管理者ポータル
管理者ポータルでは、ISE の設定およびレポートにアクセスできます。次の図に、このポータルのメニュー バーの主な要素を示します。
1 |
メニューのドロップダウン |
|
2 |
右上のメニュー |
|
ISE ホーム ダッシュボード
Cisco ISE ダッシュボードには、効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。特に指定がない限り、ダッシュボード要素によってアクティビティは 24 時間表示されます。次の図に、Cisco ISE ダッシュボードで使用できる情報の一部を示します。Cisco ISE ダッシュボード データはプライマリ管理ノード(PAN)でのみ表示されます。
[ホーム(Home)] ページには、ISE データのビューを表示する 5 つのデフォルト ダッシュボードがあります。
-
[概要(Summary)]:このビューには、線形の [メトリック(Metrics)] ダッシュレット、円グラフ ダッシュレット、およびリスト ダッシュレットが表示されます。[メトリック(Metrics)] ダッシュレットは設定できません。
-
[エンドポイント(Endpoints)]:ステータス、エンドポイント、エンドポイント カテゴリ、ネットワーク デバイス。
-
[ゲスト(Guests)]:ゲスト ユーザ タイプ、ログイン失敗、ロケーション。
-
[脆弱性(Vulnerability)]:脆弱性サーバにより ISE に報告される情報。
-
[脅威(Threat)]:脅威サーバにより ISE に報告される情報。
これらの各ダッシュボードには、複数の事前定義ダッシュレットがあります。たとえば [概要(Summary)] ダッシュボードには [ステータス(Status)]、[エンドポイント(Endpoints)]、[エンドポイント カテゴリ(Endpoint Categories)]、および [ネットワーク デバイス(Network Devices)] があります。
ホーム ダッシュボードの設定
ホーム ページ ダッシュボードをカスタマイズするには、ページの右上隅にある歯車アイコンをクリックします。
-
[エクスポート(Export)] は、現在選択されているホーム ビューを PDF に保存します。
-
[レイアウト テンプレート(Layout Template)] は、このビューに表示される列の数を設定します。
-
[ダッシュボードの管理(Manage Dashboards)] では、現在のダッシュボードをデフォルト([ホーム(Home)] を選択すると表示されるダッシュボード)に設定するか、またはすべてのダッシュボードをリセットする(すべてのホーム ダッシュボードの設定を削除する)ことができます。
[コンテキストの可視性(Context Visibility)] のビュー
[コンテキストの可視性(Context Visibility)] ページの構造はホーム ページに似ていますが、[コンテキストの可視性(Context Visibility)] ページでは次の点が異なります。
-
表示データをフィルタリングするときに、現在のコンテキストを維持する(ブラウザ ウィンドウ)。
-
より細かなカスタマイズが可能である
-
エンドポイント データを中心としている
コンテキストの可視性データはプライマリ管理ノード(PAN)にのみ表示されます。
[コンテキスト(Context)] ページのダッシュレットには、エンドポイントと、エンドポイントから NAD への接続に関する情報が表示されます。現在表示されている情報は、各ページのダッシュレットの下にあるデータ リストの内容に基づいています。各ページには、タブの名前に基づいてエンドポイント データのビューが表示されます。データをフィルタリングすると、リストとダッシュレットの両方が更新されます。データをフィルタリングするには、1 つ以上の円グラフの特定部分をクリックするか、表で行をフィルタリングするか、またはこれらの操作を組み合わせて実行します。複数のフィルタを選択した場合、フィルタ結果は加算的になります。これはカスケード フィルタと呼ばれます。これにより、ドリルダウンして特定のデータを見つけることができます。また、リストでエンドポイントをクリックして、そのエンドポイントの詳細ビューを表示することもできます。
[コンテキストの可視性(Context Visibility)] には 3 つ のメイン ビューがあります。
-
[エンドポイント(Endpoints)]:デバイス タイプ、コンプライアンス ステータス、認証タイプ、などに基づいて表示するエンドポイントを選択できます。
(注)
アカウンティングの開始および更新情報が Cisco ISE に確実に送信されるように、NAD でアカウンティングの設定を有効にすることを推奨します。
Cisco ISE では、アカウンティングが有効な場合にのみ、最新の IP アドレス、セッションのステータス(接続 [Connected]、切断 [Disconnected]、または拒否 [Rejected])、エンドポイントの非アクティブな日数などのアカウンティング情報を収集できます。この情報は、[ライブ ログ(Live Logs)]、[ライブ セッション(Live Sessions)] および [コンテキストの可視性(Context Visibility)] ページに表示されます。NAD でアカウンティングが無効にされている場合、[ライブ セッション(Live Sessions)]、[ライブ ログ(Live Logs)] および [コンテキストの可視性(Context Visibility)] ページ間でアカウンティング情報が欠落しているか、間違っているか、一致していない可能性があります。
(注)
[可視性セットアップ(Visibility Setup)] ウィザードでは、エンドポイントを検出するため IP アドレス範囲のリストを追加できます。このウィザードの設定後に、Cisco ISE はエンドポイントを認証しますが、設定された IP アドレス範囲に含まれないエンドポイントは、[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] タブと、[エンドポイント(Endpoints)] リスト ページ([ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] の下)には表示されません。
-
[ユーザベース(User-Based)]:ユーザ ID ソースからのユーザ情報を表示します。
このビューを使用する際には次の点に注意してください。
-
ユーザ名属性またはパスワード属性が変更されると、認証ステータスが変更された時点でこのページに変更が即時に反映されます。
