可視性は、エンドポイントを保護するための最初のステップです。Cisco AI エンドポイント分析は、エンドポイントと Internet of Things(IoT)デバイスの識別とプロファイリングに役立つエンドポイント可視性ソリューションです。Cisco
AI エンドポイント分析エンジンを使用すると、さまざまなソースからネットワーク経由で受信したテレメトリ情報を使用して、エンドポイントにラベルを割り当てることができます。
Cisco AI エンドポイント分析で使用できるプロファイリングラベルは、エンドポイントタイプ、ハードウェアモデル、製造元、およびオペレーティング システム タイプです。これは多要素分類と呼ばれます。
Cisco AI エンドポイント分析は、潜在的に危険なエンドポイントやデバイスを特定して対処することを可能にする信頼スコアなどの機能により、ネットワークにおける繊細な可視化と処置を実現します。Cisco AI エンドポイント分析の GUI から
Cisco ISE を介して ANC ポリシーを適用することにより、潜在的なリスクを管理することもできます。Cisco AI エンドポイント分析でエンドポイントのランダムおよび変更 MAC アドレスの問題をモニターして回避し、MAC アドレスの代わりに「DUID」と呼ばれる一意の属性を使用してエンドポイントを正確に識別することができます。
Cisco AI エンドポイント分析は、さまざまなソースからエンドポイントテレメトリを収集するのに役立ちます。主要なソースは、Network-Based Application Recognition(NBAR)メカニズムです。NBAR メカニズムは、Cisco
Catalyst 9000 シリーズ スイッチ(アクセスデバイス)に組み込まれていて、ディープ パケット インスペクション(DPI)を実行します。Cisco AI エンドポイント分析は、Cisco DNA トラフィック テレメトリ アプライアンスからテレメトリを受信することもできます。
Cisco AI エンドポイント分析を使用すると、さまざまなネットワークデバイスからのデータインフローが可能になり、エンドポイントをより高い精度で容易に識別してプロファイリングし、異常に対処する機能が拡張されます。Cisco AI エンドポイント分析では、さまざまなエンドポイント情報を集約し、そのデータを使用してエンドポイントをプロファイリングできます。エンドポイントのプロファイリング後、AI
と機械学習アルゴリズムを使用して、さまざまな方法を直感的に活用することで不明なエンドポイントの数を減らすこともできます。
Cisco AI エンドポイント分析の主な機能
Cisco AI エンドポイント分析ダッシュボード
Cisco AI エンドポイント分析ダッシュボードでは、ネットワークに接続されているエンドポイントの全体像を確認できます。既知のエンドポイント、不明なエンドポイント、プロファイリングされたエンドポイント、プロファイリングされていないエンドポイント、信頼スコアが低いエンドポイント、およびランダム
MAC アドレスを使用するエンドポイントの数を表示できます。[AI Proposals] ダッシュレットには、エンドポイントのプロファイリングと管理を強化するためのインテリジェントなプロファイリングの提案が表示されます。
潜在的に危険なエンドポイントにフラグを付ける信頼スコア
Cisco AI エンドポイント分析は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニタして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。エンドポイントの信頼スコアを参照してください。
ランダム MAC アドレスを使用するエンドポイントの検出
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。
機械学習機能を使用したネット内の不明なエンドポイントの削減
Cisco AI エンドポイント分析では、エンドポイントのグループ化で学習した情報に基づいてプロファイリング提案が提供されます。このような提案を使用して、ネットワーク内の不明なエンドポイントやプロファイリングされていないエンドポイントの数を減らすことができます。
Cisco DNA トラフィック テレメトリ アプライアンスに接続されたアクセススイッチのスイッチドポートアナライザ(SPAN)受信ポートで CBAR を有効にするには、次のコマンドを使用します。
ip nbar protocol-discovery
テレメトリアプライアンスに接続されているすべてのエンドポイントが Cisco AI エンドポイント分析に表示されるわけではありません。Cisco DNA Center Assurance で管理されるネットワーク アクセス デバイス(NAD)にも接続されているエンドポイントのみが、Cisco
AI エンドポイント分析に表示されます。
(オプション)Cisco DNA Center で ServiceNow を有効にします。
ServiceNow を Cisco DNA Center に接続する方法については、ご使用のリリースの 『Cisco DNA Center User Guide』の「Configuration」の章を参照してください。
ServiceNow を Cisco DNA Center に接続した後、Cisco DNA Center の [Menu] アイコン()をクリックします。
