このマニュアルでは、Cisco Secure Workload ソフトウェアリリース 3.6.x の新機能、不具合、および制限について説明します。
Cisco Secure Workload プラットフォーム(旧称 Cisco Tetration)は、ファイアウォールとセグメンテーション、コンプライアンスと脆弱性の追跡、動作ベースの異常検出、およびワークロードの分離を使用して、オンプレミスやマルチクラウド環境全体のすべてのワークロードにマイクロ境界を確立することにより、包括的なワークロードセキュリティを提供するように設計されています。このプラットフォームでは、高度な分析とアルゴリズムのアプローチを使用して、これらの機能を提供します。このソリューションは、次の機能をサポートしています。
-
アプリケーションの通信パターンと依存関係の包括的な分析から自動的に生成されるマイクロセグメンテーション ポリシー。
-
ロールベースのアクセス制御による複数のユーザーグループの包括的な制御をもたらす、階層型ポリシーモデルを使用した動的なラベルベースのポリシー定義
-
ネイティブ オペレーティング システム ファイアウォール、および ADC(アプリケーション デリバリ コントローラ)や物理ファイアウォールまたは仮想ファイアウォールなどのインフラストラクチャ要素の分散制御による、一貫したポリシーの大規模な適用
-
すべての通信のほぼリアルタイムのコンプライアンス モニタリングにより、ポリシー違反または潜在的な侵害を特定して警告。
-
ワークロード動作の基準値設定とプロアクティブな異常検出。
-
動的な緩和と脅威ベースのワークロード分離を行う、一般的な脆弱性の検出。
次の表に、リリースの変更履歴を示します。
日付 |
説明 |
---|---|
2023 年 2 月 2 日 |
リリース 3.6.1.52 が導入されました。 |
2022 年 5 月 26 日 |
リリース 3.6.1.36 が導入されました。 |
2022 年 3 月 10 日 |
リリース 3.6.1.21 が導入されました。 |
2022 年 2 月 14 日 |
リリース 3.6.1.17 が導入されました。 |
2021 年 10 月 29 日 |
リリース 3.6.1.5 が導入されました。 |
互換性に関する情報
リリース 3.6.1.36
OS |
フレーバ |
---|---|
新しいエージェントのオペレーティングシステムのサポート |
Ingest アプライアンス
|
[エージェント(Agents)] |
Windows 2008 R2 以降のエージェントで NPCAP バージョン 1.55 を使用 |
リリース 3.6.1.21
OS |
フレーバ |
---|---|
このリリースにソフトウェアへの変更はありません。 |
– |
リリース 3.6.1.17
OS |
フレーバ |
---|---|
Cisco Secure Workload エージェントインストーラ |
Cisco Secure Workload エージェントインストーラで、メジャーリリースがサポートされている Linux ディストリビューションのマイナーリリースへのインストールが可能になりました。Linux のマイナーリリースのサポートが対応するメジャーリリースのサポートを通じて拡張されています。 サポートされているオペレーティングシステムのバージョンは、Cisco.com のプラットフォーム情報に記載されています。 |
3.6.1.5 リリースのソフトウェアエージェントは、マイクロセグメンテーション(優れた可視性と適用)を実現するために、次のオペレーティングシステム(仮想マシンおよびベアメタルサーバー)をサポートしています。バージョンごとのリストには、プラットフォーム情報のページからいつでもアクセスできます。
リリース 3.6.1.5
OS |
フレーバ |
---|---|
Linux |
|
Linux on IBM Z |
|
Windows Server(64 ビット) |
|
Windows VDI デスクトップクライアント |
|
IBM AIX オペレーティングシステム |
|
ポリシーを適用するためのコンテナホスト OS バージョン |
|
オペレーティングシステムのサポート |
3.6.1.5 リリースでは、優れた可視性ユースケースについてのみ、次のオペレーティングシステムがサポートされています。
3.6.1.5 リリースでは、ユニバーサル可視性エージェントの次のオペレーティング システムがサポートされています。
3.6.1.5 リリースでは、次のオペレーティングシステムについては、いずれのソフトウェアエージェントでもサポートが終了しています。
|
3.6.1.5 リリースでは、NX-OS および Cisco Application Centric Infrastructure(ACI)モードでの次の Cisco Nexus 9000 シリーズスイッチのサポートが廃止されています。HW センサーを使用している場合は、代替ソースとして NetFlow への移行を計画してください。
NX-OS および ACI モードで以前にサポートされていた Cisco Nexus 9000 シリーズスイッチ(3.6.1.5 で廃止、動作の変更のセクションを参照)。
