ユーザー エージェントによるユーザーの制御

次のトピックでは、ユーザー エージェントによりユーザー認識とユーザー制御を実行する方法について説明します。

ユーザー エージェントのアイデンティティ ソース

Cisco Firepower User Agent は、パッシブ認証方法で、信頼できるアイデンティティ ソース(つまり、信頼された Active Directory サーバーでユーザー情報が提供されます)でもあります。ユーザー エージェントは、Firepower システムと統合されると、ユーザーが Active Directory クレデンシャルでホストにログインする、またはホストからログアウトするときに、そのユーザーをモニターします。ユーザ エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。

ユーザ エージェントは、各ユーザを IP アドレスと関連付けます。これにより、ユーザ条件を使用するアクセス コントロール ルールをトリガーすることができます。1 つのユーザ エージェントを使用して、最大 5 つの Active Directory サーバでユーザ アクティビティをモニタでき、最大 5 つの Firepower Management Center に暗号化データを送信できます。

ユーザー エージェントは失敗したログイン試行を報告しません。

動画 ユーザーエージェントのセットアップに関する YouTube 動画

ユーザー エージェントでの FMC サポートの終了

将来のリリースで、Cisco Firepower ユーザー エージェント(以下、「ユーザー エージェント」と呼びます)との FMC 統合のサポート終了が計画されています。

可能な限り早くユーザーエージェントの使用を停止し、ISE/ISE-PIC の使用に切り替えることを強く推奨します。

ユーザエージェントでは使用できない次の機能を活用できるようになります。

  • バージョン 2016 までの Microsoft Active Directory のサポート

  • 最大 10 の Microsoft Active Directory ドメインコントローラからの認証データの収集

  • Kerberos SPAN をサポートするスイッチからの Active Directory 認証データの収集

  • パッシブ/アクティブ冗長性のサポート

  • ISE-PIC から ISE にアップグレードし、既存の Cisco ISE クラスタに Passive Identity Connector ノードを追加することができます。

  • KVM、VMware、および Hyper-v のサポート

  • 組織に適合するよう、ライセンスに応じて 3,000 および 30 万のセッションをサポートします。

次のいずれかの現在のサポート契約をお持ちの場合、無料の ISE-PIC ライセンスの対象となります。

  • 任意の FMC ハードウェアモデル

  • Virtual FMC v25

  • Virtual FMC v300

先行モデルの場合は、部品番号 L-FMC-ISE-PIC= を要求してください。


(注)  

FMCv2 および FMCv10 を使用してる場合は、標準の ISE-PIC 部品番号を使用する必要があります。

ユーザーエージェントの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

Global

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

ユーザー エージェントのガイドライン

ユーザー エージェントは、以下を含む段階的な設定が必要です。

  • ユーザ エージェントがインストールされている少なくとも 1 台のコンピュータ 。

  • ユーザ エージェントがインストールされたコンピュータまたは Active Directory サーバと Firepower Management Center との間の接続。

  • ユーザ エージェントからユーザ データを受け取る各 Firepower Management Center で設定されたアイデンティティ レルム。

段階的なユーザー エージェントの設定とサーバーの要件の詳細については、『Cisco Firepower ユーザ エージェント コンフィギュレーション ガイド』を参照してください。


(注)  

コンピュータまたは Active Directory サーバーの時間が Firepower Management Center の時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。

Firepower Management Center接続は、ログインとログオフがユーザ エージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。ユーザ エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは Firepower Management Center に報告されません。ユーザー エージェントのデータは、Firepower Management Center のユーザー データベースとユーザー アクティビティ データベースに保存されます。


(注)  

ユーザー エージェントは $ 記号で終わる Active Directory ユーザー名を Firepower Management Centerに送信できません。これらのユーザーをモニターする場合は、最後の $ の文字を削除する必要があります。

複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防ぐ方法の詳細については、『Cisco Firepower ユーザ エージェント コンフィギュレーション ガイド』を参照してください。