Cisco AI エンドポイント分析は、スマートグループ化アルゴリズムを使用して、ネットワーク内で類似するプロファイリングデータを持つ不明なエンドポイントをグループ化します。AI エンドポイント分析を有効にした場合、次のタイプのルール提案が表示されます。これらのルール提案は、次のようにエンドポイントクラスタから学習した内容に基づいています。
Cisco ISE リリース 3.1 以降では、pxGrid を介して Cisco AI エンドポイント分析の属性ディクショナリを導入します。その後、Cisco ISE 管理者は、Cisco ISE で許可ポリシーを作成するために、Cisco
AI エンドポイント分析によって共有される属性情報に容易にアクセスできます。次の属性タイプが Cisco ISE と共有されます。
信頼スコア
CMDB 属性
多要素プロファイリング属性
Cisco DNA Center が Cisco ISE リリース 3.1 以降とアクティブに統合されており、認証属性を Cisco ISE に公開する必要がある場合は、次のタスクを実行します。
Cisco DNA Center での属性共有の有効化
Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[System] > [Settings] > [Cisco Accounts] > [ISE Integration] の順に選択します。
[Enable Profile Publishing to ISE] エリアで、トグルボタンをクリックしてこの機能を有効にします。
属性情報を Cisco ISE に公開するために使用するトピックのタイプに応じて、[Asset Topic Based Integration] チェックボックスと [Enhanced Authorization Integration] チェックボックスのいずれかまたは両方をオンにします。
[Endpoint Analytics Settings] エリアで、[PSN Subscriber Publisher] チェックボックスをオンにしてこの設定を有効にします。この設定を有効にすると、新しいトピックサブスクリプションが各 Cisco ISE PSN ノードに作成され、接続された Cisco DNA Center 展開で Cisco AI エンドポイント分析によって共有される属性情報をノードが受信できるようになります。
Cisco ISE の [Policy] > [Policy Sets] ウィンドウで、[Conditions Studio] に「Endpoint-Analytics」という名前の新しいディクショナリが表示されます。
Cisco ISE の [Context Visibility] > [Endpoints] ウィンドウで、エンドポイントの詳細情報の MAC アドレスをクリックすると、その詳細情報の属性エリアに、Cisco AI エンドポイント分析から受信された属性の「EA-」というプレフィックスを含む属性が表示されます。
エンドポイント パージ ポリシー
定義された時間にわたって非アクティブだったエンドポイントをネットワークから削除するには、エンドポイント パージ ポリシーを定義します。エンドポイントを削除する必要があるまでの非アクティブ期間を定義できます。また、プロファイリング属性に基づいて特定のエンドポイントのセットに作用するようにパージポリシーをカスタマイズすることもできます。パージポリシーは毎日午前
2 時(サーバー時間)に実行され、定義されたパージ要件を満たすエンドポイントがネットワークから削除されます。その後、影響を受けるエンドポイントの MAC アドレスのリストが、接続された SD-AVC デバイスでも共有されます。
Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[Activities] > [Audit Logs] の順に選択します。
監査ログの説明フィールドを調べて、監査ポリシーの実行に関連するログを見つけます。
適切な監査ログをクリックして、実行されたパージポリシーの詳細情報を確認します。
エンドポイントサブネット検査の設定
展開内では、アクセスレイヤにあるデバイスとアクセスレイヤよりも上にあるデバイスの IP サブネットが異なります。シスコの TTA デバイスの場合、エンドポイント プロファイリングの精度は、Cisco AI エンドポイント分析によってサウスバウンドトラフィックのみが分析される場合に最大になります。エンドポイント
プロファイリングを向上させるには、サウスバウンドトラフィックに関して Cisco AI エンドポイント分析で分析する必要がある特定の IP サブネットまたはサブネット範囲を設定します。
必要な [View Known Profiles] ボタンをクリックして、[All Endpoints] ビューに表示されるエンドポイントのリストをフィルタ処理することもできます。エンドポイントタイプ、ハードウェア製造元、ハードウェアモデル、および OS タイプでエンドポイントのリストをフィルタ処理できます。
[Details] タブには、Cisco DNA Center リリース 2.2.2 以降の次の新しいフィールドが Cisco ISE から受信した詳細とともに表示されます。
[Authentication Status]:このフィールドには、エンドポイントが Cisco ISE で認証された場合は [Started]、そうでない場合は [Disconnected] と表示されます。
[Authorization Profile]:Cisco ISE のエンドポイントに設定されている認証ポリシーがここに表示されます。
[Scalable Group Tag]:Cisco ISE のエンドポイントに設定されたスケーラブルグループタグがここに表示されます。