製品ライン |
プラットフォーム |
最小ソフトウェア リリース |
---|---|---|
Cisco Nexus 9300 プラットフォーム スイッチ (NX-OS モード) |
Cisco Nexus 93180YC-EX、93108TC-EX、および 93180LC-EX |
Cisco NX-OS リリース 9.2.1 以降 |
Cisco Nexus 93180YC-FX、93108TC-FX、および 9348GC-FXP |
Cisco NX-OS リリース 9.2.1 以降 |
|
Cisco Nexus 9336C-FX2 |
Cisco NX-OS リリース 9.2.1 以降 |
|
Cisco Nexus 9300 プラットフォーム スイッチ(Cisco ACI モード) |
Cisco Nexus 93180YC-EX、93108TC-EX、および 93180LC-EX |
|
Cisco Nexus 93180YC-FX、93108TC-FX |
Cisco ACI リリース 3.1(1i) 以降 |
|
Cisco Nexus 9348GC-FXP |
Cisco ACI リリース 3.1(1i) 以降 |
|
Cisco Nexus 9336C-FX2 |
Cisco ACI リリース 3.2 以降 |
|
N9K X9736C-FX ラインカードのみを搭載した Cisco Nexux 9500シリーズスイッチ |
Cisco ACI リリース 3.1(1i) 以降 |
使用上のガイドライン
ここでは、Cisco Secure Workload ソフトウェアの使用上のガイドラインを示します。
-
Web ベースのユーザーインターフェイスにアクセスするには、Google Chrome ブラウザバージョン90.0.0 以降を使用する必要があります。
-
DNS を設定した後、Cisco Secure Workload クラスタの URL(https://<cluster.domain>)まで参照します。
Cisco Secure Workload 仮想アプライアンス環境でコミッション/デコミッション機能を使用する場合は、次の使用上のガイドラインに従ってください。
この機能は TAC の支援を受けて使用することを意図しており、誤って使用すると回復不能な障害を引き起こす可能性があります。TAC からの明示的な承認がない限り、2つの VM を同時にデコミッションしないでください。次の VM の組み合わせは、同時にデコミッションしないでください。
-
複数のオーケストレータ
-
複数のデータノード
-
複数の namenode(namenode または secondaryNamenode)
-
複数の resourceManager
-
複数の happobat
-
複数の mongodb(mongodb または mongoArbiter)
-
一度に実行できるデコミッション/コミッションプロセスは 1 つだけです。異なる VM のデコミッション/コミッションを同時にオーバーラップしないでください。
esx_commission スナップショット エンドポイントを使用する前に、必ず TAC にお問い合わせください。
検証済みスケーラビリティの制限値
次の表に、Cisco Secure Workload(39-RU)、Cisco Secure Workload M(8-RU)、および Cisco Secure Workload Cloud の拡張性の制限を示します。
設定可能なオプション |
規模 |
---|---|
ワークロードの数 |
最大 25000(VM またはベアメタル) すべてのセンサーが会話モードの場合、最大 50,000(2x)。 |
1 秒あたりのフロー機能 |
最大 200 万。 |
ハードウェア エージェント対応 Cisco Nexus 9000 シリーズ スイッチの数 |
最大 100(非推奨)。 |
設定可能なオプション |
規模 |
---|---|
ワークロードの数 |
最大 5,000(VM またはベアメタル) すべてのセンサーが会話モードの場合、最大 10,000(2x)。 |
1 秒あたりのフロー機能 |
最大 500,000。 |
ハードウェア エージェント対応 Cisco Nexus 9000 シリーズ スイッチの数 |
最大 100(非推奨)。 |
設定可能なオプション |
規模 |
---|---|
ワークロードの数 |
最大 1,000(VM またはベアメタル) |
1 秒あたりのフロー機能 |
最大 70,000。 |
ハードウェア エージェント対応 Cisco Nexus 9000 シリーズ スイッチの数 |
サポート対象外。 |
(注) |
サポートされているスケールは、最初に制限に達したパラメータに基づいています。 |
動作の変更
リリース 3.6.1.36
機能 |
説明 |
---|---|
新しいエージェントのオペレーティングシステムのサポート |
Ingest アプライアンス
|
[エージェント(Agents)] |
Windows 2008 R2 以降のエージェントで NPCAP バージョン 1.55 を使用 |
