Umbrellaのアクティビティ検索レポートに表示されないActive Directoryユーザのトラブルシューティング

はじめに

このドキュメントでは、Cisco Umbrellaのアクティビティ検索レポートについて説明します。アクティビティ検索レポートは、ユーザが作成しているすべてのDNSクエリをほぼライブで報告したものです。Cisco Umbrella Active Directory(AD)統合を設定している場合は、ADユーザがアクティビティ検索のID列に入力していることを確認できます。ただし、Identity列にユーザが表示されない場合があります。

解決方法

アクティビティ検索のID列にADユーザが直接表示されている必要があるが、表示されない場合、または表示されるADユーザが少数であっても予想したほど多くない場合は、次の点を確認してください。

1. サイトとActive Directory
   • すべてのADコンポーネントをチェックして、報告されたエラーや問題がないことを確認します。コンポーネントのいずれかにグレー、オレンジ、または赤のステータスインジケータが表示された場合は、これらの詳細を取得してサポートチケット(umbrella-support@cisco.com)を開きます。
     • 影響を受けるユーザ（アクティビティ検索に表示されないユーザ）からの診断テスト
     • エラーメッセージが展開された仮想アプライアンス(VA)コンソールのスクリーンショット
     •  ADコネクタの監査ログ
2. ログの設定 
   • すべてのポリシーの[詳細設定]で、ログの量に関するセクションが下部に表示されます。次のように設定できます。
     • すべての要求をログに記録
     • セキュリティイベントのみのログ
     • 要求をログに記録しない 
   • ポリシーが「セキュリティイベントのみログ」に設定されている場合は、クエリの数が予想より少ないか、一部のユーザーからの結果がまったく表示されない理由を説明できます。
     
3. 正しいポリシーの優先順位
   • ポリシーのリスト内でADユーザポリシーよりも高いネットワークIDに適用するポリシーがある場合、ネットワークIDポリシーが適用される可能性が高くなります。これは、アクティビティ検索で、ネットワークが報告されたIDとして表示されることを意味します。ベストプラクティスおよびポリシーの優先順位については、Cisco Umbrellaのドキュメントも確認してください。

原因

アクティビティ検索で「ID」が取得される場所

AD統合が期待どおりに動作していると仮定して、DNSクエリがUmbrellaに着信すると、次の情報がクエリに渡されます。

• 内部IPアドレス
• AD IDハッシュ（ユーザ、ホスト、またはその両方）
• 出力IP
• クエリ中のドメイン 

AD IDハッシュは、仮想アプライアンスによってクエリに追加され、仮想アプライアンスはその情報と、ADコネクタからのログオンイベントに対応する内部IPアドレスを渡します。

次に、Cisco Umbrellaはこの情報を使用して、組織を特定し、適用するポリシーを決定します。ADユーザに適用されるポリシーが存在せず、ネットワークまたはサイトに適用されるポリシーが存在する場合、Cisco Umbrellaはそのアイデンティティを使用してポリシーを適用します。これは、クエリ、ID、および応答がアクティビティ検索で報告されると、報告されたポリシーをトリガーしたIDを意味します。 その他の情報は引き続き要求でタグ付けされるため、ADユーザを検索して、ネットワークをIDとして報告するアクティビティを取得できます。さらに、アクティビティ検索データをCSVファイルにエクスポートすると、クエリに関連付けられているすべてのID情報が表示されます。

追加情報

 それでもADユーザが表示されない場合は、サポート(umbrella-support@cisco.com)に連絡し、診断テストの結果、および関連するADコネクタ監査ログを提示してください。