Cisco AI エンドポイント分析

Cisco AI エンドポイント分析の概要

可視性は、エンドポイントを保護するための最初のステップです。Cisco AI エンドポイント分析は、エンドポイントと Internet of Things(IoT)デバイスの識別とプロファイリングに役立つエンドポイント可視性ソリューションです。Cisco AI エンドポイント分析エンジンを使用すると、さまざまなソースからネットワーク経由で受信したテレメトリ情報を使用して、エンドポイントにラベルを割り当てることができます。

Cisco AI エンドポイント分析で使用できるプロファイリングラベルは、エンドポイントタイプ、ハードウェアモデル、製造元、およびオペレーティング システム タイプです。これは多要素分類と呼ばれます。

Cisco AI エンドポイント分析は、潜在的に危険なエンドポイントやデバイスを特定して対処することを可能にする信頼スコアなどの機能により、ネットワークにおける繊細な可視化と処置を実現します。Cisco AI エンドポイント分析の GUI から Cisco ISE を介して ANC ポリシーを適用することにより、潜在的なリスクを管理することもできます。Cisco AI エンドポイント分析でエンドポイントのランダムおよび変更 MAC アドレスの問題をモニターして回避し、MAC アドレスの代わりに「DUID」と呼ばれる一意の属性を使用してエンドポイントを正確に識別することができます。

Cisco AI エンドポイント分析は、さまざまなソースからエンドポイントテレメトリを収集するのに役立ちます。主要なソースは、Network-Based Application Recognition(NBAR)メカニズムです。NBAR メカニズムは、Cisco Catalyst 9000 シリーズ スイッチ(アクセスデバイス)に組み込まれていて、ディープ パケット インスペクション(DPI)を実行します。Cisco AI エンドポイント分析は、Cisco DNA トラフィック テレメトリ アプライアンスからテレメトリを受信することもできます。

Cisco ISE、自己登録型ポータル、ServiceNow のような構成管理データベース(CMDB)ソフトウェアなど、さまざまなソースからエンドポイントコンテキスト情報を収集できます。

Cisco AI エンドポイント分析を使用すると、さまざまなネットワークデバイスからのデータインフローが可能になり、エンドポイントをより高い精度で容易に識別してプロファイリングし、異常に対処する機能が拡張されます。Cisco AI エンドポイント分析では、さまざまなエンドポイント情報を集約し、そのデータを使用してエンドポイントをプロファイリングできます。エンドポイントのプロファイリング後、AI と機械学習アルゴリズムを使用して、さまざまな方法を直感的に活用することで不明なエンドポイントの数を減らすこともできます。

Cisco AI エンドポイント分析の主な機能

  • Cisco AI エンドポイント分析ダッシュボード

    Cisco AI エンドポイント分析ダッシュボードでは、ネットワークに接続されているエンドポイントの全体像を確認できます。既知のエンドポイント、不明なエンドポイント、プロファイリングされたエンドポイント、プロファイリングされていないエンドポイント、信頼スコアが低いエンドポイント、およびランダム MAC アドレスを使用するエンドポイントの数を表示できます。[AI Proposals] ダッシュレットには、エンドポイントのプロファイリングと管理を強化するためのインテリジェントなプロファイリングの提案が表示されます。

  • 潜在的に危険なエンドポイントにフラグを付ける信頼スコア

    Cisco AI エンドポイント分析は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニタして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。エンドポイントの信頼スコアを参照してください。

  • ランダム MAC アドレスを使用するエンドポイントの検出

    Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。

  • 機械学習機能を使用したネット内の不明なエンドポイントの削減

    Cisco AI エンドポイント分析では、エンドポイントのグループ化で学習した情報に基づいてプロファイリング提案が提供されます。このような提案を使用して、ネットワーク内の不明なエンドポイントやプロファイリングされていないエンドポイントの数を減らすことができます。

  • システムルールおよびカスタム プロファイリング ルールによるエンドポイントの管理

    ネットワークに接続されたエンドポイントを確実にプロファイリングおよび管理するには、シスコが提供するシステムルールと自分で設計したカスタムルールを使用します。

  • Cisco AI エンドポイント分析によるエンドポイントの登録

    Cisco AI エンドポイント分析を使用して、エンドポイントをオンボードおよびプロファイリングできます。この登録プロセスでエンドポイント属性データが収集されて、エンドポイントのプロファイリングに使用されます。

  • 外部ソースを使用したエンドポイントの登録

    構成管理データベース(CMDB)などエンドポイントデータの外部ソースの中には、Cisco AI エンドポイント分析に接続できるものがあります。これにより、ネットワーク内のエンドポイントを簡単に登録、管理、およびプロファイリングできます。

  • 定義された非アクティブ期間後のエンドポイントのパージ

    定義された時間にわたって非アクティブだったエンドポイントをネットワークから削除するには、エンドポイント パージ ポリシーを定義します。エンドポイントを削除する必要があるまでの非アクティブ期間を定義できます。また、プロファイリング属性に基づいて特定のエンドポイントのセットに作用するようにパージポリシーをカスタマイズすることもできます。

Cisco DNA Center での Cisco AI エンドポイント分析のセットアップ

ソフトウェア アップデートのインストール

次の手順で説明するように、Cisco AI エンドポイント分析を使用するためのソフトウェアアップデートを Cisco DNA Center にインストールします。

手順

ステップ 1

Cisco DNA Center にログインします。

ステップ 2

Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[System] > [Software Updates] の順に選択します。

ステップ 3

表示される [Updates] タブで、[Cisco AI Endpoint Analytics]、[AI Network Analytics]、および [Application Visibility Service] が [Application Updates] セクションにリストされているかどうかを確認してください。これらのアプリケーション更新のいずれかが表示されている場合は、[Install All] ボタンをクリックします。

  • Cisco DNA Center でエンドポイント プロファイリング ソリューションにアクセスするには、[Cisco AI Network Analytics] 更新をインストールします。

  • 機械学習と AI の機能を使用してインテリジェントなプロファイリング提案を受け取るには、[AI Network Analytics] 更新をインストールします。

  • NBAR およびコントローラベースのアプリケーション認識(CBAR)の技術を使用してエンドポイント プロファイリングを通知するには、[Application Visibility Service] 更新をインストールします。

ステップ 4

これらの更新のいずれも [Updates] タブにリストされていない場合は、[Installed Apps] タブをクリックして、更新がすでにインストールされ、使用可能であるかどうかを確認してください。[Installed Apps] タブでは、ソフトウェアインストールが正常に完了しているかどうかも確認できます。

データソースの接続と有効化


(注)  

Cisco AI エンドポイント分析が使用するデータソースが、Cisco DNA Center にすでに接続されている可能性があります。データソースが接続されている場合は、次の手順を参照して、Cisco AI エンドポイント分析でデータソースを使用できることを確認します。

Cisco AI エンドポイント分析が結果を提供できるようにするには、Cisco ISE または Catalyst 9000 シリーズ アクセス デバイスを Cisco DNA Center に追加する必要があります。

  1. Cisco DNA Center に Cisco ISE を接続します。

    ご使用のリリースに対応する 『Cisco DNA Center Appliance Installation Guide』の「Complete First-Time Setup」の章の「Integrate Cisco ISE with Cisco DNA Center」セクションを参照してください。

    次の Cisco ISE リリースが Cisco AI エンドポイント分析をサポートしています。

    • 2.4 パッチ 11 以降

    • 2.6 パッチ 5 以降

    • 2.7 パッチ 1 以降

    • 3.0

    Cisco ISE 管理ポータルで、次の手順を実行します。

    1. [Work Centers] > [Profiler] > [Settings] の順に選択します。

    2. [Enable Probe Data Publisher] チェックボックスをオンにします。

    Cisco ISE が 802.1X または MAB 認証方式でエンドポイントを認証すると、収集されたエンドポイント属性が Cisco AI エンドポイント分析で使用可能になります。この情報は、プローブデータパブリッシャを介して伝達されます。

  2. 有線エンドポイントが表示されるように、Cisco 9000 シリーズ アクセス デバイスを Cisco DNA Center に接続します。

    ご使用のリリースに関連する 『Cisco DNA Center User Guide』の「Discover Your Network」の章を参照してください。

    Cisco 9000 シリーズ アクセス デバイスを Cisco IOS-XE リリース 17.3.1 以降にアップグレードして、Cisco AI エンドポイント分析を有効にします。

    必要なアクセスデバイスの CBAR を有効にするには、Cisco DNA Center で [Menu] アイコン()をクリックします。

    1. [Provision] > [Services] > [All Services] > [Application Visibility] の順に選択します。

    2. データが必要な Cisco Catalyst 9000 アクセスデバイスを選択します。[Site Devices] セクションのデバイス名の横にあるチェックボックスをオンにします。

    3. [Enable CBAR] をクリックします。

  3. (オプション)ワイヤレスエンドポイントを可視化するには、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラを Cisco DNA Center に接続します。

    次の Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ モデルが、Cisco AI Endpoint Analytics の非ファブリックモードでサポートされています。

    • 9800-CL

    • 9800-40

    • 9800-80

    • 9800-L

    Cisco DNA Center で Cisco Catalyst 9800 シリーズ ワイヤレス コントローラを設定およびプロビジョニングするには、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラの概要を参照してください。

  4. (オプション)有線およびワイヤレスエンドポイントを可視化し、サードパーティのネットワークデバイスを可視化するには、Cisco DNA トラフィック テレメトリ アプライアンスを Cisco DNA Center に接続します。

    Cisco DNA トラフィック テレメトリ アプライアンス(DN-APL-TTA-M)は、ミラーリングされたネットワークトラフィックからテレメトリを生成してエンドポイントを分析できるようにします。このアプライアンスでは、Network-Based Application Recognition(NBAR)ベースでプロトコルを検査し、エンドポイント属性を抽出できます。

    テレメトリアプライアンスで収集されたエンドポイント属性を Cisco AI エンドポイント分析で受信するには、Cisco ISE と Cisco DNA Center を統合する必要があります。

    Cisco DNA Center でのアプライアンスのインストール、接続の構成、およびアプライアンスの管理については、『Cisco DNA Traffic Telemetry Appliances』を参照してください。