機能 |
説明 |
---|---|
このパッチリリースにソフトウェアへの変更はありません。 |
– |
機能 |
説明 |
---|---|
Cisco Secure Workload エージェントインストーラ |
Cisco Secure Workload エージェントインストーラで、メジャーリリースがサポートされている Linux ディストリビューションのマイナーリリースへのインストールが可能になりました。Linux のマイナーリリースのサポートが対応するメジャーリリースのサポートを通じて拡張されています。 サポートされているオペレーティングシステムのバージョンは、Cisco.com のプラットフォーム情報に記載されています。 |
機能 |
説明 |
---|---|
[外部オーケストレータ(External Orchestrators)] |
AWS または Kubernetes EKS の新しい外部オーケストレータは作成できなくなりました。代わりに、AWS クラウドコネクタを作成します。詳細については、上記を参照してください。 3.6.1.5 へのアップグレード前に作成された AWS または Kubernetes EKS の外部オーケストレータのインスタンスは引き続き機能しますが、変更することはできません。変更が必要な場合は、代わりに、同じクラウドアセットのセットから情報を取り込む新しい AWS クラウドコネクタを作成し、古い AWS または EKS の外部オーケストレータの設定を削除する必要があります。 |
UI |
リリース 3.6.1.5 以降では、ページが上部のナビゲーションバーから左側のメニューに移動されたため、左側のメニューがナビゲーションの主要なポイントになりました。 主な変更点は次のとおりです。
|
クラスタ機能 |
ルックアウト機能は 3.5 で廃止され、その状態のままです。3.6 では、ルックアウト機能をオンにすることはできません。ただし、ルックアウトを現在使用している場合は、既存の設定を引き続き表示できます。 この製品を簡素化するために、UserApps 機能は削除されました。 |
[エージェント(Agents)] |
|
仮想アプライアンス |
ERSPAN 仮想アプライアンスは、Cisco Secure Workload Data Ingest OVA を使用して展開する必要があります。ERSPAN OVA は公開されなくなりました。古い ERSPAN OVA で展開された既存の ERSPAN 仮想アプライアンスについては、変更は必要ありません。 |
サポートポリシー |
Cisco Secure Workload ソフトウェアバージョンの EOL サポート終了ポリシーをリリースしました。保守と運用のテクニカルノートを参照してください。 |
拡張機能
リリース 3.6.1.47
機能 |
説明 |
---|---|
ソフトウェアエージェント |
ソフトウェアエージェントは、x86_64 アーキテクチャと s390x アーキテクチャで Red Hat Enterprise Server 9 をサポートするようになりました。 |
リリース 3.6.1.36
機能 |
説明 |
---|---|
FMC 外部オーケストレータ |
FMC ドメインごとの適用のサポート。外部オーケストレータの設定時にドメイン名を選択することで、FMC ドメインで適用を有効または無効にできるようになりました。 |
Windows のセグメンテーションポリシー |
Windows のセグメンテーションポリシーでは、単一のユーザー名に加えて、プロセスレベル制御セクションにユーザーまたはユーザーグループのリストを入力できます。 |
インストーラスクリプト作成時のインベントリラベル |
インストーラスクリプトを作成するときに、インベントリラベルを指定できます。スクリプトでインストールされるすべてのエージェントに、それらのラベルが自動的にタグ付けされます。この機能は、Linux および Windows ワークロードの展開でのみサポートされています。 |
リリース 3.6.1.21
機能 |
説明 |
---|---|
外部オーケストレータ統合の Kubernetes バージョン |
外部オーケストレータ統合で Kubernetes バージョン 1.21 および 1.22 がサポートされるようになりました。 |
リリース 3.6.1.17
機能 |
説明 |
---|---|
Cisco Secure Workload とフローログ |
コネクタの作成中に提供された AWS ユーザーアカウントのログイン情報で VPC フローログと S3 バケットの両方にアクセスできる場合、Cisco Secure Workload で任意のアカウントに関連付けられた S3 バケットからフローログを取り込めるようになりました。 |
リリース 3.6.1.5
機能 |
説明 |
||
---|---|---|---|
ServiceNow で ServiceNow のスクリプト化された REST API との統合がサポートされます。 |
