管理者ポータル
管理者ポータルでは、ISE の設定およびレポートにアクセスできます。次の図に、このポータルのメニュー バーの主な要素を示します。
1 |
メニューのドロップダウン |
|
2 |
右上のメニュー |
|
ISE ホーム ダッシュボード
Cisco ISE ダッシュボードには、効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。特に指定がない限り、ダッシュボード要素によってアクティビティは 24 時間表示されます。次の図に、Cisco ISE ダッシュボードで使用できる情報の一部を示します。Cisco ISE ダッシュボード データはプライマリ管理ノード(PAN)でのみ表示されます。
[ホーム(Home)] ページには、ISE データのビューを表示する 5 つのデフォルト ダッシュボードがあります。
-
[概要(Summary)]:このビューには、線形の [メトリック(Metrics)] ダッシュレット、円グラフ ダッシュレット、およびリスト ダッシュレットが表示されます。[メトリック(Metrics)] ダッシュレットは設定できません。
-
[エンドポイント(Endpoints)]:ステータス、エンドポイント、エンドポイント カテゴリ、ネットワーク デバイス。
-
[ゲスト(Guests)]:ゲスト ユーザ タイプ、ログイン失敗、ロケーション。
-
[脆弱性(Vulnerability)]:脆弱性サーバにより ISE に報告される情報。
-
[脅威(Threat)]:脅威サーバにより ISE に報告される情報。
これらの各ダッシュボードには、複数の事前定義ダッシュレットがあります。たとえば [概要(Summary)] ダッシュボードには [ステータス(Status)]、[エンドポイント(Endpoints)]、[エンドポイント カテゴリ(Endpoint Categories)]、および [ネットワーク デバイス(Network Devices)] があります。
ホーム ダッシュボードの設定
ホーム ページ ダッシュボードをカスタマイズするには、ページの右上隅にある歯車アイコンをクリックします。
-
[エクスポート(Export)] は、現在選択されているホーム ビューを PDF に保存します。
-
[レイアウト テンプレート(Layout Template)] は、このビューに表示される列の数を設定します。
-
[ダッシュボードの管理(Manage Dashboards)] では、現在のダッシュボードをデフォルト([ホーム(Home)] を選択すると表示されるダッシュボード)に設定するか、またはすべてのダッシュボードをリセットする(すべてのホーム ダッシュボードの設定を削除する)ことができます。
[コンテキストの可視性(Context Visibility)] のビュー
[コンテキストの可視性(Context Visibility)] ページの構造はホーム ページに似ていますが、[コンテキストの可視性(Context Visibility)] ページでは次の点が異なります。
-
表示データをフィルタリングするときに、現在のコンテキストを維持する(ブラウザ ウィンドウ)。
-
より細かなカスタマイズが可能である
-
エンドポイント データを中心としている
コンテキストの可視性データはプライマリ管理ノード(PAN)にのみ表示されます。
[コンテキスト(Context)] ページのダッシュレットには、エンドポイントと、エンドポイントから NAD への接続に関する情報が表示されます。現在表示されている情報は、各ページのダッシュレットの下にあるデータ リストの内容に基づいています。各ページには、タブの名前に基づいてエンドポイント データのビューが表示されます。データをフィルタリングすると、リストとダッシュレットの両方が更新されます。データをフィルタリングするには、1 つ以上の円グラフの特定部分をクリックするか、表で行をフィルタリングするか、またはこれらの操作を組み合わせて実行します。複数のフィルタを選択した場合、フィルタ結果は加算的になります。これはカスケード フィルタと呼ばれます。これにより、ドリルダウンして特定のデータを見つけることができます。また、リストでエンドポイントをクリックして、そのエンドポイントの詳細ビューを表示することもできます。
[コンテキストの可視性(Context Visibility)] には 4 つのメイン ビューがあります。
-
[エンドポイント(Endpoints)]:デバイス タイプ、コンプライアンス ステータス、認証タイプ、ハードウェア インベントリなどに基づいて表示するエンドポイントを選択できます。詳細については、「ハードウェア ダッシュボード」の項を参照してください。
(注)
アカウンティングの開始および更新情報が Cisco ISE に確実に送信されるように、NAD でアカウンティングの設定を有効にすることを推奨します。
Cisco ISE では、アカウンティングが有効な場合にのみ、最新の IP アドレス、セッションのステータス(接続 [Connected]、切断 [Disconnected]、または拒否 [Rejected])、エンドポイントの非アクティブな日数などのアカウンティング情報を収集できます。この情報は、[ライブ ログ(Live Logs)]、[ライブ セッション(Live Sessions)] および [コンテキストの可視性(Context Visibility)] ページに表示されます。NAD でアカウンティングが無効にされている場合、[ライブ セッション(Live Sessions)]、[ライブ ログ(Live Logs)] および [コンテキストの可視性(Context Visibility)] ページ間でアカウンティング情報が欠落しているか、間違っているか、一致していない可能性があります。