    Cisco DNA トラフィック テレメトリ アプライアンスに接続されたアクセススイッチのスイッチドポートアナライザ(SPAN)受信ポートで CBAR を有効にするには、次のコマンドを使用します。

    ip nbar protocol-discovery

    テレメトリアプライアンスに接続されているすべてのエンドポイントが Cisco AI エンドポイント分析に表示されるわけではありません。Cisco DNA Center Assurance で管理されるネットワーク アクセス デバイス(NAD)にも接続されているエンドポイントのみが、Cisco AI エンドポイント分析に表示されます。

  5. (オプション)Cisco DNA Center で ServiceNow を有効にします。

    ServiceNow を Cisco DNA Center に接続する方法については、ご使用のリリースの 『Cisco DNA Center User Guide』の「Configuration」の章を参照してください。

    ServiceNow を Cisco DNA Center に接続した後、Cisco DNA Center の [Menu] アイコン()をクリックします。

    [Platform] > [Manage] > [Bundles] の順に選択します。バンドル [Endpoint Attribute Retrieval with ITSM (ServiceNow)] の [Status] が [New] の場合は、バンドルの [Enable] をクリックします。

  6. (オプション)Cisco DNA Center で AI エンドポイント分析を有効にします。

    AI ベースのエンドポイントグループ化、カスタム プロファイリング ルール自動化、およびエンドポイントラベルに関する提案を受け取るには、[Cisco AI Analytics] を有効にする必要があります。

    これらの AI ベースの提案を受け取るには、AI Network Analytics というソフトウェアをインストールする必要があります。

    1. Cisco DNA Center のメインメニューから、[System] > [System Administration] > [Settings] > [External Services] > [Cisco AI Analytics] の順に選択します。

    2. [AI Endpoint Analytics] トグルボタンをクリックして緑色に設定します。

エンドポイント テレメトリ ソース

Cisco AI エンドポイント分析は、次の方法でテレメトリデータを受信します。

  • ディープ パケット インスペクション

    ディープ パケット インスペクションは、Cisco Catalyst 9000 シリーズ アクセス デバイスによって実行される高度なパケット分析方法です。これらのアクセスデバイスは、NBAR を実行します。NBAR は、アプリケーション トラフィックを検査し、プロトコル分析を実行して、精度の高いエンドポイントを検出および識別し、プロファイリングします。

    ディープ パケット インスペクションのプロファイリングは、ネットワークへのエンドポイントトラフィックから収集されたさまざまな属性に基づいています。これらの属性は、パケットヘッダーレイヤ 4 ~ 7 から複数のプロトコルにわたって収集されます。

  • 構成管理データベース接続

    Cisco AI エンドポイント分析は、エンドポイント プロファイリングの精度を高めるために、構成管理データベース(CMDB)接続からエンドポイントデータを受信します。ServiceNow との接続により、CMDB から Cisco AI エンドポイント分析への情報を受信できます。

  • 機械学習機能

    プロファイリング用に収集されたデータは、匿名化されて、Cisco Cloud でデバイスデータレイクとして機能する場所に送信されます。ここでは、機械学習アルゴリズムで使用可能なデータを分析し、必要に応じて評価して適用できるプロファイリングルールを作成します。エンドポイント プロファイリングと管理を簡素化かつ効率化できるように、Cisco AI エンドポイント分析によってスマート プロファイリング ルールが提案されます。既存のルールも評価され、この継続学習に基づいて改善提案が提供されます。

[Cisco AI Endpoint Analytics Overview] ウィンドウ

Cisco DNA Center のメインメニューから [Policy] > [AI Endpoint Analytics] の順に選択します。

[Overview] ウィンドウに次のダッシュレットが表示されます。

  • 合計エンドポイント数

    このダッシュレットでは、ネットワーク内のエンドポイントの合計数が [Fully Profiled] と [Missing Profiles] の 2 つのグループに分かれて表示されます。Cisco AI エンドポイント分析は、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元の 4 つの要因に基づいてエンドポイントをプロファイリングします。エンドポイントにこれらの要因の 1 つ以上が欠落している場合は、[Missing Profiles] グループにプロファイリングされます。

    [Missing Profiles Labels] をクリックすると、ネットワーク内のプロファイルが欠落しているエンドポイントの数が、プロファイルラベルタイプで分類されて表示されます。特定のプロファイルラベルが欠落しているエンドポイントを確認するには、プロファイルラベルの横にある数字をクリックします。[Endpoint Inventory] タブが、対応するエンドポイントのリストとともに表示されます。

  • AI 提案

    Cisco AI エンドポイント分析は、スマートグループ化アルゴリズムを使用して、ネットワーク内で類似するプロファイリングデータを持つ不明なエンドポイントをグループ化します。AI エンドポイント分析を有効にした場合、次のタイプのルール提案が表示されます。これらのルール提案は、次のようにエンドポイントクラスタから学習した内容に基づいています。

    • 類似している可能性があるエンドポイントをプロファイリングするための新しいルール。

    • 以前に受け入れられていたルールの変更提案。

    • 不要になったプロファイリングルールの確認。

    詳細については、Cisco AI ルールまたはスマートグループ化を参照してください。

  • 信頼スコア

    [Trust Scores] ダッシュレットには、ネットワーク内のエンドポイントに割り当てられている信頼スコアの全体像が示されます。エンドポイントの信頼スコアを参照してください。

  • 設定

    [Overview] エリアの右上隅にある [Configuration] リンクをクリックすると、次の設定にアクセスできます。

  • エンドポイント MAC ランダム化

    [Endpoint MAC Randomization] には、ネットワーク内の静的 MAC アドレスとランダムおよび変更 MAC アドレスの数が表示されます。「ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコア」を参照してください。

Cisco ISE への許可属性の公開

Cisco ISE リリース 3.1 以降では、pxGrid を介して Cisco AI エンドポイント分析の属性ディクショナリを導入します。その後、Cisco ISE 管理者は、Cisco ISE で許可ポリシーを作成するために、Cisco AI エンドポイント分析によって共有される属性情報に容易にアクセスできます。次の属性タイプが Cisco ISE と共有されます。

  1. 信頼スコア

  2. CMDB 属性

  3. 多要素プロファイリング属性

Cisco DNA Center が Cisco ISE リリース 3.1 以降とアクティブに統合されており、認証属性を Cisco ISE に公開する必要がある場合は、次のタスクを実行します。

Cisco DNA Center での属性共有の有効化

  1. Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[System] > [Settings] > [Cisco Accounts] > [ISE Integration] の順に選択します。

  2. [Enable Profile Publishing to ISE] エリアで、トグルボタンをクリックしてこの機能を有効にします。

属性情報を Cisco ISE に公開するために使用するトピックのタイプに応じて、[Asset Topic Based Integration] チェックボックスと [Enhanced Authorization Integration] チェックボックスのいずれかまたは両方をオンにします。

Cisco ISE での pxGrid サブスクリプションの有効化

  1. Cisco ISE GUI で、[Menu] アイコン()をクリックし、[Work Center] > [Profiler] > [Profiler Settings] の順に選択します。

  2. [Endpoint Analytics Settings] エリアで、[PSN Subscriber Publisher] チェックボックスをオンにしてこの設定を有効にします。この設定を有効にすると、新しいトピックサブスクリプションが各 Cisco ISE PSN ノードに作成され、接続された Cisco DNA Center 展開で Cisco AI エンドポイント分析によって共有される属性情報をノードが受信できるようになります。

確認

[PSN Subscriber Publisher] を有効にしたら、Cisco ISE のメインメニューから、[Administration] > [pxGrid Services] > [Diagnostics] > [WebSocket] > [Clients] の順に選択します。新しく作成された「com.cisco.ea.data.ise-<Cisco ISE node>」を含むサブスクリプションが、PSN ノードの [Subscription] 列に表示されます。

Cisco ISE の [Policy] > [Policy Sets] ウィンドウで、[Conditions Studio] に「Endpoint-Analytics」という名前の新しいディクショナリが表示されます。

Cisco ISE の [Context Visibility] > [Endpoints] ウィンドウで、エンドポイントの詳細情報の MAC アドレスをクリックすると、その詳細情報の属性エリアに、Cisco AI エンドポイント分析から受信された属性の「EA-」というプレフィックスを含む属性が表示されます。

エンドポイント パージ ポリシー

定義された時間にわたって非アクティブだったエンドポイントをネットワークから削除するには、エンドポイント パージ ポリシーを定義します。エンドポイントを削除する必要があるまでの非アクティブ期間を定義できます。また、プロファイリング属性に基づいて特定のエンドポイントのセットに作用するようにパージポリシーをカスタマイズすることもできます。パージポリシーは毎日午前 2 時(サーバー時間)に実行され、定義されたパージ要件を満たすエンドポイントがネットワークから削除されます。その後、影響を受けるエンドポイントの MAC アドレスのリストが、接続された SD-AVC デバイスでも共有されます。

DCS にインポートされた登録済みエンドポイントおよび静的エンドポイントは、エンドポイント パージ ポリシーの影響を受けません。

Cisco DNA Center のバックアップ/復元操作とエンドポイント パージ アクティビティを同時に実行することはできません。バックアップ/復元操作が午前 2 時に進行中の場合、パージアクティビティは開始されません。エンドポイント アクティビティの進行中にバックアップ/復元操作が開始されると、エンドポイントパージの実行は停止され、パージアクティビティは未完了のままになります。残りのエンドポイントは、次のパージが翌日の午前 2 時(サーバー時間)に実行されるまで処理されません。

エンドポイント パージ ポリシーを表示、編集、または追加するには、Cisco DNA Center の GUI で [Menu] アイコン()をクリックし、[Policy] > [AI Endpoint Analytics] > [Configurations] > [Endpoint Purge Policy] を選択します。デフォルトでは、次のポリシーを使用できます。

  • Default

  • Random MAC Default

これらのデフォルトポリシーは編集できません。有効または無効にすることだけが可能です。

パージポリシーの作成

手順

ステップ 1

Cisco DNA Center の GUI で [Menu] アイコン()をクリックし、[Policy] > [AI Endpoint Analytics] > [Configurations] > [Endpoint Purge Policy] を選択します。