設定ワークフローで ServiceNow コネクタを選択できます。ServiceNow のスクリプト化された REST API との統合がサポートされるようになりました。 Cisco Integrated Management Controller(CIMC)のバージョンが更新されました。M4 CIMC は 4.1(2b) に更新され、M5 CIMC は 4.1(3b) に更新されています。Cisco Secure Workload クラスタを 3.6 にアップグレードしても、ベアメタルノードの CIMC ファームウェアは自動的にはアップグレードされません。CIMC ファームウェアのアップグレードはオプションであり、ベアメタルホストごとに最大 4 時間かかる場合があります。このプロセスは、Cisco TAC から勧められた場合にのみ実行してください。 Cisco Secure Workload と Firepower Management Center(ベータ機能)の統合により、ファイアウォールを使用したポリシーの適用が可能になります。このリリースでは、プレフィルタポリシーの代わりにダイナミックオブジェクトを使用するアクセス コントロール ポリシーが統合で使用されるため、ネットワークインベントリの変更を展開する必要はありません。これにより、展開が少なくなり、インベントリの変更への対応が迅速になります。 サポートされているバージョンや要件などの詳細については、『Cisco Secure Workload and Firepower Management Center Integration Guide』(英語)を参照してください。リリース 3.5 で FMC 統合を設定済みの場合は、アップグレード前に『Cisco Secure Workload Upgrade Guide』(英語)の重要な注意事項を参照してください。 会話モードのフロー分析忠実度が AIX エージェントに適用されるようになりました。 |
||
Cisco Integrated Management Controller(CIMC)のバージョンの更新 |
Cisco Integrated Management Controller(CIMC)のバージョンが更新されました。
|
||
FMC と Cisco Secure Workload の統合 |
Cisco Secure Workload と Firepower Management Center(ベータ機能)の統合により、ファイアウォールを使用したポリシーの適用が可能になります。このリリースでは、プレフィルタポリシーの代わりにダイナミックオブジェクトを使用するアクセス コントロール ポリシーが統合で使用されるため、ネットワークインベントリの変更を展開する必要はありません。これにより、展開が少なくなり、インベントリの変更への対応が迅速になります。 サポートされているバージョンや要件などの詳細については、『Cisco Secure Workload and Firepower Management Center Integration Guide』(英語)を参照してください。
|
||
[流動解析の忠実度(Flow Analysis Fidelity)] |
会話モードのフロー分析忠実度が AIX エージェントにも適用されるようになりました。 |
新機能および変更された機能に関する情報
リリース 3.6.1.36 の新機能と変更情報
機能 |
説明 |
---|---|
Inventory |
インベントリのアップロード:[インベントリアップロード(Inventory Upload)] の [マージオプション(Merge Option)] で新しいオプションを使用できるようになりました。 |
外部オーケストレータ |
Infoblox 外部オーケストレータ:さまざまなタイプの DNS レコード(A レコード、AAAA レコード、ネットワークレコード、ホストレコード)を選択できるようになりました。 |
Kubernetes インベントリのサポート |
ADM クラスタリングと範囲の提案で Kubernetes インベントリがサポートされるようになりました。 |
VDI 導入 |
インストールスクリプトと MSI インストーラの新しい --goldenImage フラグにより、Windows ゴールデン仮想マシンへのエージェントのインストールが可能になり、ホスト名が変更されると複製された VM でエージェントが実行されるようになりました(エージェントソフトウェアは、メンテナンスまたはアップグレードのために VM が起動する場合でも、ゴールデン VM で実行されることはありません)。 |
リリース 3.6.1.21 の新機能と変更情報
機能 |
説明 |
---|---|
コンテナワークロードのマイクロセグメンテーションのサポート |
Red Hat OpenShift 4.x を介して導入されたコンテナワークロードのマイクロセグメンテーション サポートが利用可能になりました。 OpenShift 4.x は、Kubernetes のデフォルトのコンテナランタイムとして CRI-O を使用します。CRI-O がサポートされており、このような環境で実行するために既存の適用ワークフローを変更する必要はありません。ワーカーノードのオペレーティングシステムには、OpenShift 4.x で公式にサポートされている RHEL または CentOS のいずれかのバージョンが使用できます。 このリリースでは、外部オーケストレータの統合で Red Hat OpenShift バージョン 4.9 までがサポートされます。 また、Red Hat Enterprise Core OS バージョン 4.9 までのサポートも追加されています。 |
