 値が NetworkAdmin である OpenLDAP サーバに接続している場合は、 uid=NetworkAdmin,ou=security,dc=example,dc=com と入力することになります。
手順 9 [暗号化(Encryption)] 方式を選択します。暗号化を使用する場合は、[SSL 証明書(SSL Certificate)] を追加できます。
証明書内のホスト名は、手順 5 で指定した LDAP サーバのホスト名と一致する 必要があります 。
手順 10 無応答の LDAP サーバへの接続の試みがバックアップ接続にロールオーバーされるタイムアウト期間(秒単位)を [タイムアウト(Timeout)] に指定する必要があります。
手順 11 オプションで、オブジェクトのユーザ認識設定を指定する前に、[テスト(Test)] をクリックして接続をテストします。
手順 12 手順 4 で選択した LDAP サーバのタイプによって 2 つの選択肢があります。
手順 13 [取得グループ(Fetch Groups)] をクリックし、指定した LDAP パラメータを使用して、使用可能なグループ リストに値を入力します。
手順 14 グループを追加または除外するための右矢印ボタンと左矢印ボタンを使用して、アクセス コントロールで使用するユーザを指定します。
グループを含めると、自動的に、すべてのサブグループのメンバーを含む、そのグループのすべてのメンバーが含まれます。ただし、アクセス コントロール ルールでサブグループを使用する場合は、明示的にサブグループを含める必要があります。グループを除外すると、ユーザが他のグループのメンバーであっても、そのグループのすべてのメンバーが除外されます。
手順 15 特定の [ユーザの除外(User Exclusions)] を指定します。
ユーザを除外すると、そのユーザを条件として使用するアクセス コントロール ルールを作成できなくなります。複数のユーザはカンマで区切ります。このフィールドでは、アスタリスク( * )をワイルドカード文字として使用できます。
手順 16 LDAP サーバに対するクエリを実行して新しいユーザとグループの情報を取得する頻度を指定します。
デフォルトでは、Defense Center は 1 日 1 回午前零時にサーバに対するクエリを実行します。
ユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータを追加または変更したら、変更の実行を確認します。オブジェクトが保存され、[ユーザ ポリシー(Users Policy)] ページが再度表示されます。
手順 18 作成した接続の横にあるスライダをクリックして接続を有効にします。
接続を有効にして、接続にユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータが含まれている場合は、すぐに LDAP サーバに対するクエリを実行してユーザとグループの情報を取得するかどうかを選択します。すぐに LDAP サーバに対するクエリを実行しない場合は、クエリはスケジュールされた時刻に実行されます。タスク キュー([システム(System)] > [モニタリング(Monitoring)] > [タスクのステータス(Task Status)])で、クエリの進捗をモニタリングすることができます。
オンデマンドによるユーザ制御パラメータの更新
サポートされるデバイス: シリーズ 2 と X-シリーズを除くすべて
LDAP 接続内のユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータを変更する場合、または、LDAP サーバ上のユーザまたはグループを変更しその変更をすぐにユーザ制御に反映させたい場合は、Active Directory サーバからのオンデマンド ユーザ データ取得の実行を Defense Center に強制できます。
Defense Center がサーバから取得可能なユーザの最大数は FireSIGHT ライセンスによって異なります。LDAP 接続内のアクセス コントロール パラメータの範囲が広すぎる場合、Defense Center はできるだけ多くのユーザに関する情報を取得し、取得できなかったユーザ数をタスク キューで報告します。
オンデマンド ユーザ データ取得を実行するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [ユーザ(Users)] の順に選択します。
[ユーザ ポリシー(Users Policy)] ページが表示されます。
手順 2 LDAP サーバへのクエリに使用する LDAP 接続の横にあるダウンロード アイコン(
)をクリックします。
クエリが開始されます。タスク キュー([システム(System)] > [モニタリング(Monitoring)] > [タスクのステータス(Task Status)])で進捗をモニタリングすることができます。
LDAP サーバとの通信の一時停止
LDAP 接続が有効になっている場合にのみ、Defense Center は LDAP サーバに対するクエリを実行できます。クエリを停止するには、それらを削除するのではなく、一時的に LDAP 接続を無効にします。
アクセス制御に使用される LDAP 接続を再度有効にすると、更新されたユーザおよびグループの情報を取得するために、すぐにサーバに対するクエリを実行するように Defense Center に強制するか、または最初に予定されているクエリが行われるまで待機することができます。
LDAP 接続を無効または再度有効にするには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [ユーザ(Users)] の順に選択します。