ステップ 2

[Add Endpoint Purge Policy] をクリックします。

ステップ 3

[Add Endpoint Purge Policy] ダイアログボックスで、[Let's Do It] をクリックしてワークフローを開始します。

ステップ 4

[Define Policy Details] ウィンドウで、次の手順を実行します。

  1. ポリシーの名前を [Rule Name] フィールドに入力します。

  2. [Select Status] ドロップダウンリストで [Enabled] または [Disabled] を選択します。

  3. エンドポイントがパージされるまでの非アクティブ時間を定義します。[Elapsed Greater than or Equal to] フィールドに値(日単位)を入力してください。有効な値の範囲は 5 〜 180 日です。

ステップ 5

[Next] をクリックします。

ステップ 6

(任意)[Define Additional Policy Conditions] ウィンドウで、このパージポリシーの影響を受けるエンドポイントをフィルタ処理するためのプロファイリング属性を選択します。選択する属性の横にあるチェックボックスをオンにして、その属性に関して表示されるドロップダウンリストで必要な値を選択してください。

ステップ 7

[Next] をクリックします。

ステップ 8

[Summary] ウィンドウに、パージポリシーの設定が表示されます。表示される詳細情報を確認し、[Done] をクリックしてポリシーを作成します。
次のタスク
エンドポイント パージ アクティビティの監査ログ

エンドポイント パージ ポリシーを有効にして、パージアクティビティが実行された後に、エンドポイント パージ アクティビティの監査ログを確認することができます。

  1. Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[Activities] > [Audit Logs] の順に選択します。

  2. 監査ログの説明フィールドを調べて、監査ポリシーの実行に関連するログを見つけます。

  3. 適切な監査ログをクリックして、実行されたパージポリシーの詳細情報を確認します。

エンドポイントサブネット検査の設定

展開内では、アクセスレイヤにあるデバイスとアクセスレイヤよりも上にあるデバイスの IP サブネットが異なります。シスコの TTA デバイスの場合、エンドポイント プロファイリングの精度は、Cisco AI エンドポイント分析によってサウスバウンドトラフィックのみが分析される場合に最大になります。エンドポイント プロファイリングを向上させるには、サウスバウンドトラフィックに関して Cisco AI エンドポイント分析で分析する必要がある特定の IP サブネットまたはサブネット範囲を設定します。

その後、このフィルタ処理されたサブネットに関する設定は、Cisco SD-AVC サーバーと共有されます。この設定は、Cisco SD-AVC サーバーを介して Cisco TTA デバイスに適用されます。

手順

ステップ 1

Cisco DNA Center の GUI で [Menu] アイコン()をクリックし、[Policy] > [AI Endpoint Analytics] > [Configurations] > [Endpoint Subnet Inspection] を選択します。

ステップ 2

[IP Subnet] フィールドに必要な値を入力します。

ステップ 3

[+] をクリックして IP サブネットを追加します。このウィンドウでは、複数のサブネットまたはサブネット範囲を追加できます。

Endpoint Inventory

[Endpoint Inventory] タブで、データソースを介して Cisco AI エンドポイント分析に接続されているエンドポイント。このタブには、[Focus] ドロップダウンリストを使用して選択できる 2 つのビューがあります。

  • [All Endpoints]:これは [Endpoint Inventory] タブのデフォルトビューです。このビューには、接続されているすべてのエンドポイントのプロファイリング情報が表示されます。

    [All Endpoints] ビューには、エンドポイントタイプOS タイプランダム MAC かどうか信頼スコアなどのプロファイリング情報が表示されます。表示するエンドポイントのプロファイリング情報を選択するには、テーブルの右上隅にある垂直省略記号アイコンをクリックします。次のプロファイリング情報セットのいずれかを選択し、[Apply] をクリックします。

    • [All]:使用可能なすべてのプロファイリング情報が表示されます。このセットは編集できません。

    • [General]:これを選択すると、エンドポイントの全体図を確認できるプロファイリング情報が表示されます。これは、デフォルトで表示される列のセットです。このセットは編集できません。

    • [Detailed]:これを選択すると、エンドポイントを深く洞察できるプロファイリング情報が表示されます。このセットは編集できません。

    • [Custom]:これは編集可能な唯一のセットです。[Endpoint Inventory] ウィンドウに表示するプロファイリング情報をオンまたはオフにします。

    必要な [View Known Profiles] ボタンをクリックして、[All Endpoints] ビューに表示されるエンドポイントのリストをフィルタ処理することもできます。エンドポイントタイプハードウェア製造元ハードウェアモデル、および OS タイプでエンドポイントのリストをフィルタ処理できます。

  • [Trust Score]:このビューでは、エンドポイント インベントリ リストがフィルタ処理され、信頼スコアが割り当てられているエンドポイントだけが表示されます。

    [Trust Score] ビューには、エンドポイントの全体的な信頼スコアを示すさまざまな要因の列が表示されます。信頼スコアは、動作異常が検出されたエンドポイントを特定するために役立ちます。これにより、エンドポイントの詳細情報を調べて、必要な修復アクションを実行することができます。低い信頼スコアを管理するためにエンドポイントに ANC ポリシーを適用する場合、[Trust Score] ビューには、適用された ANC ポリシーの名前とポリシーが適用された日時も表示されます。エンドポイントの信頼スコアを参照してください。

要件に基づいて一連のエンドポイントを簡単にフィルタ処理できます。エンドポイントを登録したり、登録済みのエンドポイントを編集、削除、およびプロファイリングしたりできます。単一または複数のエンドポイントを選択するには、MAC アドレスの横にあるチェックボックスをオンにします。これにより、選択したエンドポイントに対して、[Actions] ドロップダウンリストから特定のアクションを実行することができます。

エンドポイントのプロファイリングの完全な詳細を表示するには、エンドポイントの [MAC Address] をクリックします。表示されるスライドイン ダイアログボックスには、ユーザーの詳細、エンドポイントの詳細、およびエンドポイントの属性の詳細が含まれます。

[Details] タブには、Cisco DNA Center リリース 2.2.2 以降の次の新しいフィールドが Cisco ISE から受信した詳細とともに表示されます。

  • [Authentication Status]:このフィールドには、エンドポイントが Cisco ISE で認証された場合は [Started]、そうでない場合は [Disconnected] と表示されます。

  • [Authorization Profile]:Cisco ISE のエンドポイントに設定されている認証ポリシーがここに表示されます。

  • [Scalable Group Tag]:Cisco ISE のエンドポイントに設定されたスケーラブルグループタグがここに表示されます。

これらの属性の詳細については、使用する Cisco ISE リリースの Cisco ISE 管理者ガイド [英語] を参照してください。

Cisco DNA Center リリース 2.2.2 以降では、エンドポイントの詳細を示すスライドイン ダイアログボックスに [Trust Score] タブがあります。このタブには、エンドポイントの信頼スコアを示すさまざまな要因の詳細が表示されます。エンドポイントの信頼スコアを参照してください。

Cisco DNA Center リリース 2.2.3 以降では、[Details] タブに [Previous MAC Addresses] エリアがあり、MAC ランダム化機能が有効になっているエンドポイントで使用された MAC アドレスが表示されます。ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアを参照してください。

Cisco AI エンドポイント分析データのエクスポート

このウィンドウからエンドポイントとエンドポイントの詳細のリストをエクスポートするには、[Export] をクリックします。[Endpoint Inventory] ウィンドウでフィルタを適用すると、フィルタ処理されたエンドポイントのみがエクスポート用に処理されます。すべてのエンドポイントの詳細をエクスポートするには、フィルタが適用されていないことを確認して、[Export] をクリックします。

[Export] をクリックすると、[Reports] ウィンドウで新しいタブが開きます。[Generated Reports] ウィンドウには、開始されたエクスポートのリストが表示され、リストの一番上に最新のエクスポート要求が表示されます。[Endpoint Inventory] ウィンドウから生成されたレポートの [Template Category] 列に [AI Endpoint Analytics] が含まれています。レポートの生成には数分かかります。レポートのダウンロード準備ができると、[Last Run] 列の値が [Not Initiated] から、その横にダウンロードアイコンがあるタイムスタンプに変わります。タイムスタンプは、エクスポートリストが生成された時刻を示します。ダウンロードアイコンをクリックして、エンドポイントのリストの CSV ファイルをシステムにダウンロードします。

次の手順で、[Reports] ウィンドウから Cisco AI エンドポイント分析データをエクスポートすることもできます。


(注)  

エンドポイントの AI エンドポイント分析データの最初のエクスポートは [Endpoint Inventory] ウィンドウから実行する必要があります。その後、[Reports] ウィンドウから直接 AI エンドポイント分析レポートを生成できます。

  1. メインメニューから [Reports] を選択します。

  2. [Report Templates] をクリックし、メニューから [AI Endpoint Analytics] を選択します。

  3. [Generate a New Report] ダイアログボックスで [Let's Do It] をクリックします。

  4. [Select Report Template] ウィンドウでは、[Endpoint Profiling] テンプレートがデフォルトで適用されています。[Next] をクリックします。

  5. [Setup Report Scope] ウィンドウで、[Report Name] フィールドに値を入力します。[Endpoint Inventory] ウィンドウからエクスポートするエンドポイントのリストに適用するフィルタを定義します。すべてのエンドポイントの詳細をエクスポートするには、[Scope] エリアで値を選択しないでください。[Next] をクリックします。

  6. [Select File Type] ウィンドウの [Client Details] エリアで、選択したパラメータを確認できます。関連するフィールドの横にあるチェックボックスをオンまたはオフにして、エクスポートする情報を編集します。[Next] をクリックします。

  7. [Schedule Report] ウィンドウで、[Run Now]、[Run Later] ([One-Time] または [Run Recurring])のオプションボタンをクリックします。[Run Later] の [One-Time] および [Run Recurring] オプションには、エクスポートの時間を定義するスケジューリングフィールドが表示されます。[Next] をクリックします。

  8. [Delivery and Notification] ウィンドウでは、[Email Report] チェックボックスをオンにしないでください。[Next] をクリックします。

  9. [Summary] ウィンドウで、このワークフローで選択したすべての設定を確認します。設定を編集するには、対応する [Edit] オプションをクリックします。[Next] をクリックします。