リリース 3.6.1.17 の新機能と変更情報
このパッチリリースには新しいソフトウェア機能はありません。
リリース 3.6.1.5 の新機能と変更情報
Cisco Secure Workload プラットフォーム内での分析とさまざまな使用事例をサポートするため、環境全体からの一貫したテレメトリ(フローデータ)が必要です。Cisco Secure Workload は、ソフトウェアエージェントやその他の方法を使用して豊富なテレメトリを収集し、データセンターのインフラストラクチャ内にある既存と新規の両方のインストールをサポートします。このリリースでは、次のテレメトリソースがサポートされています。
-
仮想マシンおよびベアメタルサーバーにインストールされている Cisco Secure Workload エージェント
-
コンテナホストのオペレーティングシステムで実行されているデーモンセット
-
ミラーリングされたパケットから Cisco Secure Workload テレメトリを生成できる ERSPAN コネクタ
-
ADC(アプリケーション デリバリ コントローラ)からのテレメトリの取り込み:F5 と Citrix
-
Cisco Secure Workload テレメトリベースの NetFlow v9 または IPFIX レコードを生成できる Netflow コネクタ
-
NSEL(NetFlow セキュアイベントロギング)テレメトリを収集するための ASA コネクタ
-
VPC フローログ構成を使用して生成されたフローテレメトリデータ用の AWS コネクタ
さらに、このリリースでは、以下との統合によるエンドポイントデバイスのポスチャ、コンテキスト、およびテレメトリの取り込みがサポートされています。
-
ラップトップ、デスクトップ、スマートフォンなどのエンドポイントデバイスにインストールされた Cisco AnyConnect
-
Cisco Identity Services Engine(ISE)
-
また、Cisco Secure Workload エージェントは、アプリケーション セグメンテーションのポリシー適用ポイントしても機能します。このアプローチを使用して、Cisco Secure Workload プラットフォームは、パブリック、プライベート、およびオンプレミスの展開全体で一貫性のあるマイクロセグメンテーションを実現します。
エージェントはネイティブのオペレーティングシステム機能を使用するポリシーを適用し、データ パスにエージェントを置く必要がなく、フェールセーフなオプションが提供されます。その他の製品マニュアルについては、「関連資料」の項を参照してください。
機能 |
説明 |
||
---|---|---|---|
AWS コネクタ |
AWS 用の新しいクラウドコネクタ(ベータ機能)により、フローテレメトリの取り込み、EC2 インスタンスと EKS ポッド/サービスワークロードの両方のクラウドワークロードタグ/ラベルの取り込み、AWS セキュリティグループを使用したポリシーの適用(EC2 ワークロードのみ)のサポートが追加されます。クラウドホストにソフトウェアエージェントをインストールする必要はありません。 この新しいクラウドコネクタは、外部アプライアンスを必要とせずに、さまざまな手段で以前に提供されていた機能を統合することで接続の管理を合理化します。
|
||
コンテナワークロードのマイクロセグメンテーションのサポート |
Red Hat OpenShift 4.x を介して導入されたコンテナワークロードのマイクロセグメンテーション サポートが利用可能になりました。 OpenShift 4.x は、Kubernetes のデフォルトのコンテナランタイムとして CRI-O を使用します。CRI-O がサポートされており、このような環境で実行するために既存の適用ワークフローを変更する必要はありません。ワーカーノードのオペレーティングシステムには、OpenShift 4.x で公式にサポートされている RHEL または CentOS のいずれかのバージョンが使用できます。 このリリースは、Red Hat OpenShift バージョン 4.6 までをサポートします。 このリリースでは、ワーカーノードのオペレーティングシステムとして Red Hat CoreOS のサポートが追加されています。 |
||
ポリシーテンプレート |
一般的な設定で始めるのに役立つポリシーテンプレートが追加されました。 |
||
PIV/CAC |
PIV/CAC ID 検証との統合がサポートされるようになりました。 |
||
ハードウェアクラスタ |