これらの属性の詳細については、使用する Cisco ISE リリースの Cisco ISE 管理者ガイド [英語] を参照してください。
Cisco DNA Center リリース 2.2.2 以降では、エンドポイントの詳細を示すスライドイン ダイアログボックスに [Trust Score] タブがあります。このタブには、エンドポイントの信頼スコアを示すさまざまな要因の詳細が表示されます。エンドポイントの信頼スコアを参照してください。
Cisco DNA Center リリース 2.2.3 以降では、[Details] タブに [Previous MAC Addresses] エリアがあり、MAC ランダム化機能が有効になっているエンドポイントで使用された MAC アドレスが表示されます。ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアを参照してください。
ネットワーク内に NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
同時 MAC アドレス
同じ MAC アドレスを共有し、Cisco Catalyst 9000シリーズ デバイスに接続されているエンドポイントを特定してください。共有 MAC アドレスを持つエンドポイントには、同時 MAC アドレススコアが割り当てられます。これにより、容易に、それらのエンドポイントを識別して詳細情報を調べることができます。
エンドポイントの信頼スコアは、Cisco ISE から収集される次のイベントによっても通知されます。Cisco ISE を介して認証するすべてのエンドポイントは、次のイベントに基づいて初期信頼スコアを受け取ります。
その後、Cisco ISE から適応型ネットワーク制御(ANC)ポリシーを適用して、エンドポイントで適切な修復アクションを実施することができます。Cisco ISE の管理者ガイドで「Maintain and Monitor」の章にある「Adaptive Network Control」を参照してください。
ANC ポリシーは、Cisco ISE で定義され、選択したエンドポイントに修復アクションを適用することを可能にします。ANC ポリシーを適用して、エンドポイントを隔離またはシャットダウンしたり、エンドポイントのポートをバウンスしたり、エンドポイントの再認証を強制的に実行することができます。Cisco
AI エンドポイント分析で、望ましくない信頼スコアを持つエンドポイントに ANC ポリシーを適用すると、認可変更(CoA)が Cisco ISE からそのエンドポイントに送信されます。
エンドポイントは、MAC アドレスによって識別されます。Cisco ISE は、ANC 適用時点で識別された MAC アドレスに関してアクティブセッションを保持しているエンドポイントに CoA を送信します。その時点で Cisco ISE においてアクティブセッションを持たない、同じ
MAC アドレスのエンドポイントは、新しいセッションが開始されたときに、または設定された再認証タイマーの終了時に再認証する必要がある場合に、ANC ポリシーと照合されます。
ANC ポリシーが適用されているエンドポイントを確認するには、Cisco ISE 管理ポータルにログインします。メインメニューから、[Operations] > [RADIUS] > [Live Sessions] の順に選択します。[Endpoint ID] 列に、スプーフィングされたエンドポイントの MAC アドレスを入力します。これにより、同じ MAC アドレスを共有し、現在 Cisco ISE でライブセッションを持つエンドポイントがフィルタ処理されます。これらが、ANC ポリシーの影響を受けるエンドポイントです。
Cisco ISE で RADIUS セッションの履歴ログを表示するには、メインメニューから、[Operations] > [Reports] > [Reports] > [Endpoints and Users] > [RADIUS Authentications] の順に選択します。
Cisco ISE でエンドポイントへの ANC ポリシーの適用を表示または変更するには、メインメニューから、[Context Visibility] > [Endpoints] の順に選択します。必要に応じて、エンドポイントの MAC アドレスの横にあるチェックボックスをオンにして、リストの上部に表示されるオプションをクリックしてください。
前提条件
エンドポイントの信頼スコアを受信するための前提条件:
Cisco DNA Center がリリース 2.2.2 以降にアップグレードされている。
Cisco ISE がオンプレミスの Cisco DNA Center に接続されている。
ネットワーク アクセス デバイスが、Cisco DNA Assurance と Cisco ISE の両方で管理されている。
ネットワークアドレス変換(NAT)は、登録されていない IP アドレスを使用してインターネットへ接続するプライベート IP インターネットワークを可能にします。NAT は、ネットワーク全体で 1 つだけのアドレスを外部にアドバタイズするように設定できます。ネットワーク内に
NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の
Cisco Catalyst 9000 シリーズ デバイスから収集されます。
NAC 対応ルータとして機能するデバイスは、不正なエンドポイントをネットワークに接続させる可能性があるため、NAT 検出が信頼スコアの計算に含まれます。NAT モード検出スコアが割り当てられているエンドポイントの場合は、[Endpoint Inventory]