  10. ワークフローの最後のウィンドウで、レポートが生成されていることが通知されます。生成されたレポートのリストを表示するには、このウィンドウの [View Reports] リンクをクリックします。レポートが生成され、このウィンドウに表示されるまでに数分かかります。

エンドポイントのフィルタ処理

フィルタオプションを使用すると、一連のエンドポイントを表示してアクションを実行できます。これらのエンドポイントは、プロファイリングデータ、プライマリ プロファイリング ラベル、既知のプロファイル、および正常性ステータスに基づいてフィルタ処理できます。

エンドポイントをフィルタ処理するには、次の手順を実行します。

  1. [Endpoint Inventory] ウィンドウで、[Filter] をクリックします。

  2. 次の各ドロップダウンリストから、値を選択します。

    • Mac Address

    • エンドポイント タイプ

    • ハードウェア モデル

    • ハードウェア製造元

    • OS Type

    • 登録ステータス(Registration status)

  3. [Apply] をクリックします。

また、4 つのプライマリ プロファイリング ラベルで表示されるプロファイリング済みのエンドポイントをフィルタ処理することもできます。[View Known Profiles] セクションで 1 つ以上のラベルをクリックします。

エンドポイントの正常性ステータスは 5 分ごとに更新されます。次の [In Network] オプションのいずれかをクリックして、正常性ステータスに基づいてエンドポイントをフィルタ処理できます。

  • [All]:正常性ステータスに関係なく、ネットワーク内のすべてのエンドポイントが表示されます。

  • [Active]:ネットワークでアクティブなエンドポイントのみが表示されます。

  • [Inactive]:ネットワークでアクティブでなくなったエンドポイントのみが表示されます。

属性用語集

属性用語集は、Cisco ISE プローブデータから使用可能なすべてのプロファイリング属性のリストです。

すべてのプロファイリング属性を表示するには、次の手順を実行します。

  1. [Endpoint Inventory] ウィンドウで、エンドポイントの MAC アドレスをクリックします。

  2. 右側に表示される新しい領域で、[View Attribute Glossary] をクリックします。

[Attribute Glossary] ウィンドウに、属性ごとに次の情報が表示されます。

  • キープロファイリング属性

  • 説明

  • 関連付けられたプロファイルラベル

  • [Source]

  • Dictionary

  • ディスカバリの方法

用語集では、すべてのプロファイリング属性の詳細ビューが表示されます。プロファイリング属性がプロファイルラベルの作成に頻繁に使用される場合は、そのラベルが [Associated Profile Labels] 列に一覧表示されます。

また、ルールの論理条件の作成中に、[Choose Attribute Condition] ウィンドウに属性用語集を表示することもできます。詳細については、「カスタムルールの作成」を参照してください。

エンドポイントの登録

新しいエンドポイントをオンボードおよびプロファイリングするには、そのエンドポイントを Cisco AI エンドポイント分析に登録します。エンドポイントのプロファイリング情報は、分類のための信頼できる情報源です。また、[Register Endpoint] オプションを使用して、登録済みのエンドポイントの新しいプロファイル情報を更新することもできます。

手順

ステップ 1

[Actions] > [Register Endpoints] の順に選択します。

ステップ 2

[Single] または [Bulk] のいずれかのオプションボタンをクリックして、単一のエンドポイントまたは複数のエンドポイントを登録するかどうかを選択します。

オプション

手順

シングル

[MAC Address]、[Endpoint Type]、[Hardware Model]、および [Hardware Manufacturer] にエンドポイントの値を入力します。

バルク(Bulk)

  1. [Download .csv Template] オプションをクリックして、.csv テンプレートをダウンロードします。

  2. ダウンロードした .csv ファイルに、登録する必要がある各エンドポイントの詳細を入力します。具体的には、MAC アドレス、エンドポイントタイプ、ハードウェアモデル、およびハードウェア製造元です。このファイルを保存します。

  3. [Choose a File] オプションを使用して .csv ファイルをアップロードします。

[Bulk] オプションを使用すると、一度に最大 500 個のエンドポイントを登録できます。

ステップ 3

[Next] をクリックします。

ステップ 4

[Review Endpoint] ウィンドウでエンドポイントの詳細を確認します。変更が必要な場合は、エンドポイントの詳細を編集することもできます。

(注)  

 

既存のエンドポイントの登録中は、エンドポイントのプロファイルラベルの変更が紫色で反映され、編集できます。

ステップ 5

[Next] をクリックして、登録プロセスを続行します。

ステップ 6

[登録(Register)] をクリックします。

登録済みのエンドポイントの編集

登録済みのエンドポイントのプロファイリング情報は、[Endpoint Inventory] ウィンドウから更新できます。

手順

ステップ 1

編集するエンドポイントの MAC アドレスの横にあるチェックボックスをオンにします。

ステップ 2

[Actions] をクリックします。

ステップ 3

[Edit Endpoint] をクリックします。

ステップ 4

[Endpoint Type]、[Hardware Model]、[Hardware Manufacturer] に詳細を入力します。

ステップ 5

[Save] をクリックします。

登録済みのエンドポイントの削除

登録済みのエンドポイントがネットワークの一部ではなくなった場合は、Cisco AI エンドポイント分析から削除できます。

手順

ステップ 1

削除するエンドポイントの MAC アドレスの横にあるチェックボックスをオンにします。

ステップ 2

[Actions] をクリックします。

ステップ 3

[Delete Endpoint] をクリックします。

次のメッセージが表示されます。

「Do you really want to delete the selected endpoint(s)?」

ステップ 4

[Yes] をクリックして、Cisco AI エンドポイント分析からエンドポイントを完全に削除します。

エンドポイントの信頼スコア

Cisco AI エンドポイント分析は、エンドポイントに信頼スコアを割り当てます。これにより、ネットワーク内の潜在的に危険なエンドポイントを簡単にモニタして対処することができます。異常な動作がモニタおよび追跡され、追跡された異常の数と頻度に基づいて信頼スコアが割り当てられます。

信頼スコアの計算に含める必要があるソースを選択するには、Cisco AI エンドポイント分析の [Overview] ウィンドウで、[Configuration] > [Enable Trust Sources] を選択します。有効にする各ソースのトグルボタンをクリックします。

Cisco AI エンドポイント分析は、次の要因に基づいて履歴信頼スコアを生成します。

  • エンドポイントに関連付けられた異常の履歴(このエンドポイントに関して検出された異常の数)。

  • エンドポイントで検出された各異常の重大度。

Cisco DNA Center リリース 2.2.3 以降では、検出された異常ごとに、次の異常およびスコアにおけるエンドポイント要因の全体的な信頼スコア計算が表示されます(対応するソースが有効になっている場合)。

  • AI スプーフィング検出

    Cisco AI エンドポイント分析は、NetFlow テレメトリデータ、および Cisco ISE デバイスと SD-AVC デバイスからのネットワークプローブデータを分析して、スプーフィングされたエンドポイントを検出します。各エンドポイントタイプには、機械学習アルゴリズムを使用して開発された動作モデルがあります。エンドポイントの動作がエンドポイント タイプ プロファイルで予期されていない動作の場合、エンドポイントには信頼スコアが割り当てられ、スプーフィングされたエンドポイントとしてリストされます。エンドポイントで使用されるアプリケーションおよびサーバーポートは、このスプーフィング検出プロセスで分析されます。たとえば、プリンタとしてプロファイリングされたエンドポイントがビデオ通話アプリケーションを使用する場合、スプーフィングされたエンドポイントとして識別され、信頼スコアが割り当てられます。

  • 変化したプロファイルラベル

    デバイスがネットワークに参加し、デバイスがアクティブであるときに定期的にプローブを実行すると、エンドポイントのプロファイリングデータが継続的にモニタされ、更新されます。エンドポイントから受信したプロファイリングデータにおける特定の変化は、Cisco AI エンドポイント分析で異常としてフラグが付けられます。たとえば、エンドポイントが最初に Linux デバイスとしてプロファイルされ、その後で macOS デバイスとしてプロファイルされた場合、これは重大度の高い異常としてフラグが付けられます。エンドポイントの [Changed Profile Label] 列にスコアが割り当てられ、エンドポイントの全体的な信頼スコアもこの変化を反映して更新されます。

    ただし、macOS のサブバージョンに変化があり、エンドポイントが新しいリリースから古いリリースにダウングレードされたように見える場合、そのような変化は優先順位の低い異常としてフラグが付けられ、対応するスコアがそれに応じて更新されます。

  • NAT モード検出

    ネットワーク内に NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の Cisco Catalyst 9000 シリーズ デバイスから収集されます。

  • 同時 MAC アドレス

    同じ MAC アドレスを共有し、Cisco Catalyst 9000シリーズ デバイスに接続されているエンドポイントを特定してください。共有 MAC アドレスを持つエンドポイントには、同時 MAC アドレススコアが割り当てられます。これにより、容易に、それらのエンドポイントを識別して詳細情報を調べることができます。

エンドポイントの信頼スコアは、Cisco ISE から収集される次のイベントによっても通知されます。Cisco ISE を介して認証するすべてのエンドポイントは、次のイベントに基づいて初期信頼スコアを受け取ります。

  • 認証方式

  • ポスチャ


(注)  

Cisco Catalyst 9000 シリーズ デバイスからデータを受信する信頼スコアソースの場合、デバイスで CBAR を有効にし、デバイスを Cisco IOS-XE リリース 17.6 以降にアップグレードする必要があります。

[Endpoint Inventory] ウィンドウに表示される信頼スコアは、エンドポイントの異常の履歴とシビラティ(重大度)を考慮した全体的な信頼スコアです。[MAC Address] をクリックすると、エンドポイントに割り当てられた信頼スコアの原因の詳細情報が表示されます。たとえば、エンドポイントに関して低レベルの異常が検出され、これが異常の唯一のインスタンスである場合、異常イベントの実際の信頼スコアが 7 であっても、エンドポイントの全体的な信頼スコアは 9 になります。