Cisco Secure Workload ハードウェアクラスタの展開時やバージョン 3.6.1.5 へのアップグレード時に、外部ネットワーク接続用に IPv6 を設定できるようになりました。 制限事項、要件、および手順については、該当するアップグレードガイドまたはハードウェア導入ガイドを参照してください。 |
||
Windows ワークロード |
Windows ワークロードに対するサービス/アプリケーション/ユーザーベースのポリシー適用のサポートが追加されました。 Kubernetes ポッドおよびサービスフローに基づくポリシー検出のサポート。
|
||
ソフトウェアエージェントの正常性 |
[ソフトウェアエージェントの正常性(Software Agents Health)] ページに、メモリと CPU の使用レベルとエージェントの実行状態の異常が表示されるようになりました。 会話モードのフロー分析忠実度で、会話の発信側を特定するたびに 4 タプルの会話の L4 ポートが報告されるようになりました。 |
互換性の詳細については、Cisco.com の「Platform Information」(英語)を参照してください。
警告
このセクションでは、解決済みおよび未解決のバグと既知の動作のリストを示します。
このリリースで解決済みのバグと未解決のバグには、Cisco Bug Search Tool を使用してアクセスできます。この Web ベース ツールから、この製品やその他のシスコハードウェアおよびソフトウェア製品でのバグと脆弱性に関する情報を保守するシスコ バグ トラッキング システムにアクセスできます。
(注) |
Cisco Bug Search Tool の詳細については、Bug Search Tool(BST)ヘルプおよび FAQ を参照してください。
既知の動作
Cisco Secure Workload ソフトウェアリリース 3.6.x の既知の動作を参照してください。
リリース |
既知の動作 |
---|---|
3.6.1.47 |
3.6.1.5 の既知の動作と同じ |
3.6.1.36 |
3.6.1.5 の既知の動作と同じ |
3.6.1.21 |
3.6.1.5 の既知の動作と同じ |
3.6.1.17 |
3.6.1.5 の既知の動作と同じ |
3.6.1.5 |
|
リリース 3.6.1.52 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
ID |
見出し |
---|---|
ユーザーが IP 仮想化を使用してネットワーク情報を取得している場合、Tetration UI でデータがレンダリングされない。 |
|
ホスト IP に関連付けられたラベルが、そのホストで報告される他のすべての IP に複製される。 |
|
プロバイダーポート 0 が TCP フローのポートとして検出される。 |
|
フォレンジックルールの正規表現が正しくないため、データノードでディスク容量が枯渇する。 |
未解決の警告
次の表は、このリリースで開いている注意事項のリストです。バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
ID |
見出し |
---|---|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
FMC-CSW オーケストレータ:プロトコルが any に設定されている場合、CSW で IPv6 ホップバイホップがプッシュされる。 |
|
AWS フローログ:AWS フローログを使用したポリシー分析が機能しない。 |
リリース 3.6.1.47 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
ID |
見出し |
---|---|
Cisco Secure Workload 内部クラスタオーケストレータのローカル DNS がごくまれに失敗することがある。 |
|
Kafka Producer のエラーでメッセージが長すぎたため、DNS 外部オーケストレータでメタデータを取得できない。 |
|
Windows エージェントインストーラの PowerShell スクリプトに、カスタムパスにエージェントをインストールするオプションがない。 |
|
RHEL ホストのエージェントがエージェントの再起動の異常で繰り返し表示される。 |
|
オーケストレータの rsync バージョンが 3.1.2 未満の場合、CSW 3.7 のアップグレードが失敗することがある。 |
|
ネットワークの可視性を無効にすると、プロセス/パッケージの可視性も無効になる。 |
|
namenode スイッチオーバースクリプトが namenode が起動するまで待機しないことがある |
|
フォレンジック機能を無効にしても、監査ログへのイベントの記録が停止しない。 |
|
RHEL 8.x 適用エージェントが [アップグレード(Upgrade)] タブに表示されない。 |
|
エージェント インストーラ スクリプトによるユーザーラベルの更新に不具合がある。 |
|
Windows Server 2008 R2 と Cisco Secure Workload エージェントでクロックにずれがある。 |
|