ユーザー制御のためのユーザー エージェントの設定

ユーザー エージェントの詳細については、ユーザー エージェントのアイデンティティ ソース を参照してください。

始める前に

手順

ステップ 1

Firepower Management Center にログインします。
ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[アイデンティティの送信元(Identity Sources)] をクリックします。

ステップ 4

[サービス タイプ(Service Type)] に [ユーザー エージェント(User Agent)] をクリックし、ユーザー エージェント接続を有効にします。

(注)   

接続を無効にするには、[なし(None)] をクリックします。

ステップ 5

[新規エージェント(New Agent)] をクリックして新しいエージェントを追加します。

ステップ 6

エージェントをインストールするコンピュータの [ホスト名(Hostname)] または [アドレス(Address)] を入力します。IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用してユーザー エージェントに接続するように Firepower Management Centerを設定することはできません。

ステップ 7

[追加(Add)] をクリックします。

ステップ 8

接続を削除するには、 をクリックして、削除を確認します。

次のタスク

  • Cisco Firepower ユーザ エージェント コンフィギュレーション ガイド の説明に従って、ユーザー エージェントの設定を続けます。

  • アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールを設定します。

  • アイデンティティ ポリシーをアクセス コントロール ポリシーに関連付けます(アクセス制御への他のポリシーの関連付け を参照)。

  • 設定変更の展開の説明に従って、使用するアイデンティティ ポリシーとアクセス コントロール ポリシーを管理対象デバイスに展開します。

ユーザー エージェント アイデンティティ ソースのトラブルシューティング

ユーザエージェント接続に問題が起こった場合は、Cisco Firepower ユーザ エージェント コンフィギュレーション ガイド を確認してください。

このガイドの関連するトラブルシューティング情報については、レルムとユーザーのダウンロードのトラブルシュートユーザー制御のトラブルシューティングを参照してください。

ユーザ エージェントによって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。

  • システムはデータがまだデータベースにないユーザ エージェント ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。ユーザのアクティビティは、システムがユーザのダウンロードでユーザに関する情報の取得に成功するまでルールで処理されず、Web インターフェイスに表示されません。

  • Firepower Management Center のハイ アベイラビリティが設定されており、プライマリが失敗した場合、たとえ以前ユーザーを確認できており、Firepower Management Center にダウンロード済みであっても、フェールオーバーダウンタイム中にユーザーエージェントが報告したすべてのログインが特定不能となります。未確認のユーザは Firepower Management Center には不明なユーザとして記録されます。ダウンタイム後、[不明(Unknown)] ユーザはアイデンティティ ポリシーのルールに従って再び識別され、処理されます。

  • ユーザー エージェントが TS エージェントと同じユーザーをモニターした場合、システムは TS エージェントのデータを優先します。TS エージェントとユーザーエージェントが同じ IP アドレスによる同一のアクティビティを報告した場合は、TS エージェントのデータのみがログに記録されます。

  • Active FTP sessions are displayed as the Unknown user in events. これは正常な処理です。アクティブ FTP では、(クライアントではない)サーバーが接続を開始し、FTP サーバーには関連付けられているユーザー名がないはずだからです。アクティブ FTP の詳細については、RFC 959 を参照してください。

ユーザー エージェントの履歴

機能

バージョン

詳細

ユーザーエージェントが廃止されました

6.5

このユーザーエージェントは廃止され、将来のリリースでは削除されます。ユーザーエージェントの代わりに ISE/ISE-PIC を使用することを強くお勧めします。

ユーザー エージェント バージョン 2.5

6.5

ユーザーエージェントが FMC での認証に使用するデフォルトのパスワードを変更できます。

新しい FMC コマンド: configure user-agent

ユーザー制御用のユーザー エージェント。

バージョン 6.0 よりも前に導入された機能です。ユーザー エージェントにより Active Directory ユーザーのログインの詳細が提供され、ユーザー認識とユーザー制御に使用できます。