複数の低レベルの異常が検出された場合は、異常の数を考慮して全体的な信頼スコアがさらに低下します。

割り当てられる信頼スコアの範囲は 1 〜 10 で、次のように分類されます。

信頼スコアカテゴリ

範囲

エンドポイントの脅威レベル

1 ~ 3

中規模

4 ~ 6

中程度

7 ~ 10

その後、Cisco ISE から適応型ネットワーク制御(ANC)ポリシーを適用して、エンドポイントで適切な修復アクションを実施することができます。Cisco ISE の管理者ガイドで「Maintain and Monitor」の章にある「Adaptive Network Control」を参照してください。

ANC ポリシーは、Cisco ISE で定義され、選択したエンドポイントに修復アクションを適用することを可能にします。ANC ポリシーを適用して、エンドポイントを隔離またはシャットダウンしたり、エンドポイントのポートをバウンスしたり、エンドポイントの再認証を強制的に実行することができます。Cisco AI エンドポイント分析で、望ましくない信頼スコアを持つエンドポイントに ANC ポリシーを適用すると、認可変更(CoA)が Cisco ISE からそのエンドポイントに送信されます。

エンドポイントは、MAC アドレスによって識別されます。Cisco ISE は、ANC 適用時点で識別された MAC アドレスに関してアクティブセッションを保持しているエンドポイントに CoA を送信します。その時点で Cisco ISE においてアクティブセッションを持たない、同じ MAC アドレスのエンドポイントは、新しいセッションが開始されたときに、または設定された再認証タイマーの終了時に再認証する必要がある場合に、ANC ポリシーと照合されます。

ANC ポリシーが適用されているエンドポイントを確認するには、Cisco ISE 管理ポータルにログインします。メインメニューから、[Operations] > [RADIUS] > [Live Sessions] の順に選択します。[Endpoint ID] 列に、スプーフィングされたエンドポイントの MAC アドレスを入力します。これにより、同じ MAC アドレスを共有し、現在 Cisco ISE でライブセッションを持つエンドポイントがフィルタ処理されます。これらが、ANC ポリシーの影響を受けるエンドポイントです。

Cisco ISE で RADIUS セッションの履歴ログを表示するには、メインメニューから、[Operations] > [Reports] > [Reports] > [Endpoints and Users] > [RADIUS Authentications] の順に選択します。

Cisco ISE でエンドポイントへの ANC ポリシーの適用を表示または変更するには、メインメニューから、[Context Visibility] > [Endpoints] の順に選択します。必要に応じて、エンドポイントの MAC アドレスの横にあるチェックボックスをオンにして、リストの上部に表示されるオプションをクリックしてください。

前提条件

エンドポイントの信頼スコアを受信するための前提条件:

  • Cisco DNA Center がリリース 2.2.2 以降にアップグレードされている。

  • Cisco ISE がオンプレミスの Cisco DNA Center に接続されている。

  • ネットワーク アクセス デバイスが、Cisco DNA Assurance と Cisco ISE の両方で管理されている。


    (注)  

    Cisco DNA Assurance では 500 台の NetFlow エクスポータのみサポートされるため、エンドポイント スプーフィング検出機能は、NetFlow エクスポートフローで最大 500 台のネットワーク アクセス デバイスをサポートします。

  • ネットワーク アクセス デバイスに接続されているエンドポイントが、Cisco ISE を介して認証されている。

  • [Trust Score Sources] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Configurations] > [Trust Score Sources])で、信頼スコアの計算に必要なソースが有効になっている。

変化したプロファイルラベル

Cisco AI エンドポイント分析では、エンドポイントの正確なプロファイルラベルを取得するために、さまざまなソースから複数のプローブのデータが継続的に収集されます。Cisco AI エンドポイント分析では、次のソースから、次のデータが収集されます。

Cisco ISE から:

  • RADIUS プローブ

  • ディレクトリからのユーザーの詳細情報

  • VPN の詳細情報(AnyConnect の可用性などの)

  • オプションで、ポートフォワーディングが設定されている場合のその他のデータ(DHCP の詳細情報など)

スイッチから:

  • デバイス接続メッセージ(DHCP メッセージや NetBIOS メッセージなど)

  • ディープ パケット インスペクション

  • スイッチテレメトリ

Cisco AI エンドポイント分析では、これらのソースから受信した情報に基づいてシステムルールが作成されます。デバイスがネットワークに参加し、デバイスがアクティブであるときに定期的にプローブを実行すると、エンドポイントのプロファイリングデータが継続的にモニタされ、更新されます。

エンドポイントから受信したプロファイリングデータにおける特定の変化は、Cisco AI エンドポイント分析で異常としてフラグが付けられます。たとえば、エンドポイントが最初に Linux デバイスとしてプロファイルされ、その後で macOS デバイスとしてプロファイルされた場合、これは重大度の高い異常としてフラグが付けられます。エンドポイントの [Changed Profile Label] 列にスコアが割り当てられ、エンドポイントの全体的な信頼スコアもこの変化を反映して更新されます。

ただし、macOS のサブバージョンに変化があり、エンドポイントが新しいリリースから古いリリースにダウングレードされたように見える場合、そのような変化は優先順位の低い異常としてフラグが付けられ、対応するスコアがそれに応じて更新されます。

[Endpoint Inventory] ウィンドウで、[Changed Profile Label] スコアを持つエンドポイントの MAC アドレスをクリックすると、記録されたプロファイリングデータの変化を確認できます。ここにはエンドポイントの新旧のプロファイルが表示されます。プロファイリングの変化が何らかの理由で問題ないと判断できる場合、または検出されたプロファイリングの変化に誤りがあると思われる場合は、エンドポイントの詳細情報の [Changed Profile Label] エリアで対応するボタンをクリックして、スコアをリセットします。

エンドポイントの詳細情報の [Changed Profile Label] エリアにあるトグルボタンをクリックすることにより、特定のエンドポイントに関して「変化したプロファイルラベル」の検出を無効にすることもできます。

影響を受けるエンドポイントが Cisco ISE に接続されている場合は、この異常に関するデータが Cisco ISE に送信されます。このデータは、Cisco ISE 管理者がポリシーを定義するために簡単に使用できるエンドポイント分析ディクショナリ属性として使用できます。

変化したプロファイルラベルの検出は、カスタムルールが適用されているエンドポイントには使用できません。

NAT モード検出

ネットワークアドレス変換(NAT)は、登録されていない IP アドレスを使用してインターネットへ接続するプライベート IP インターネットワークを可能にします。NAT は、ネットワーク全体で 1 つだけのアドレスを外部にアドバタイズするように設定できます。ネットワーク内に NAT 対応ルータがある場合、NAT ルータに接続されたエンドポイントは、特定のエンドポイントの IP アドレスまたは MAC アドレスではなくルータの IP アドレスまたは MAC アドレスによって認識されます。NAT 対応ルータに関する情報は、接続先の Cisco Catalyst 9000 シリーズ デバイスから収集されます。

NAC 対応ルータとして機能するデバイスは、不正なエンドポイントをネットワークに接続させる可能性があるため、NAT 検出が信頼スコアの計算に含まれます。NAT モード検出スコアが割り当てられているエンドポイントの場合は、[Endpoint Inventory] タブで MAC アドレスをクリックすると、スライドインウィンドウにエンドポイントの詳細情報が表示されます。エンドポイントのアイデンティティがネットワーク内の NAT 対応ルータに対応していることが確実な場合は、次の手順を実行します。

  1. 詳細情報のスライドインウィンドウの [Trust Score] タブで、[NAT Mode Detection] をクリックします。

  2. トグルボタンをクリックして、この特定エンドポイントの NAT 検出を無効にします。

Cisco Catalyst 9000 シリーズ デバイスに接続された同時 MAC アドレスを持つエンドポイント

同じ MAC アドレスを共有し、Cisco Catalyst 9000 シリーズ デバイスに接続されているエンドポイントを特定してください。同時 MAC アドレスを持つエンドポイントの問題は、有線環境と、有線展開およびワイヤレス展開を含むハイブリッド環境で発生します。ワイヤレス環境では、常時、特定の MAC アドレスを持つエンドポイントは 1 つしかネットワークにアクセスできないため、同時 MAC アドレスは発生しません。

Cisco AI エンドポイント分析では、同時 MAC アドレススコアをエンドポイントに割り当てることにより、同時 MAC アドレスを持つエンドポイントを特定することができます。ネットワーク内で共有 MAC アドレスを持つエンドポイントを検出するには、接続されている Cisco Catalyst 9000 シリーズ デバイスで CBAR を有効にする必要があります。

同じ MAC アドレスを持つデバイスが Cisco Catalyst 9000 シリーズ デバイスに接続すると、それらのエンドポイントは同時エンドポイントとして認識され、その MAC アドレスに低いスコアが割り当てられます。同時 MAC アドレスを持つエンドポイントは、次のデバイスに接続できます。

  • 異なる VLAN から同じ Cisco Catalyst 9000 シリーズ デバイス

  • 異なる Cisco Catalyst 9000 シリーズ デバイス

表 1. 同時 MAC アドレスの問題が発生する環境

展開 1

展開 2

ネットワークで同時 MAC アドレスが発生するか

この環境での同時 MAC アドレス検出のサポート

有線

有線

対応

対応

有線

ワイヤレス

対応

対応

ワイヤレス

有線

対応

対応

ワイヤレス

ワイヤレス

非対応

非対応

Cisco DNA Center リリース 2.2.3 以降では、[Endpoint Inventory] タブの [Trust Scores] ビューに [Concurrent MAC Address] 列があります。共有 MAC アドレスは異常として検出され、[Concurrent MAC Address] 列に低いスコアが割り当てられます。[MAC Address] をクリックすると、スライドインウィンドウが表示され、その MAC アドレスの詳細情報が示されます。[Concurrent MAC Address] をクリックすると、フィールドが展開され、MAC アドレスのさまざまな送信元に関する情報が表示されます。

[Concurrent MAC Address] エリアの [Network Device Name] 列には、エンドポイントが接続されている Cisco Catalyst 9000 シリーズ デバイスの名前が表示されます。[Interface] 列と [VLAN] 列には対応する値が表示され、エンドポイントがネットワークにどのように接続されているのかを特定するために役立ちます。