特定の IPv6 の範囲でポリシーを処理すると、適用エージェントが再起動することがある。 |
|
ワークロードに対して大規模な CSW エージェントの展開を実行できない。 |
|
ACI から受信した NetFlow データセットの復号化で EOF エラーが発生する。 |
|
Netflow センサーが受信した netflow データをドロップした。 |
|
NetFlow コネクタからの NetFlow パケットの復号化で一定のエラーが発生する。 |
|
ポリシーテンプレートをインポートしても、[最新のポリシーの分析(Analyze Latest Policies)] ボタンが変更されない。 |
|
[North Star] 機能する SSH キーをアップグレード前にインポートする要件を追加。 |
|
機能強化:すべてのラベルタイプの一致条件のサポート |
未解決のバグ
ID |
見出し |
---|---|
会話モード:会話モードの短時間の非 TCP フローでクライアントサーバーが切り替わることがある |
|
AWS フローログの子範囲のポリシー分析が機能しない |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
リリース 3.6.1.36 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
ID |
見出し |
---|---|
Cisco Secure Workload 適用エージェントで IPv6 サブネットが誤って集約されることがある |
|
パッチアップグレード後に AgentContainer および HelmChart のサービスが失敗する。 |
|
namenode スイッチオーバースクリプトが namenode が起動するまで待機しないことがある |
|
40Gbps リンクのサーバーで実行されている ERSPAN センサーで 100Kpps しか受信しない |
|
適用モードが WFP の場合に適用エージェントが Windows ファイアウォールサービスに依存する |
|
EHN:Tet エージェントのインストール時にエージェントタイプの詳細情報の提供が必要 |
|
SNOW 統合に最低限必要なロールを文書化 |
|
ENH:NPCAP バージョンの最新の 1.5 へのアップグレード |
|
ゾーン転送で DNS 外部オーケストレータが失敗する |
|
フェデレーション/DBR:ソースクラスタからのセンサー移行のステータスを特定できない |
|
サイトの DNS リゾルバの設定の変更に失敗することがある |
|
3.6 でポートなしで HTTP プロキシを有効にすると、AppServer の iptables テンプレートが破損する |
|
LDAP と統合されている場合、ISE コネクタで複数の memberOf 属性を処理できない |
|
AppServer 仮想マシンの noisy.log のログローテーションが機能しない |
|
Cisco Tetration に Rocky Linux 8 との互換性がない |
|
会話モード:会話モードの短時間の非 TCP フローでクライアントサーバーが切り替わることがある |
未解決のバグ
Windows Server 2008 R2 と Cisco Secure Workload エージェントでクロックにずれがある |
|
AWS フローログの子範囲のポリシー分析が機能しない |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
ライセンス数が正確でない |
|
FMC-CSW オーケストレータ:プロトコルが any に設定されている場合、CSW で IPv6 ホップバイホップがプッシュされる |
リリース 3.6.1.21 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
不具合 ID |
説明 |
---|---|
センサーの導入に関するドキュメントで NIC チーミングバージョンの互換性マトリクスを反映。 |
未解決のバグ
ID |
見出し |
---|---|
40Gbps リンクのサーバーで実行されている ERSPAN センサーで 100Kpps しか受信しない。 |
|
適用モードが WFP の場合に適用エージェントが Windows ファイアウォールサービスに依存する。 |
|
フェデレーション/DBR:ソースクラスタからのセンサー移行のステータスを特定できない。 |
|
Windows Server 2008 R2 と Cisco Secure Workload エージェントでクロックにずれがある。 |
|
AWS フローログの子範囲のポリシー分析が機能しない。 |
|
会話モード:会話モードの短時間の非 TCP フローでクライアントサーバーが反転することがある。 |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
FMC-CSW オーケストレータ:プロトコルが any に設定されている場合、CSW で IPv6 ホップバイホップがプッシュされる。 |