(注)
[可視性セットアップ(Visibility Setup)] ウィザードでは、エンドポイントを検出するため IP アドレス範囲のリストを追加できます。このウィザードの設定後に、Cisco ISE はエンドポイントを認証しますが、設定された IP アドレス範囲に含まれないエンドポイントは、[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] タブと、[エンドポイント(Endpoints)] リスト ページ([ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] の下)には表示されません。
-
[ユーザベース(User-Based)]:ユーザ ID ソースからのユーザ情報を表示します。
このビューを使用する際には次の点に注意してください。
-
ユーザ名属性またはパスワード属性が変更されると、認証ステータスが変更された時点でこのページに変更が即時に反映されます。
-
Active Directory でユーザ名以外の属性が変更されると、再認証から 24 時間後に、更新された属性が表示されます。
-
Active Directory でユーザ名とその他の属性が変更されると、再認証後即時に最新の変更が表示されます。
-
-
[ネットワーク デバイス(Network Devices)]:エンドポイントに接続している NAD のリスト。NAD のエンドポイント数(右端の列)をクリックすると、その NAD に基づいてフィルタリングされたすべてのデバイスが [コンテキストの可視性(Context Visibility)] 画面にリストされます。
(注)
ネットワーク デバイスに SNMPv3 パラメータを設定した場合、モニタリング サービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワーク デバイス(Network Device)] > [セッション ステータス概要(Session Status Summary)])によって提供されるネットワーク デバイス セッション ステータス概要レポートを生成できません。ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。
-
[アプリケーション(Application)]:[アプリケーション(Application)] ビューは、指定されたアプリケーションがインストールされているエンドポイントの数を識別するために使用されます。結果は、グラフ形式と表形式で表示されます。グラフ表示は、比較分析に役立ちます。たとえば、Google Chrome ソフトウェアを使用してエンドポイントの数をバージョン、ベンダー、カテゴリ(フィッシング詐欺対策、ブラウザなど)と共に、表や棒グラフで確認することができます。詳細については、「[アプリケーション(Application)] タブ」の項を参照してください。
フィルタリング処理を追加する目的で、[コンテキストの可視性(Context Visibility)] の下に新しいビューを作成し、カスタム リストを作成できます。このリリースでは、カスタム ビューでダッシュレットがサポートされていません。
ダッシュレットの円グラフの特定部分をクリックすると、新しいページが開き、そのダッシュレットからフィルタリングされたデータが [コンテキストの可視性(Context Visibility)] モードで表示されます。この新しいページから、表示されているデータをさらにフィルタリングできます。これについては「ビューに表示するデータのフィルタリング」で説明します。
[コンテキストの可視性(Context Visibility)] を使用してエンドポイント データを検索する方法の詳細については、Cisco YouTube ビデオを参照してください。このビデオでは ISE 2.1 https://www.youtube.com/watch?v=HvonGhrydfg を使用しています。
ダッシュレット
次に、ダッシュレットの例を示します。
-
ウィンドウが重なり合ったシンボルは、このダッシュレットを「切り離し」ます。つまり、新しいブラウザ ウィンドウでこのダッシュレットを開きます。円形のシンボルは更新を実行します。X はこのダッシュレットを削除します。このシンボルはホーム ページでのみ使用可能です。[コンテキストの可視性(Context Visibility)] でダッシュレットを削除するには、画面右上隅にある歯車のシンボルを使用します。
-
一部のダッシュレットには異なるカテゴリのデータが表示されます。リンクをクリックすると、そのデータ セットの円グラフが表示されます。
-
円グラフには、選択したデータが表示されます。円グラフの 1 つのセグメントをクリックすると、[コンテキストの可視性(Context Visibility)] で新しいタブが開き、円グラフ セグメントに基づいてフィルタリングされたデータが表示されます。
ホーム ダッシュボードで円グラフのセクションをクリックすると、新しいブラウザ ウィンドウが開き、円グラフでクリックしたセクションに基づいてフィルタリングされたデータが表示されます。
[コンテキスト(Context)] ビューで円グラフのセクションをクリックすると、表示されているデータがフィルタリングされますが、コンテキストは変更されず、フィルタリングされたデータは同じブラウザ ウィンドウに表示されます。
アプリケーション ダッシュボード
ラベル |
説明 |
|||||
---|---|---|---|---|---|---|
1 |