Cisco ISE からのポスチャおよび認証値を使用した初期信頼スコアアセスメント

エンドポイントが Cisco ISE を介して認証されると、認証およびポスチャの詳細情報に基づいて、エンドポイントに信頼スコアがただちに割り当てられます。認証方式スコアはデフォルトで割り当てられ、このスコアを無効にすることも、このスコアに対処することもできません。[Configurations] ウィンドウからグローバルレベルで、または [Endpoint Inventory] タブで特定のエンドポイントについて、ポスチャベースのスコアを有効または無効にすることができます。認証方式およびポスチャ値に基づいて割り当てられた信頼スコアが、エンドポイントの初期信頼スコアになります。

その後、このエンドポイントで検出されたその他の異常な動作は、この初期信頼スコアに影響を与え、異常の重大度と数に基づいて信頼スコアを低下させます。

[Endpoint Inventory] タブのエンドポイントの詳細情報に表示される認証方式スコアは、使用される認証方式の認識されたセキュリティレベルに基づいています。たとえば、「HTTPS を介した Web 認証」、「証明書ベースの認証」、「セキュアトンネルを使用した認証」などは、高い信頼スコアを得ます。

ポスチャスコアは、接続エンドポイントがポスチャに準拠しているかどうかに基づきます。

エンドポイントの信頼スコアが認証方式スコアのみで構成されている場合、[Reset Trust Score] ボタンは非アクティブになります。認証方式以外の信頼スコアソースにスコアが表示されている場合は、リセットオプションを使用できます。

ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコア

プライバシー対策として、モバイルデバイスでは接続先の SSID ごとにランダムおよび変更 MAC アドレスを使用することが増えています。一部のデスクトップ オペレーティング システムは、ユーザーが定期的に MAC アドレスをランダム化する機能も提供しています。つまり、エンドポイントは、異なる SSID に接続するたびに異なる MAC アドレスを提示します。

Cisco AI エンドポイント分析を使用すると、Cisco ISE から「DUID」と呼ばれる(Cisco ISE では「GUID」とも呼ばれます)一意のエンドポイント識別子を受信することにより、ランダムおよび変更 MAC アドレスの問題を処理できます。Cisco AI エンドポイント分析は、MAC アドレスの代わりに、エンドポイントの識別子として DUID を使用します。Cisco ISE での GUID の割り当て方法の詳細については、Cisco ISE の管理者ガイド(リリース 3.1)を参照してください。

Cisco AI エンドポイント分析の [Overview] ウィンドウの [Endpoint MAC Randomization] ダッシュレットには、ネットワーク内のランダムおよび変更 MAC アドレスを使用しているエンドポイントの数がグラフィカルに表示されます。

Cisco ISE に接続され、DUID 情報を使用可能なエンドポイントの場合、この情報は Cisco AI エンドポイント分析にも表示されます。次の列には、Cisco AI エンドポイント分析の [Endpoint Inventory] ウィンドウで必要になる情報が表示されます。

  • [DUID]:エンドポイントの DUID 値。

  • [Previous MAC Addresses]:エンドポイントが以前にネットワークへの接続に使用していたランダムおよび変更 MAC アドレス。

DUID 値を使用することで、Cisco AI エンドポイント分析では、エンドポイントを確実に識別し、エンドポイントが以前に使用していたさまざまな MAC アドレスを追跡することが可能になっています。これは、ランダムおよび変更 MAC アドレスを持つエンドポイントの信頼スコアも高精度であることを意味します。以前の MAC アドレスでのエンドポイントの信頼スコアは、エンドポイントが提示している現在の MAC アドレスに引き継がれ、同じエンドポイントに関して受信されたプローブデータの影響を受け続けます。

デバイスで [Private Address] 設定が有効になっている場合、このデバイスの [Is MAC Random] 列に [Yes] という値が表示されます。つまり、このデバイスは、ランダムおよび変更 MAC アドレスとして認識されます。ただし、このデバイスに関して DUID 値を使用できるかどうかは、エンドポイントが Cisco ISE を介して認証されているかどうかと、Cisco ISE でこのエンドポイントの GUID が生成されているかどうかに依存します。

エンドポイントの信頼スコアの表示と管理

図 1. [Cisco AI Endpoint Analytics Overview] タブの [Trust Score] ダッシュレット

Cisco DNA Center をリリース 2.2.3 にアップグレードし、必要な信頼スコアのソースを有効にすると、Cisco AI エンドポイント分析の [Overview] タブ(メインメニュー > [Policy] > [AI Endpoint Analytics])に [Trust Scores] ダッシュレットが表示されます。このダッシュレットには、次の情報が含まれます。

  • 信頼スコアが割り当てられているエンドポイントの総数。

  • 信頼スコアが低、中、および高のエンドポイントの数に関するドーナツグラフおよびリスト。

信頼スコアカテゴリのエンドポイントの詳細を表示するには、[Trust Scores] ダッシュレットでエンドポイント数をクリックします。[Endpoint Inventory] タブの [Trust Score] ビューが、適切なフィルタが適用されて表示されます。

[Endpoint Inventory] タブでは、次の 2 つの方法で信頼スコアを持つエンドポイントを表示できます。

  • [Focus:] ドロップダウンリストをクリックし、[Trust Score] を選択すると、信頼スコアが割り当てられているすべてのエンドポイントが表示されます。

  • 表示される警告メッセージの [View endpoints in Trust Score View] をクリックすると、低スコアと中スコアのエンドポイントが表示されます。

信頼スコアのあるエンドポイントでは、次のアクションを実行できます。

  • ANC ポリシーの適用

    [Apply ANC Policy] ボタンをクリックして、エンドポイントに適用する ANC ポリシーを選択します。ネットワークへのエンドポイントのアクセスは、ポリシーに応じて変更されます。ANC ポリシーは Cisco ISE からインポートされ、表示されるポップアップウィンドウのドロップダウンリストに表示されます。

  • ANC ポリシーの置換

    [Change ANC Policy] ボタンをクリックして、エンドポイントの既存の ANC ポリシーを別の ANC ポリシーに置き換えます。表示されるポップアップウィンドウで、[Change ANC Policy] ドロップダウンリストから適用する新しいポリシーを選択します。

  • ANC ポリシーの削除

    適用された ANC ポリシーをエンドポイントから削除するには、[Remove ANC Policy] ボタンをクリックします。表示されるポップアップウィンドウで、[Remove] をクリックします。これにより、エンドポイントに適用された修復ポリシーが削除され、エンドポイントがネットワークに正常に接続できるようになります。

  • 信頼スコアのリセット

    図 2. ANC ポリシーを使用しないエンドポイントの信頼スコアのリセット
    図 3. ANC ポリシーを使用したエンドポイントの信頼スコアのリセット

    信頼スコアインベントリからエンドポイントを削除するには、[Reset Trust Score] ボタンをクリックします。表示されるポップアップウィンドウで、[Reset] をクリックします。

    ANC ポリシーの適用後にエンドポイントに対してこのオプションを選択した場合、このエンドポイントは信頼スコアインベントリに再度表示されません。この場合、このようなエンドポイントの ANC ポリシーを変更するには、Cisco ISE からポリシーを削除する必要があります。

    ANC ポリシーを適用せずにエンドポイントのスコアをリセットした場合、信頼スコアデータの次回の自動更新時に、エンドポイントが信頼スコアインベントリに再度表示されることがあります。

各アクションのボタンは、[Endpoint Inventory] タブの 2 つの場所に表示されます。アクションは、単一のエンドポイントまたは複数のエンドポイントで実行できます。

  • 単一エンドポイントの信頼スコアの管理

    図 4. ANC ポリシーを使用しないエンドポイントの信頼スコアオプション
    図 5. ANC ポリシーを使用したエンドポイントの信頼スコアオプション

    信頼スコアのあるエンドポイントのリストから、管理するエンドポイントの MAC アドレスをクリックします。表示されるエンドポイントの詳細ペインで、[Trust Score] タブをクリックします。

    ここには、[Expected Endpoint Type] と [Likely Endpoint Type] の値が表示されます。[Applications Used] フィールドには、エンドポイントで使用されているアプリケーションのうち、予想されるエンドポイントタイプではないアプリケーションがリストされます。

    このペインには、ANC ポリシーの受け入れと削除のワークフローを開始し、信頼スコアをリセットするためのボタンがあります。目的のタスクのボタンをクリックします。

    または、[Endpoint Inventory] ウィンドウで個々のエンドポイントのチェックボックスをオンにし、[Actions] をクリックして、ドロップダウンリストから必要なオプションを選択します。

  • 複数のエンドポイントの信頼スコアの管理

    [Endpoint Inventory] タブで、特定のアクションを実行する必要があるすべてのエンドポイントのチェックボックスをオンにします。[Actions] をクリックし、ドロップダウンリストから必要なアクションを選択します。

プロファイリングルール

Cisco AI エンドポイント分析のプロファイリングルールを使用すると、共通の属性を組み合わせてエンドポイントをグループ化できます。これらの属性により、エンドポイントタイプ、OS タイプ、ハードウェアモデル、およびハードウェア製造元でエンドポイントを識別できます。プロファイリングルールを使用すると、多くのエンドポイントを簡単に管理できます。

Cisco AI エンドポイント分析は、DPI、メディアプロトコル、医療業界のプロトコルなどを介してネットワークデバイスからプロファイリングデータを受信します。Cisco ISE からのプロファイリングデータは、pxGrid を介して通信されます。これらのプロファイリング属性をデバイスディクショナリで使用してプロファイルルールを作成できます。

プロファイリングルールは、Cisco AI エンドポイント分析の [Profiling Rules] タブで確認できます。このタブの下に表示されるテーブルで、[Rule Name] エントリをクリックすると、割り当てられたプロファイルと使用される属性が表示されます。

Cisco AI エンドポイント分析でエンドポイントをプロファイリングするために使用されるプロファイリングルールは次のとおりです。

  • システムルール

  • シスコの規則

  • Cisco AI ルール

ルールの優先順位付け

Cisco AI エンドポイント分析のプロファイリングルールには優先順位があります。プロファイリングルールの実行は、このルールの優先順位に従って、精度の高いエンドポイントをプロファイリングします。