[ユーザ ポリシー(Users Policy)] ページが表示されます。
手順 2 作成した接続の横にあるスライダをクリックして、接続を一時停止または再度有効にします。
接続を有効にして、接続にユーザ アクセス コントロール パラメータとグループ アクセス コントロール パラメータが含まれている場合は、すぐに LDAP サーバに対するクエリを実行してユーザとグループの情報を取得するかどうかを選択します。すぐに LDAP サーバに対するクエリを実行しない場合は、クエリがスケジュールされた時刻に実行されます。タスク キュー([システム(System)] > [モニタリング(Monitoring)] > [タスクのステータス(Task Status)])で、クエリの進捗をモニタリングすることができます。
Active Directory のログインを報告するためのユーザ エージェントの使用
Microsoft Windows のコンピュータに導入されたユーザ エージェントは、Microsoft Active Directory サーバをモニタし、組織の LDAP ユーザがホストにログインおよびホストからログアウトしたとき、または他の理由で Active Directory クレデンシャルで認証したときに Defense Center に通知できます。たとえば、組織は一元化された認証のために Active Directory に依存するサービスまたはアプリケーションを使用できます。
このエージェントによって報告される情報は、組織におけるユーザ アクティビティの記録としてだけでなく、ユーザ制御の基盤として役立ちます。トラフィックがユーザ条件を持つアクセス コントロール ルールに一致するには、モニタ対象のセッション内の送信元ホストまたは宛先ホストいずれかの IP アドレスがログインしているアクセス制御されたユーザに関連付けられている必要があります。個々のユーザまたはユーザが属しているグループに基づいてトラフィックを制御できます。
(注) ユーザ制御を実行する場合は、ユーザ エージェントをインストールして使用する必要があります。ただし、ユーザ エージェントは Active Directory の認証に関連するユーザ アクティビティのみ報告します。ユーザ認識によって、エージェントによって報告されたすべてのユーザ アクティビティ、および管理対象デバイスごとの許可されたネットワーク トラフィックで検出された他のアクティビティを表示できます。システムは、検出機能を使用して、さまざまなプロトコル(AIM、IMAP、LDAP、Oracle、POP3、SIP、FTP、HTTP および MDNS)を介したログイン試行を識別できます。詳細については、ユーザ データ収集についてを参照してください。
ユーザ認識またはユーザ制御のためにユーザ エージェントを使用して LDAP ユーザ認証レコードを取得するには、最初にエージェントからの接続を許可するように各 Defense Center を設定します。ハイ アベイラビリティ展開では、プライマリ Defense Center とセカンダリ Defense Center の両方でエージェント通信を有効にします。ユーザ エージェントは同時に最大 5 つの Defense Center に接続できます。Defense Center でユーザ エージェントの通信を有効にした後、Windows コンピュータにエージェントをインストールできます。表 17-1を参照してください。
最後に、Microsoft Active Directory サーバからデータを取得してその情報を Defense Center に報告するようにユーザ エージェントを設定します。また、レポートから特定のユーザ名および IP アドレスを除外したり、ローカル イベント ログまたは Windows アプリケーション ログにステータス メッセージをロギングするようにエージェントを設定できます。ユーザ エージェントのステータス モニタ ヘルス モジュールは、Defense Center に接続されたエージェントをモニタします。ユーザ エージェント ステータス モニタリングの設定を参照してください。
ユーザ エージェントに接続するようにDefense Centerを設定するには、以下を行います。
手順 1 [ポリシー(Policies)] > [ユーザ(Users)] の順に選択します。
[ユーザ ポリシー(Users Policy)] ページが表示されます。
手順 2 [ユーザ エージェントの追加(Add User Agent)] をクリックします。
[ユーザ エージェントの追加(Add User Agent)] ポップアップ ウィンドウが表示されます。
手順 4 エージェントをインストールするコンピュータの ホスト名またはアドレス を入力します。IPv4 アドレスを使用する 必要があります 。IPv6 アドレスを使用してユーザ エージェントに接続するように Defense Center を設定することはできません。
手順 5 [ユーザ エージェントの追加(Add User Agent)] をクリックします。
これで、Defense Center は指定したコンピュータ上のユーザ エージェントに接続できます。接続を削除するには、削除アイコン( )をクリックして、その削除を確認します。
手順 6 指定したコンピュータにユーザ エージェントをインストールします。Microsoft Active Directory サーバからデータを取得してその情報を Defense Center に報告するように設定します。
詳細および最新情報については、『 User Agent Configuration Guide 』を参照してください。
フィードバック