タブで MAC アドレスをクリックすると、スライドインウィンドウにエンドポイントの詳細情報が表示されます。エンドポイントのアイデンティティがネットワーク内の NAT 対応ルータに対応していることが確実な場合は、次の手順を実行します。
Cisco Catalyst 9000 シリーズ デバイスに接続された同時 MAC アドレスを持つエンドポイント
同じ MAC アドレスを共有し、Cisco Catalyst 9000 シリーズ デバイスに接続されているエンドポイントを特定してください。同時 MAC アドレスを持つエンドポイントの問題は、有線環境と、有線展開およびワイヤレス展開を含むハイブリッド環境で発生します。ワイヤレス環境では、常時、特定の
MAC アドレスを持つエンドポイントは 1 つしかネットワークにアクセスできないため、同時 MAC アドレスは発生しません。
Cisco AI エンドポイント分析では、同時 MAC アドレススコアをエンドポイントに割り当てることにより、同時 MAC アドレスを持つエンドポイントを特定することができます。ネットワーク内で共有 MAC アドレスを持つエンドポイントを検出するには、接続されている
Cisco Catalyst 9000 シリーズ デバイスで CBAR を有効にする必要があります。
同じ MAC アドレスを持つデバイスが Cisco Catalyst 9000 シリーズ デバイスに接続すると、それらのエンドポイントは同時エンドポイントとして認識され、その MAC アドレスに低いスコアが割り当てられます。同時 MAC アドレスを持つエンドポイントは、次のデバイスに接続できます。
異なる VLAN から同じ Cisco Catalyst 9000 シリーズ デバイス
異なる Cisco Catalyst 9000 シリーズ デバイス
表 1. 同時 MAC アドレスの問題が発生する環境
展開 1
展開 2
ネットワークで同時 MAC アドレスが発生するか
この環境での同時 MAC アドレス検出のサポート
有線
有線
対応
対応
有線
ワイヤレス
対応
対応
ワイヤレス
有線
対応
対応
ワイヤレス
ワイヤレス
非対応
非対応
Cisco DNA Center リリース 2.2.3 以降では、[Endpoint Inventory] タブの [Trust Scores] ビューに [Concurrent MAC Address] 列があります。共有 MAC アドレスは異常として検出され、[Concurrent MAC Address] 列に低いスコアが割り当てられます。[MAC Address] をクリックすると、スライドインウィンドウが表示され、その MAC アドレスの詳細情報が示されます。[Concurrent MAC Address] をクリックすると、フィールドが展開され、MAC アドレスのさまざまな送信元に関する情報が表示されます。
プライバシー対策として、モバイルデバイスでは接続先の SSID ごとにランダムおよび変更 MAC アドレスを使用することが増えています。一部のデスクトップ オペレーティング システムは、ユーザーが定期的に MAC アドレスをランダム化する機能も提供しています。つまり、エンドポイントは、異なる
SSID に接続するたびに異なる MAC アドレスを提示します。
Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco
AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。Cisco ISE での GUID の割り当て方法の詳細については、Cisco ISE の管理者ガイド(リリース 3.1)を参照してください。
Cisco AI エンドポイント分析の [Overview] ウィンドウの [Endpoint MAC Randomization] ダッシュレットには、ネットワーク内のランダムおよび変更 MAC アドレスを使用しているエンドポイントの数がグラフィカルに表示されます。
Cisco ISE に接続され、DUID 情報を使用可能なエンドポイントの場合、この情報は Cisco AI エンドポイント分析にも表示されます。次の列には、Cisco AI エンドポイント分析の [Endpoint Inventory] ウィンドウで必要になる情報が表示されます。
[DUID]:エンドポイントの DUID 値。
[Previous MAC Addresses]:エンドポイントが以前にネットワークへの接続に使用していたランダムおよび変更 MAC アドレス。
DUID 値を使用することで、Cisco AI エンドポイント分析では、エンドポイントを確実に識別し、エンドポイントが以前に使用していたさまざまな MAC アドレスを追跡することが可能になっています。これは、ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアも高精度であることを意味します。以前の
MAC アドレスでのエンドポイントの信頼スコアは、エンドポイントが提示している現在の MAC アドレスに引き継がれ、同じエンドポイントに関して受信されたプローブデータの影響を受け続けます。
デバイスで [Private Address] 設定が有効になっている場合、このデバイスの [Is MAC Random] 列に [Yes] という値が表示されます。つまり、このデバイスは、ランダムおよび変更 MAC アドレスとして認識されます。ただし、このデバイスに関して DUID 値を使用できるかどうかは、エンドポイントが Cisco ISE を介して認証されているかどうかと、Cisco ISE でこのエンドポイントの