Cisco AI エンドポイント分析ではユーザー入力がプライマリであるため、プロファイリングルールの優先順位は次のようになります。

  • 管理者が作成した静的プロファイル(たとえば、[Register Endpoints] オプションを使用して追加したプロファイル)。

  • 管理者が作成したカスタムルール。

  • デフォルトで使用可能なシスコ提供のシステムルール。

  • 機械学習対応のスマートグループ化ワークフローによって自動生成されたルール。

ルールに設定された優先順位を表示するには、[Profiling Rules] ウィンドウで [Rule priorityitization] をクリックします。

登録済みのエンドポイントは、さまざまなプロファイリングラベルの複数の Cisco AI エンドポイント分析ルールによってプロファイリングできます。次の表に、2 つのエンドポイントに対するプロファイリングルールの設計を示します。

エンドポイント 1

エンドポイント 2

システムルールによってプロファイリングされたハードウェアモデル

Cisco AI ルールによってプロファイリングされた OS タイプ

カスタムルールによってプロファイリングされたハードウェア製造元

システムルールによってプロファイリングされたハードウェアモデル

カスタムルールによってプロファイリングされたハードウェアモデル

Cisco AI ルールによってプロファイリングされたハードウェアモデル

エンドポイント 2 のルール優先順位では、カスタムルールが他のルールよりも優先されます。エンドポイント 2 のハードウェアモデルラベルは、カスタムルールによってプロファイリングされます。

エンドポイント 1 の場合、ルールごとに異なるプロファイルラベルが定義され、それに応じて各ラベルがプロファイリングされます。

プロファイリングルールのフィルタ処理

手順

ステップ 1

[Profiling Rules] ウィンドウで、[Filter] をクリックします。

ステップ 2

[Rule Name] フィールドに、名前を入力します。

ステップ 3

対応するドロップダウンリストからエンドポイント属性の値を選択して、一連のエンドポイントをフィルタ処理します。

ステップ 4

[Apply] をクリックします。

更新されたプロファイリングルールの表示

手順

ステップ 1

[Endpoint Inventory] ウィンドウに移動します。

ステップ 2

エンドポイントの MAC アドレスの横にあるチェックボックスをクリックして、エンドポイントのプロファイリングの詳細を表示します。

ステップ 3

プロファイルラベルの横にある情報アイコンをクリックし、ルール名をクリックして、割り当てられたプロファイルと属性の詳細を表示します。

システムルール

Cisco AI エンドポイント分析には、エンドポイントをプロファイリングするためのシステムルールと呼ばれる事前定義済みのルールが用意されています。Cisco AI エンドポイント分析を導入すると、特定のルールを設定することなく、エンドポイントのゼロデイ可視性を実現できます。

新しくオンボーディングされたエンドポイントは、デフォルトでシステムルールを使用してプロファイリングされます。

ネットワークデバイスは、Cisco DNA Center の [Provision] > [Network Devices] > [Inventory] ウィンドウで管理されます。

これらのネットワークデバイスは、システムルールによってプロファイリングされ、Cisco AI エンドポイント分析の [Endpoint Inventory] ウィンドウには表示されません。ただし、カスタムルールでプロファイリングされたエンドポイントは、カスタムルールがネットワークデバイスを [Device Type] として作成されるため表示できます。

エンドポイント プロファイリング用の自動システムルール更新

Cisco AI エンドポイント分析でエンドポイント プロファイリングに使用されるシステムルールは、プロファイリングの精度を高めるために定期的に更新されます。シスコからのエンドポイント プロファイリング システム ルールの更新を受信するように自動更新をスケジュールします。Cisco DNA Center が設定された時間に更新を受信し、変更内容が Cisco AI エンドポイント分析に適用されます。[Profiling Rules] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Profiling Rules])で、エンドポイントプロファイルの変更の詳細を確認し、システムルールの更新を承認または拒否します。

承認されたシステムルールの更新によってエンドポイントのハードウェアモデルの値が変更された場合、[Endpoint Inventory] タブでエンドポイントの詳細を表示すると、[Hardware Model] フィールドにシステムルールの更新の名前があります。

始める前に

NBAR クラウドを設定し、有効にします。「NBAR クラウドコネクタの設定」を参照してください。

NBAR クラウドのステータスを確認するには、[Policy] > [AI Endpoint Analytics] > [Overview] の順に選択し、[Configuration] をクリックします。

手順

ステップ 1

メインメニューから、[System] > [Settings] > [Cisco Accounts] > [Profile Rule Settings] の順に選択します。

[Schedule Automatic Updates] エリアの [Enabled] トグルボタンは、デフォルトでアクティブに設定されています。

ステップ 2

更新をスケジュールする曜日のボタンをクリックします。複数の日を選択できます。次に、[Time Slot] テキストフィールドを使用して、更新の時間を選択します。Cisco DNA Center によって更新が受信されるまでに 30 分かかります。2 番目のタイムスロット領域は編集できず、スケジュールされた更新が完了すると予想される時間が表示されます。

ステップ 3

Cisco DNA Center がシステムルールの更新を受信すると、[Profiling Rules] ウィンドウ([Policy] > [AI Endpoint Analytics] > [Profiling Rules])に通知が表示されます。ダイアログボックスで [Expand] をクリックすると、次の通知が表示されます。

最新バージョン(最新バージョンの名前)に更新され、最近のシスコ プロファイリング ルールによって一部のエンドポイントのプロファイルが変更されています。更新を確認します。

[Review Update] をクリックします。

ステップ 4

[Endpoint Profile Update Review] ダイアログボックスが表示されます。このダイアログボックスには、現在適用されている安定版の更新、受信した最新の更新などの情報が表示されます。また、クリックして、関連するエンドポイントプロファイルの更新を表示できる次のセクションも含まれています。

  1. [Major Updates]:Linux エンドポイントとして現在記録されている Windows エンドポイントなど、プロファイルに大きな変更があったエンドポイントが一覧表示されます。

  2. [Minor Updates]:Windows OS の更新バージョンなど、プロファイルにマイナーな変更があったエンドポイントが一覧表示されます。

  3. [Newly Profiled]:以前にプロファイル解除され、現在プロファイル情報が割り当てられているエンドポイントが一覧表示されます。

ステップ 5

エンドポイントプロファイルの変更を確認した後、プロファイルの更新を受け入れるには、[Endpoint Profile Update Review] ダイアログボックスで [Mark As Approved Version] をクリックします。エンドポイントプロファイルの変更に同意しない場合は、[Rollback] をクリックします。

ロールバックを選択する場合、対応するオプションをクリックして、最後の実行バージョンにロールバックするか、最後に承認されたバージョンにロールバックするかを選択する必要があります。

また、[AI Endpoint Analytics] > [Overview] > [Configuration] ウィンドウから、承認およびロールバックアクションを実行することもできます。

ステップ 6

[x] をクリックして、ダイアログボックスを閉じます。

シスコの規則

システムルールのほかに、エンドポイント属性を組み合わせて、エンドポイントをプロファイリングするためのカスタムルールを作成することもできます。カスタムルールは、Cisco AI エンドポイント分析の他のエンドポイント プロファイリング ルールよりも優先されます。

プロファイリングルールの論理と条件

[Endpoint Inventory] ウィンドウでカスタム プロファイリング ルールを作成できます。カスタム プロファイリング ルールを作成するには、エンドポイントの属性と値に基づいて論理条件を作成する必要があります。これらの属性は、ネットワークプローブデータから収集され、[Attribute Glossary] ウィンドウで使用できる分類属性とは異なります。

値は、エンドポイントグループを一意に識別するユーザー入力です。次の演算子を使用して、属性と値から正規表現が作成されます。

演算子 説明

次の文字列を含む

属性は、選択した値を持ちます。

イコール

属性は、選択した値に厳密にマッピングされます。

一致する

属性は、選択した値の正規表現パターンと一致する必要があります。

Starts With

属性は、選択した値で始まる必要があります。

(注)  

Contains、Equals、および Starts With は、大文字と小文字を区別する演算子です。大文字と小文字を区別しない値の場合は、Matches 演算子を使用します。

論理([AND] および [OR])によってこれらの条件をさらに組み合わせて、ネストされたルールを作成できます。

論理条件の作成と編集

論理条件を作成するには、次の手順に従います。

手順

ステップ 1

[Choose Attribute Conditions] ウィンドウで、更新する [Attribute] の横にあるチェックボックスをオンにします。

ステップ 2

[Operator] ドロップダウンリストからオプションを選択します。

ステップ 3

[Value] フィールドに値を入力します。

ステップ 4

[Next] をクリックします。

ステップ 5

表示される [Add Logic to Conditions] ウィンドウで、条件間の [AND] ロジックまたは [OR] ロジックをドラッグアンドドロップして、カスタムルールの条件の論理シーケンスを作成します。

(注)  

 

条件の横にある垂直省略記号を使用して、[Add Logical Conditions] ウィンドウで属性条件を追加または編集することもできます。

ステップ 6

[Next] をクリックします。

カスタムルールの作成

手順

ステップ 1

[Endpoint Inventory] ウィンドウで、プロファイリングするエンドポイントの MAC アドレスの横にあるチェックボックスをオンにします。

ステップ 2

[Actions] をクリックし、[Profile with Custom Rules] を選択します。

ステップ 3

表示される [Name Rule and Type] ウィンドウの [Rule Name] フィールドにルールの名前を入力し、[Profile Label] ドロップダウンリストからラベルを選択します。

[Profile Label] ドロップダウンリストから選択した内容に応じて、対応するフィールドが表示され、その名前は動的に更新されます。たとえば、[Endpoint Type] を選択すると、[Endpoint Type] フィールドが表示されます。

ステップ 4

表示される新しいフィールドに値を入力します。情報の入力を開始すると、一致するオプションが表示されます。要件に一致するオプションがあれば、そのオプションを選択します。なければ、タイプ名全体を入力します。

