可視性は、エンドポイントを保護するための最初のステップです。Cisco AI エンドポイント分析は、エンドポイントと Internet of Things(IoT)デバイスの識別とプロファイリングに役立つエンドポイント可視性ソリューションです。Cisco
AI エンドポイント分析エンジンを使用すると、さまざまなソースからネットワーク経由で受信したテレメトリ情報を使用して、エンドポイントにラベルを割り当てることができます。
Cisco AI エンドポイント分析では、さまざまなエンドポイント情報を集約し、そのデータを使用してエンドポイントをプロファイリングできます。エンドポイントのプロファイリング後、AI と機械学習アルゴリズムを使用して、さまざまな方法を直感的に活用することで不明なエンドポイントの数を減らすこともできます。
Cisco AI エンドポイント分析の主な機能
Cisco AI エンドポイント分析ダッシュボード
Cisco AI エンドポイント分析ダッシュボードでは、ネットワークに接続されているエンドポイントの全体像を確認できます。既知のエンドポイント、不明なエンドポイント、プロファイリングされたエンドポイント、プロファイリングされていないエンドポイントの数を表示できます。インテリジェントなプロファイリング提案を表示して、エンドポイントのプロファイリングと管理をどのように強化できるかを確認することもできます。
機械学習機能を使用したネット内の不明なエンドポイントの削減
Cisco AI エンドポイント分析では、エンドポイントのグループ化で学習した情報に基づいてプロファイリング提案が提供されます。このような提案を使用して、ネットワーク内の不明なエンドポイントやプロファイリングされていないエンドポイントの数を減らすことができます。
Cisco DNA トラフィック テレメトリ アプライアンスに接続されたアクセススイッチのスイッチドポートアナライザ(SPAN)受信ポートで CBAR を有効にするには、次のコマンドを使用します。
ip nbar protocol-discovery
テレメトリアプライアンスに接続されているすべてのエンドポイントが Cisco AI エンドポイント分析に表示されるわけではありません。Cisco DNA アシュアランス で管理されるネットワーク アクセス デバイス(NAD)にも接続されているエンドポイントのみが、Cisco AI エンドポイント分析に表示されます。
(任意)Cisco DNA Center で ServiceNow を有効にします。
ServiceNow を Cisco DNA Center に接続した後に、Cisco DNA Center の [Menu]アイコン()をクリックし、[Platform] > [Manage] > [Bundles] を選択します。
Cisco AI エンドポイント分析は、スマートグループ化アルゴリズムを使用して、ネットワーク内で類似するプロファイリングデータを持つ不明なエンドポイントをグループ化します。AI エンドポイント分析を有効にした場合、次のタイプのルール提案が表示されます。これらのルール提案は、次のようにエンドポイントクラスタから学習した内容に基づいています。
このダッシュレットには、ネットワーク内のプロファイルが欠落しているエンドポイントの数が、プロファイルラベルタイプで分類されて表示されます。表示される数は一部重複しています。たとえば、エンドポイントに OS タイプとハードウェアモデルの両方の情報がない場合、そのエンドポイントは両方のラベルの数に含まれます。
要件に基づいて一連のエンドポイントを簡単にフィルタ処理できます。エンドポイントを登録したり、登録済みのエンドポイントを編集、削除、およびプロファイリングしたりできます。エンドポイントのプロファイリングの完全な詳細を表示するには、エンドポイントの
[MAC Address] をクリックします。表示されるダイアログボックスには、ユーザーの詳細、エンドポイントの詳細、およびエンドポイントの属性の詳細が含まれます。[Endpoint Details] セクションには、Cisco DNA Center リリース 2.2.2 の次の新しいフィールドが
Cisco ISE から受信した詳細とともに表示されます。
[Authentication Status]:このフィールドには、エンドポイントが Cisco ISE で認証された場合は [Started]、そうでない場合は [Disconnected] と表示されます。
[Authorization Profile]:Cisco ISE のエンドポイントに設定されている認証ポリシーがここに表示されます。
[Scalable Group Tag]:Cisco ISE のエンドポイントに設定されたスケーラブルグループタグがここに表示されます。
これらの属性の詳細については、使用する Cisco ISE リリースの Cisco ISE 管理者ガイド [英語] を参照してください。
その後、Cisco ISE から適応型ネットワーク制御(ANC)ポリシーを適用して、エンドポイントで適切な修復アクションを実施することができます。Cisco ISE の管理者ガイドで「Maintain and Monitor」の章にある「Adaptive Network Control」を参照してください。
ANC ポリシーは、Cisco ISE で定義され、選択したエンドポイントに修復アクションを適用することを可能にします。ANC ポリシーを適用して、エンドポイントを隔離またはシャットダウンしたり、エンドポイントのポートをバウンスしたり、エンドポイントの再認証を強制的に実行することができます。Cisco
AI エンドポイント分析で、望ましくない信頼スコアを持つエンドポイントに ANC ポリシーを適用すると、認可変更(CoA)が Cisco ISE からそのエンドポイントに送信されます。
エンドポイントは、MAC アドレスによって識別されます。Cisco ISE は、ANC 適用時点で識別された MAC アドレスに関してアクティブセッションを保持しているエンドポイントに CoA を送信します。その時点で Cisco ISE においてアクティブセッションを持たない、同じ
MAC アドレスのエンドポイントは、新しいセッションが開始されたときに、または設定された再認証タイマーの終了時に再認証する必要がある場合に、ANC ポリシーと照合されます。
ANC ポリシーが適用されているエンドポイントを確認するには、Cisco ISE 管理ポータルにログインします。メインメニューから、[Operations] > [RADIUS] > [Live Sessions] の順に選択します。[Endpoint ID] 列に、スプーフィングされたエンドポイントの MAC アドレスを入力します。これにより、同じ MAC アドレスを共有し、現在 Cisco ISE でライブセッションを持つエンドポイントがフィルタ処理されます。これらが、ANC ポリシーの影響を受けるエンドポイントです。
Cisco ISE で RADIUS セッションの履歴ログを表示するには、メインメニューから、[Operations] > [Reports] > [Reports] > [Endpoints and Users] > [RADIUS Authentications] の順に選択します。