-
Active Directory でユーザ名以外の属性が変更されると、再認証から 24 時間後に、更新された属性が表示されます。
-
Active Directory でユーザ名とその他の属性が変更されると、再認証後即時に最新の変更が表示されます。
-
-
[ネットワーク デバイス(Network Devices)]:エンドポイントに接続している NAD のリスト。NAD のエンドポイント数(右端の列)をクリックすると、その NAD に基づいてフィルタリングされたすべてのデバイスが [コンテキストの可視性(Context Visibility)] 画面にリストされます。
フィルタリング処理を追加する目的で、[コンテキストの可視性(Context Visibility)] の下に新しいビューを作成し、カスタム リストを作成できます。このリリースでは、カスタム ビューでダッシュレットがサポートされていません。
ダッシュレットの円グラフの特定部分をクリックすると、新しいページが開き、そのダッシュレットからフィルタリングされたデータが [コンテキストの可視性(Context Visibility)] モードで表示されます。この新しいページから、表示されているデータをさらにフィルタリングできます。これについてはビューに表示するデータのフィルタリングで説明します。
[コンテキストの可視性(Context Visibility)] を使用してエンドポイント データを検索する方法の詳細については、Cisco YouTube ビデオを参照してください。このビデオでは ISE 2.1 https://www.youtube.com/watch?v=HvonGhrydfg を使用しています。
ダッシュレット
次に、ダッシュレットの例を示します。
-
ウィンドウが重なり合ったシンボルは、このダッシュレットを「切り離し」ます。つまり、新しいブラウザ ウィンドウでこのダッシュレットを開きます。円形のシンボルは更新を実行します。X はこのダッシュレットを削除します。このシンボルはホーム ページでのみ使用可能です。[コンテキストの可視性(Context Visibility)] でダッシュレットを削除するには、画面右上隅にある歯車のシンボルを使用します。
-
一部のダッシュレットには異なるカテゴリのデータが表示されます。リンクをクリックすると、そのデータ セットの円グラフが表示されます。
-
円グラフには、選択したデータが表示されます。円グラフの 1 つのセグメントをクリックすると、[コンテキストの可視性(Context Visibility)] で新しいタブが開き、円グラフ セグメントに基づいてフィルタリングされたデータが表示されます。
ホーム ダッシュボードで円グラフのセクションをクリックすると、新しいブラウザ ウィンドウが開き、円グラフでクリックしたセクションに基づいてフィルタリングされたデータが表示されます。
[コンテキスト(Context)] ビューで円グラフのセクションをクリックすると、表示されているデータがフィルタリングされますが、コンテキストは変更されず、フィルタリングされたデータは同じブラウザ ウィンドウに表示されます。
ビューに表示するデータのフィルタリング
[コンテキストの可視性(Context Visibility)] ページでいずれかのダッシュレットをクリックすると、クリックしたアイテムに基づいて表示されるデータ(円グラフの一部分など)がフィルタリングされます。
[エンドポイント(Endpoints)] ダッシュレットで [mobil…vices] をクリックすると、ページが再表示され、2 つの [エンドポイント(Endpoints)] ダッシュレット、[ネットワーク デバイス(Network Devices)] ダッシュレット、およびデータのリストが表示されます。次の例に示すように、ダッシュレットとリストにはモバイル デバイスのデータが表示されます。
さらにデータをフィルタリングするには、円グラフの他のセクションをクリックするか、またはデータ リストのコントロールを使用します。
-
歯車アイコンにより、表示列がフィルタリングされます。ドロップダウンでは、このダッシュボードのリストに表示する列を選択できます。
-
デフォルトではクイック フィルタが表示されます。ボックス(ラベル番号 3)に文字を入力すると、結果に基づいてリストがフィルタリングされます。カスタム フィルタでは、次に示すようにより細かく設定できるフィルタが表示されます。
カスタム フィルタは保存できます。
ビューのリストでのエンドポイント アクション
リスト上部にあるツールバーから、リストで選択したエンドポイントに対してアクションを実行できます。すべてのリストですべてのアクションが有効になっているわけではありません。一部のアクションは、使用可能な機能に基づいています。次のリストに、使用する前に ISE で有効にする必要がある 2 つのエンドポイント アクションを示します。
-
適応型ネットワーク制御(ANC)が有効な場合、リストでエンドポイントを選択して、ネットワーク アクセスを割り当てるかまたは取り消すことができます。認可変更(CoA)も発行できます。
ANC(エンドポイント保護サービス)は、ISE の [管理(Administration)] > [システム(System)] > [設定(Settings)] > [エンドポイント保護サービス(Endpoint Protection Service)] > [適応型ネットワーク制御(Adaptive Network Control)] で有効にします。詳細については、Cisco ISE での適応型ネットワーク制御の有効化を参照してください。
-
MDM がインストールされている場合は、選択したエンドポイントに対して MDM アクションを実行できます。
コンテキストの可視性の属性
コンテキストの可視性の属性を提供するシステムとサービスでは、同じ属性名に異なる値を使用していることがよくあります。次にいくつかの例を示します。
オペレーティング システム
-
OperatingSystem:ポスチャ オペレーティング システム
-
operating-system:NMAP オペレーティング システム
-
operating-system-result:プロファイラ統合オペレーティング システム
ポータル名
-
Portal.Name:デバイス登録が有効な場合のゲスト ポータル名。
-
PortalName:デバイス登録が無効な場合のゲスト ポータル名。
ポータル ユーザ
-
User-Name:RADIUS 認証のユーザ名
-
GuestUserName:ゲスト ユーザ
-
PortalUser:ポータル ユーザ