デフォルトで [概要(Summary)] タブが選択されています。棒グラフを含む [アプリケーション カテゴリ(Application Categories)] ダッシュレットが表示されます。アプリケーションは 13 のカテゴリに分類されます。これらのカテゴリに属さないアプリケーションは、「未分類(Unclassified)」と呼ばれます。 利用可能なカテゴリは、[マルウェア対策(Anti-Malware)]、[フィッシング対策(Antiphishing)]、[バックアップ(Backup)]、[ブラウザ(Browser)]、[データ漏洩防止(Data Loss Prevention)]、[データ ストレージ(Data Storage)]、[暗号化(Encryption)]、[ファイアウォール(Firewall)]、[メッセンジャ(Messenger)]、[パッチ管理(Patch Management)]、[パブリック ファイル共有(Public File Sharing)]、[仮想マシン(Virtual Machine)]、[VPN クライアント(VPN Client)] です。 |
|||||
2 |
各バーは、分類されたカテゴリに対応します。各バーの上にマウスを置くと、選択したアプリケーション カテゴリに対応するアプリケーションとエンドポイントの合計数を表示できます。 |
|||||
3 |
分類されたカテゴリに該当するアプリケーションとエンドポイントは青色で表示されます。未分類のアプリケーションとエンドポイントはグレーで表示されます。分類されたカテゴリ バーまたは分類されていないカテゴリ バーの上にマウスを置くと、そのカテゴリに属するアプリケーションとエンドポイントの合計数を表示できます。[分類済み(Classified)] をクリックして、棒グラフと表(5)で結果を表示できます。[未分類(Unclassified)] をクリックすると、棒グラフが無効になり(グレー表示)、結果が表(5)に表示されます。 |
|||||
4 |
|
|||||
5 |
複数のバーをクリックすると、対応する分類されたアプリケーションとエンドポイントが表に表示されます。たとえば、[マルウェア対策(Antimalware )] および [パッチ管理(Patch Management)] カテゴリを選択すると、次の結果が表示されます。 |
|||||
アプリケーション | Version | Vendor | カテゴリ | アプリケーション OS | このソフトウェアで使用するエンドポイント | |
Gatekeeper | 9.9.5 | Apple Inc. | マルウェア対策 | windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9 | 5 | |
Gatekeeper | 10.9.5 | Apple Inc. | マルウェア対策 | windows 8 64 ビット、mac osx 10.10 | 3 | |
ソフトウェア更新 |
2.3 |
Apple Inc. |
パッチ管理 |
windows 7 64 ビット、mac osx 10.10、mac osx 8、mac osx 9 |
5 |
|
[6] |
表の [このソフトウェアで使用するエンドポイント(Endpoints With This Software)] 列のエンドポイントをクリックして、Mac アドレス、NAD IP アドレス、NAD ポート ID/SSID、IPv4 アドレスなどのエンドポイントの詳細を表示します。 |
|||||
7 |
アプリケーションのコンプライアンス条件と修復を作成するには、アプリケーション名を選択し、[ポリシー アクション(Policy Actions)] ドロップダウンリストから [アプリケーション コンプライアンスの作成(Create App Compliance)] オプションを選択します。 |
ハードウェア ダッシュボード
[コンテキストの可視性(context visibility)] の下の [エンドポイント ハードウェア(endpoint hardware)] タブは、短期間にエンドポイント ハードウェア インベントリ情報を収集、分析、およびレポートするのに役立ちます。メモリ容量が小さいエンドポイントの検出や、エンドポイントの BIOS モデル/バージョンの検出など、情報を収集することができます。これらの結果に基づいて、メモリ容量を増やしたり、BIOS バージョンをアップグレードすることができます。アセットの購入を計画する前に、要件を評価することができます。リソースを適時に交換することができます。モジュールをインストールしたりエンドポイントとやりとりすることなく、この情報を収集できます。要約すると、アセットのライフサイクルを効果的に管理できます。
および [エンドポイント使用率(Endpoint Utilizations)] ダッシュレットが表示されます。これらのダッシュレットは、選択されたフィルタに基づく変更を反映します。[製造者(Manufacturers)] ダッシュレットには、Windows および Mac OS が搭載されたエンドポイントのハードウェア インベントリの詳細が表示されます。[エンドポイント使用率(Endpoint Utilizations)] ダッシュレットには、エンドポイントの CPU、メモリ、およびディスク使用率が表示されます。3 つのオプションのいずれかを選択すると、利用率をパーセンテージで表示できます。
ページには、[製造者(Manufacturers)]-
CPU 使用率が n% を超えるデバイス(Devices With Over n% CPU Usage)
-
メモリ使用率が n% を超えるデバイス(Devices With Over n% Memory Usage)
-