ステップ 5

[Next] をクリックします。

ステップ 6

表示される [Choose Attribute Conditions] ウィンドウで、論理条件を作成します。

詳細については、「論理条件」を参照してください。

ステップ 7

[Review Rule] ウィンドウで、このカスタムルールでプロファイリングされるエンドポイントのリストを確認します。

ステップ 8

[Next] をクリックします。

ステップ 9

[Profiles] をクリックします。

カスタムルールの編集

手順

ステップ 1

[Profiling Rules] ウィンドウで、編集する管理ルールの横にあるチェックボックスをオンにします。

ステップ 2

[Actions] をクリックし、[Edit] を選択します。

ステップ 3

表示される [Edit] ウィンドウの [Rule Name] フィールドにルールの名前を入力し、ルールの作成時に選択した [Profile Label] に基づいてプロファイルの詳細を選択または入力します。

ステップ 4

[Logic and Conditions] セクションで、垂直省略記号をクリックし、[Edit] を選択して、プロファイリングルールの論理と条件を更新します。詳細については、「論理条件」を参照してください。

ステップ 5

[次へ (Next)] をクリックします。

ステップ 6

[適用 (Apply)] をクリックします。

既存のルールが新しいプロファイリングの詳細で更新されると、そのルールでプロファイリングされたエンドポイントが新しいプロファイリングの詳細で更新されます。

カスタムルールの削除

手順

ステップ 1

[Profiling Rules] ウィンドウで、削除するルールの横にあるチェックボックスをオンにします。

ステップ 2

[Actions] をクリックし、[Delete] を選択します。

次のメッセージが表示されます。

「Do you really want to delete the selected Rule(s)?」

ステップ 3

[Yes] をクリックして、Cisco AI エンドポイント分析からルールを完全に削除します。
カスタムルールが削除されると、このルールでプロファイリングされたエンドポイントがシステムルールで更新されます。

DNAC 展開間での API を使用したカスタム プロファイリング ルールのエクスポートとインポート

Cisco DNA Center リリース 2.2.3 には、カスタム プロファイリング ルールのインポート、エクスポート、編集、および削除に使用できる Cisco AI エンドポイント分析 API が含まれています。

Cisco AI エンドポイント分析 API バンドルを有効にするには、次の手順を実行します。

  1. Cisco DNA Center GUI で、[Menu] アイコン()をクリックし、[Platform] > [Manage] > [Bundles] > の順に選択します

  2. [AI Endpoint Analytics] という名前のバンドルを見つけ、[Enable] をクリックします。

  3. [Status] 列の値が [Disabled] から [Active] に更新され、API のリストがこのウィンドウに表示されます。各 API の予期される要求および応答ペイロードを確認することもできます。

  4. AI エンドポイント分析 API バンドルを有効にすると、AI エンドポイント分析 API が Cisco DNA Center の開発者用ツールキットに追加されます。その後、[Developer Toolkit] ウィンドウ([Platform] > [Developer Toolkit])から API にアクセスできます。

[Bundles] ウィンドウと [Developer Toolkit] ウィンドウの両方から、次の操作を実行できます。

  • コードプレビューを生成して、API を実行する別のツールで使用できる API コードを表示します。

  • [Try It] をクリックして、Cisco DNA Center GUI から API を実行します。JSON 応答を受信し、それを任意のテキストエディタにコピーアンドペーストして作業を続行できます。

Cisco AI ルールまたはスマートグループ化

Cisco AI エンドポイント分析は、ML クラウドを使用して、ネットワーク上の不明なエンドポイントを動的にグループ化します。また、不明なエンドポイントのグループにカスタムラベルを割り当てることもできます。クラスタを確認し、示されたプロファイリング提案を承認または拒否できます。

プロファイリング提案を承認すると、選択したエンドポイントをプロファイリングして、今後ネットワークに参加する同様のエンドポイントをプロファイリングするためのプロファイリングルールが自動的に作成されます。

プロファイリングルール提案の変更

[Endpoint Analytics] ホームページの [AI Proposal] ダッシュレットには、スマートグループ化によって生成されたエンドポイントクラスタに基づいてルール提案が表示されます。AI 提案を表示するには、対応する提案タイプの横にある [Review] をクリックし、次の決定表に従って進みます。

プロファイリングルールのインポート

カスタム プロファイリング ルールと Cisco AI ルールを移行するには、.json ファイルをインポートします。

手順

ステップ 1

[Profiling Rule] ウィンドウで、[Actions] をクリックします。

ステップ 2

[Import Profiling Rules] を選択します。

ステップ 3

[Choose a file] をクリックし、システムの .json ファイルを参照します。

ステップ 4

[OK] をクリックします。

プロファイリングルールのエクスポート

Cisco AI エンドポイント分析からカスタムルールおよび Cisco AI プロファイリングルールをエクスポートしてバックアップできます。[Export Profiling Rules] オプションは、使用可能なすべてのカスタムルールと Cisco AI プロファイリングルールをエクスポートします。ルールを選択してエクスポートすることはできません。

手順

ステップ 1

[Profiling Rules] ウィンドウで、[Actions] をクリックします。

ステップ 2

[Export Profiling Rules] を選択します。

ステップ 3

[Yes] をクリックして、すべてのカスタムルールと ML プロファイリングルールをエクスポートします。終了するには、[No] をクリックします。

(注)  

 

同じファイルを Cisco AI エンドポイント分析に再度インポートできます。

階層

Cisco AI エンドポイント分析階層は、エンドポイントタイプに基づいてエンドポイントの論理グループを作成するのに役立ちます。エンドポイントのカテゴリとサブカテゴリを作成すると、エンドポイントの可視性に焦点が当てられ、許可プロセスが簡素化されます。

デフォルトの [All Endpoints] 親カテゴリからカテゴリを作成できます。エンドポイントの総数、エンドポイントタイプ、サブカテゴリなどのカテゴリの詳細が [Hierarchy] ウィンドウの個々のボックス内に表示されます。

カテゴリを作成、編集、および削除して、階層を並べ替えることができます。

カテゴリとサブカテゴリの作成

手順

ステップ 1

[Hierarchy] ウィンドウで、親カテゴリの水平省略記号をクリックします。

ステップ 2

[Create Category] をクリックします。

ステップ 3

カテゴリ名を入力します。

ステップ 4

Enter キーを押します。

次のタスク

カテゴリを作成したら、[Endpoint Type] ウィンドウからエンドポイントタイプをドラッグアンドドロップするか、カテゴリを編集してエンドポイントを追加できます。

カテゴリまたはサブカテゴリの編集

手順

ステップ 1

[Hierarchy] ウィンドウで、カテゴリの水平省略記号をクリックします。

ステップ 2

[Edit] をクリックします。

ステップ 3

表示される [Edit] ウィンドウで、[Category Name] に値を入力します。

ステップ 4

カテゴリを再割り当てする場合は、ドロップダウンメニューから [Parent Category] を入力します。

ステップ 5

[Endpoint Type] タブをクリックします。

ステップ 6

[Actions] をクリックし、[Add Endpoint Type] を選択します。

ステップ 7

[Search Dropdown] リストからエンドポイントタイプを選択します。

ステップ 8

[保存(Save)] をクリックします。

次のタスク

[Endpoint Type] ウィンドウで、[All]、[Available]、および [Assigned] でエンドポイントタイプをフィルタ処理できます。

カテゴリからのエンドポイントタイプの削除

手順

ステップ 1

[Hierarchy] ウィンドウで、削除するカテゴリの水平省略記号をクリックします。

ステップ 2

[Edit] をクリックします。

ステップ 3

[Edit] ウィンドウで、[Endpoint Type] タブをクリックします。

ステップ 4

削除するエンドポイントタイプの横にあるチェックボックスをオンにします。

ステップ 5

[Actions] をクリックし、[Remove From Category] を選択します。

次のメッセージが表示されます。

「Are you sure you want to delete this category?」

ステップ 6

カテゴリからエンドポイントを削除するには、[Yes] をクリックします。終了するには、[No] をクリックします。

カテゴリからのエンドポイントタイプの再割り当て

手順

ステップ 1

[Hierarchy] ウィンドウで、カテゴリの水平省略記号をクリックします。

ステップ 2

[Edit] をクリックします。

ステップ 3

[Edit] ウィンドウで、[Endpoint Type] タブをクリックします。

ステップ 4

再割り当てするエンドポイントタイプの横にあるチェックボックスをオンにします。

ステップ 5

[Actions] をクリックし、[Re-assign to existing category] または [Re-assign to a new category] を選択します。

オプション

手順

既存のカテゴリへの再割り当て

  1. [Reassign] ウィンドウで、[Category] ドロップダウンリストから既存のカテゴリを選択します。

  2. [保存(Save)] をクリックします。

新しいカテゴリへの再割り当て

  1. [Reassign] ウィンドウで、[Category] ドロップダウンリストから [New Category] を選択します。

  2. [Parent Category] ドロップダウンリストから親カテゴリを選択します。

  3. [New Category] フィールドにカテゴリ名を入力します。

  4. [Save(保存)] をクリックします。

カテゴリの削除

始める前に

親カテゴリを削除する前に、そのサブカテゴリを確認します。サブカテゴリを別の既存のカテゴリまたは新しいカテゴリに再割り当てできます。そうしないと、すべてのサブカテゴリが親カテゴリとともに削除されます。カテゴリの削除中にサブカテゴリを再割り当てすることもできます。

手順

ステップ 1

[Hierarchy] ウィンドウで、カテゴリの水平省略記号をクリックします。

ステップ 2

[削除(Delete)] をクリックします。

サブカテゴリが割り当てられているカテゴリを削除する場合には、[Reassign Relationships] ダイアログボックスが表示されます。次のオプションのいずれかを選択します。

オプション

条件

手順

既存のカテゴリへの再割り当て

既存のカテゴリにサブカテゴリを再割り当てします。

  1. [Category] ドロップダウンリストからカテゴリを選択します。

  2. [Reassign] をクリックします。

親カテゴリが削除され、選択したカテゴリにサブカテゴリが再割り当てされます。

新しいカテゴリへの再割り当て

既存のカテゴリにサブカテゴリを再割り当てします。

  1. [Parent Category] ドロップダウンリストからカテゴリを選択します。

  2. [New Category] フィールドにカテゴリ名を入力します。

  3. [Reassign] をクリックします。

親カテゴリが削除され、新しいカテゴリにサブカテゴリが再割り当てされます。

カテゴリからの削除

親カテゴリとともにサブカテゴリを削除します。

[Reassign] をクリックします。

親カテゴリとそのサブカテゴリが削除されます。