GUID が生成されているかどうかに依存します。
エンドポイントの信頼スコアの表示と管理
Cisco DNA Center をリリース 2.2.3 にアップグレードし、必要な信頼スコアのソースを有効にすると、Cisco AI エンドポイント分析の [Overview]タブ(メインメニュー > [Policy] > [AI Endpoint Analytics])に [Trust Scores] ダッシュレットが表示されます。このダッシュレットには、次の情報が含まれます。
Cisco AI エンドポイント分析のプロファイリングルールを使用すると、共通の属性を組み合わせてエンドポイントをグループ化できます。これらの属性により、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元でエンドポイントを識別できます。プロファイリングルールを使用すると、多くのエンドポイントを簡単に管理できます。
Cisco AI エンドポイント分析は、DPI、メディアプロトコル、医療業界のプロトコルなどを介してネットワークデバイスからプロファイリングデータを受信します。Cisco ISE からのプロファイリングデータは、pxGrid を介して通信されます。これらのプロファイリング属性をデバイスディクショナリで使用してプロファイルルールを作成できます。
プロファイリングルールは、Cisco AI エンドポイント分析の [Profiling Rules] タブで確認できます。このタブの下に表示されるテーブルで、[Rule Name] エントリをクリックすると、割り当てられたプロファイルと使用される属性が表示されます。
Cisco AI エンドポイント分析でエンドポイントをプロファイリングするために使用されるプロファイリングルールは次のとおりです。
システムルール
シスコの規則
Cisco AI ルール
ルールの優先順位付け
Cisco AI エンドポイント分析のプロファイリングルールには優先順位があります。プロファイリングルールの実行は、このルールの優先順位に従って、精度の高いエンドポイントをプロファイリングします。
Cisco AI エンドポイント分析ではユーザー入力がプライマリであるため、プロファイリングルールの優先順位は次のようになります。
更新をスケジュールする曜日のボタンをクリックします。複数の日を選択できます。次に、[Time Slot] テキストフィールドを使用して、更新の時間を選択します。Cisco DNA Center によって更新が受信されるまでに 30 分かかります。2 番目のタイムスロット領域は編集できず、スケジュールされた更新が完了すると予想される時間が表示されます。
ステップ 3
Cisco DNA Center がシステムルールの更新を受信すると、[Profiling Rules] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Profiling Rules])に通知が表示されます。ダイアログボックスで [Expand] をクリックすると、次の通知が表示されます。
[Status] 列の値が [Disabled] から [Active] に更新され、API のリストがこのウィンドウに表示されます。各 API の予期される要求および応答ペイロードを確認することもできます。
AI エンドポイント分析 API バンドルを有効にすると、AI エンドポイント分析 API が Cisco DNA Center の開発者用ツールキットに追加されます。その後、[Developer Toolkit] ウィンドウ([Platform] > [Developer Toolkit])から API にアクセスできます。
カスタム プロファイリング ルールと Cisco AI ルールを移行するには、.json ファイルをインポートします。
手順
ステップ 1
[Profiling Rule] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Import Profiling Rules] を選択します。
ステップ 3
[Choose a file] をクリックし、システムの .json ファイルを参照します。
ステップ 4
[OK]をクリックします。
プロファイリングルールのエクスポート
Cisco AI エンドポイント分析からカスタムルールおよび Cisco AI プロファイリングルールをエクスポートしてバックアップできます。[Export Profiling Rules] オプションは、使用可能なすべてのカスタムルールと Cisco
AI プロファイリングルールをエクスポートします。ルールを選択してエクスポートすることはできません。
手順
ステップ 1
[Profiling Rules] ウィンドウで、[Actions] をクリックします。
ステップ 2
[Export Profiling Rules] を選択します。
ステップ 3
[Yes] をクリックして、すべてのカスタムルールと ML プロファイリングルールをエクスポートします。終了するには、[No] をクリックします。
(注)
同じファイルを Cisco AI エンドポイント分析に再度インポートできます。
階層
Cisco AI エンドポイント分析階層は、エンドポイントタイプに基づいてエンドポイントの論理グループを作成するのに役立ちます。エンドポイントのカテゴリとサブカテゴリを作成すると、エンドポイントの可視性に焦点が当てられ、許可プロセスが簡素化されます。