ディスク使用率が n% を超えるデバイス(Devices With Over n% Disk Usage)
(注) |
ハードウェア インベントリ データは、ISE GUI に表示されるまでに 120 秒かかります。ハードウェア インベントリ データは、ポスチャ準拠および非準拠の状態について収集されます。 |
(注) |
|
エンドポイントとその接続された外部デバイスのハードウェア属性は表形式で表示されます。次のハードウェア属性が表示されます。
-
MAC アドレス
-
BIOS 製造元
-
BIOS シリアル番号
-
BIOS モデル
-
接続デバイス
-
CPU 名
-
CPU 速度(GHz)
-
CPU 使用率(%)
-
コア数
-
プロセッサ数
-
メモリ サイズ(GB)
-
メモリ使用率(%)
-
内部ディスクの合計サイズ(GB)
-
内部ディスクの合計フリー サイズ(GB)
-
内部ディスクの合計使用率(%)
-
内部ディスク数
-
NAD ポート ID
-
ステータス
-
ネットワークデバイス名
-
参照先
-
UDID
-
IPv4 アドレス
-
ユーザ名
-
ホストネーム
-
OS タイプ
-
異常な動作
-
エンドポイント プロファイル
-
説明
-
エンドポイント タイプ
-
ID グループ
-
登録日
-
ID ストア
-
許可プロファイル
エンドポイントに対応する [接続デバイス(Attached Devices)] 列の番号をクリックすると、現在エンドポイントに接続されている USB デバイスの名前、カテゴリ、製造元、タイプ、製品 ID、およびベンダー ID を表示できます。
(注) |
Cisco ISE はクライアントのシステムのハードウェア属性をプロファイリングしますが、Cisco ISE がプロファイリングしないハードウェア属性がいくつか存在することがあります。これらのハードウェア属性は、[ハードウェア コンテキストの可視性(Hardware Context Visibility)] ページに表示されないことがあります。 |
ハードウェア インベントリ データの収集間隔は、
ページで制御できます。デフォルトの間隔は 5 分です。ビューに表示するデータのフィルタリング
[コンテキストの可視性(Context Visibility)] ページでいずれかのダッシュレットをクリックすると、クリックしたアイテムに基づいて表示されるデータ(円グラフの一部分など)がフィルタリングされます。
[エンドポイント(Endpoints)] ダッシュレットで [mobil…vices] をクリックすると、ページが再表示され、2 つの [エンドポイント(Endpoints)] ダッシュレット、[ネットワークデバイス(Network Devices)] ダッシュレット、およびデータのリストが表示されます。次の例に示すように、ダッシュレットとリストにはモバイル デバイスのデータが表示されます。
さらにデータをフィルタリングするには、円グラフの他のセクションをクリックするか、またはデータ リストのコントロールを使用します。
-
歯車アイコンにより、表示列がフィルタリングされます。ドロップダウンでは、このダッシュボードのリストに表示する列を選択できます。
-
デフォルトではクイック フィルタが表示されます。ボックス(ラベル番号 3)に文字を入力すると、結果に基づいてリストがフィルタリングされます。カスタム フィルタでは、次に示すようにより細かく設定できるフィルタが表示されます。
カスタム フィルタは保存できます。
ビューのリストでのエンドポイント アクション
リスト上部にあるツールバーから、リストで選択したエンドポイントに対してアクションを実行できます。すべてのリストですべてのアクションが有効になっているわけではありません。一部のアクションは、使用可能な機能に基づいています。次のリストに、使用する前に ISE で有効にする必要がある 2 つのエンドポイント アクションを示します。
-
適応型ネットワーク制御(ANC)が有効な場合、リストでエンドポイントを選択して、ネットワーク アクセスを割り当てるかまたは取り消すことができます。認可変更(CoA)も発行できます。
ANC(エンドポイント保護サービス)は、ISE の [管理(Administration)] > [システム(System)] > [設定(Settings)] > [エンドポイント保護サービス(Endpoint Protection Service)] > [適応型ネットワーク制御(Adaptive Network Control)] で有効にします。詳細については、の「Cisco ISE での適応型ネットワーク制御の有効化」のセクションを参照してくださいCisco ISE での適応型ネットワーク制御の有効化。
-
MDM がインストールされている場合は、選択したエンドポイントに対して MDM アクションを実行できます。
コンテキストの可視性の属性
コンテキストの可視性の属性を提供するシステムとサービスでは、同じ属性名に異なる値を使用していることがよくあります。次にいくつかの例を示します。
オペレーティング システム
-
OperatingSystem:ポスチャ オペレーティング システム
-
operating-system:NMAP オペレーティング システム
-
operating-system-result:プロファイラ統合オペレーティング システム
ポータル名
-
Portal.Name:デバイス登録が有効な場合のゲスト ポータル名。
-
PortalName:デバイス登録が無効な場合のゲスト ポータル名。
ポータル ユーザ
-
User-Name:RADIUS 認証のユーザ名
-
GuestUserName:ゲスト ユーザ
-
PortalUser:ポータル ユーザ