Cisco ISE でエンドポイントへの ANC ポリシーの適用を表示または変更するには、メインメニューから、[Context Visibility] > [Endpoints] の順に選択します。必要に応じて、エンドポイントの MAC アドレスの横にあるチェックボックスをオンにして、リストの上部に表示されるオプションをクリックしてください。
前提条件
スプーフィングされたエンドポイントの信頼スコアを受信するための前提条件:
Cisco DNA Center がリリース 2.2.2 以降にアップグレードされている。
Cisco ISE がオンプレミスの Cisco DNA Center に接続されている。
ネットワーク アクセス デバイスが、Cisco DNA Assurance と Cisco ISE の両方で管理されている。
ネットワーク アクセス デバイスに接続されているエンドポイントが、Cisco ISE を介して認証されている。
[AI Spoofing Detection] を有効にする必要がある。
[AI Spoofing Detection] 機能
Cisco DNA Center リリース 2.2.2 の [Cisco AI Analytics] ソフトウェアアップデートには、[AI Spoofing Detection] 機能が含まれています。この機能はデフォルトでは有効になっています。
Cisco DNA Center のメインメニューから、[System] > [Settings] > [External Services] > [Cisco AI Analytics] の順に選択します。[AI Spoofing Detection] セクションには、[Enable AI Spoofing Detection] トグルボタンがあります。このセクションには、[Send data to help Cisco improve the model] トグルボタンも含まれています。このボタンもデフォルトでは有効になっています。
このウィンドウで該当するトグルボタンをクリックすると、いずれかのコンポーネントを無効化できます。
スプーフィングされたエンドポイントの表示と管理
Cisco DNA Center をリリース 2.2.2 にアップグレードし、[AI Spoofing Detection] を有効にすると、[Cisco AI Endpoint Analytics Overview] タブ(メインメニュー >
[Policy] > [AI Endpoint Analytics])に [Trust Scores] ダッシュレットが表示されます。このダッシュレットには、次の情報が含まれています。
Cisco AI エンドポイント分析のプロファイリングルールを使用すると、共通の属性を組み合わせてエンドポイントをグループ化できます。これらの属性により、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元でエンドポイントを識別できます。プロファイリングルールを使用すると、多くのエンドポイントを簡単に管理できます。
Cisco AI エンドポイント分析は、DPI、メディアプロトコル、医療業界のプロトコルなどを介してネットワークデバイスからプロファイリングデータを受信します。Cisco ISE からのプロファイリングデータは、pxGrid を介して通信されます。これらのプロファイリング属性をデバイスディクショナリで使用してプロファイルルールを作成できます。
プロファイリングルールは、Cisco AI エンドポイント分析の [Profiling Rules] タブで確認できます。このタブの下に表示されるテーブルで、[Rule Name] エントリをクリックすると、割り当てられたプロファイルと使用される属性が表示されます。
Cisco AI エンドポイント分析でエンドポイントをプロファイリングするために使用されるプロファイリングルールは次のとおりです。
システムルール
シスコの規則
Cisco AI ルール
ルールの優先順位付け
Cisco AI エンドポイント分析のプロファイリングルールには優先順位があります。プロファイリングルールの実行は、このルールの優先順位に従って、精度の高いエンドポイントをプロファイリングします。
Cisco AI エンドポイント分析ではユーザー入力がプライマリであるため、プロファイリングルールの優先順位は次のようになります。
更新をスケジュールする曜日のボタンをクリックします。複数の日を選択できます。次に、[Time Slot] テキストフィールドを使用して、更新の時間を選択します。Cisco DNA Center によって更新が受信されるまでに 30 分かかります。2 番目のタイムスロット領域は編集できず、スケジュールされた更新が完了すると予想される時間が表示されます。
ステップ 3
Cisco DNA Center がシステムルールの更新を受信すると、[Profiling Rules] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Profiling Rules])に通知が表示されます。ダイアログボックスで [Expand] をクリックすると、次の通知が表示されます。
カスタム プロファイリング ルールと Cisco AI ルールを移行するには、.json ファイルをインポートします。
手順
ステップ 1
[Profiling Rule] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Import Profiling Rules] を選択します。
ステップ 3
[Choose a file] をクリックし、システムの .json ファイルを参照します。
ステップ 4
[OK]をクリックします。
プロファイリングルールのエクスポート
Cisco AI エンドポイント分析からカスタムルールおよび Cisco AI プロファイリングルールをエクスポートしてバックアップできます。[Export Profiling Rules] オプションは、使用可能なすべてのカスタムルールと Cisco
AI プロファイリングルールをエクスポートします。ルールを選択してエクスポートすることはできません。
手順
ステップ 1
[Profiling Rules] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Export Profiling Rules] を選択します。
ステップ 3
[Yes] をクリックして、すべてのカスタムルールと ML プロファイリングルールをエクスポートします。終了するには、[No] をクリックします。
(注)
同じファイルを Cisco AI エンドポイント分析に再度インポートできます。
階層
Cisco AI エンドポイント分析階層は、エンドポイントタイプに基づいてエンドポイントの論理グループを作成するのに役立ちます。エンドポイントのカテゴリとサブカテゴリを作成すると、エンドポイントの可視性に焦点が当てられ、許可プロセスが簡素化されます。