リリース 3.6.1.17 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
ID |
見出し |
---|---|
Cisco Tetration の脆弱性サイトの出力の問題 |
|
すべてのプロトコルでマークされたサービスが F5 外部オーケストレータで適切に処理されない |
|
VMware VDI インスタントクローンの使用時にエージェントが登録に失敗する(Windows 10 で適用を有効にしている場合) |
|
フェデレーションのクラスタのプライマリサイトとセカンダリサイトで Cisco Tetration の SSH キーが同期されない |
|
ADM の会話モードでプロバイダーポートが 0 に設定されたポリシーが生成される |
|
[強力な暗号の有効化(Strong Ciphers Enabled)] オプションセットの True と False の違いの説明 |
|
ENH:Windows Storage Server 2012R2/Storage Server 2016 の Cisco Tetration エージェントのサポート |
|
提供されたサービスリクエストを使用してワークスペースの 3.6.1.5 にアップグレードした後に ADM ジョブが失敗する |
|
2 つの ACI ファブリックが Cisco Tetration クラスタに接続されたシナリオで FabricPath が正しく表示されない |
|
ロケール名に UTF-8 文字以外を含むセンサーのワークロード プロファイル ページを開く際にエラーが発生する |
|
ENH:深部に及ぶ可視性センサーが新しい UBR を持つ Cisco Tetration の Windows レジストリの更新を定期的にポーリング |
|
RHEL 8.2 VM でのエージェントのアップグレードが PGP 署名がないために失敗する |
|
ワークロード プロファイル ページで適用エージェントの CPU オーバーヘッドメトリックの統計が誤って報告される |
|
内部専用 DNS でプロキシを使用している場合、3.6.1.5 へのアップグレード後に Windows エージェントが非アクティブになる |
|
エージェントが会話モードの場合、確立されていない TCP フローのポリシーが ADM で生成される |
|
エラー:site_enable_strong_ciphers_sensor_vip が定義されていないために 3.6.1.5 へのアップグレードが失敗する |
|
Windows ホストにおいて、3.6(1.5) エージェントのインストールスクリプトで 3.5(1.x) エージェントのパッケージをインストールできない |
|
センサーの導入に関するドキュメントで NIC チーミングバージョンの互換性マトリクスを反映 |
|
Windows 10 Enterprise LTSC の Cisco Tetration エージェントサポートを追加 |
|
admFlowDb バッチが大きすぎると、4 時間後に ADM が失敗する。 |
|
取り込みコネクタのリスニングポートを再設定すると、コネクタが非アクティブ状態になる。 |
|
新しいワークロードが初めて表示されたときにアラートが必要 |
未解決のバグ
ID |
見出し |
---|---|
40Gbps リンクのサーバーで実行されている ERSPAN センサーで 100Kpps しか受信しない |
|
適用モードが WFP の場合に適用エージェントが Windows ファイアウォールサービスに依存する |
|
フロー学習されたインベントリが会話モードで単方向のフローから構築される |
|
フェデレーション/DBR:ソースクラスタからのセンサー移行のステータスを特定できない |
|
Windows Server 2008 R2 と Cisco Secure Workload エージェントでクロックにずれがある |
|
AWS フローログの子範囲のポリシー分析が機能しない |
|
会話モード:会話モードの短時間の非 TCP フローでクライアントサーバーが切り替わることがある |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
FMC-CSW オーケストレータ:プロトコルが any に設定されている場合、CSW で IPv6 ホップバイホップがプッシュされる。 |
リリース 3.6.1.5 の不具合
次の表は、このリリースの不具合のリストです。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
解決済みのバグ
ID |
見出し |
---|---|
着信 WFP フィルタにより、古い Windows リリースの一部のポリシーで後続のポートがブロックされることがある |
|
Windows での Cisco Tetration エージェントのアップグレードで Npcap のインストールに失敗することがある |
|
ERSPAN アプライアンスで「PENDING REGISTRATION」を反映 |
|
適用エージェントで Windows システムへのファイアウォールルールの展開が断続的に繰り返される |
|
ERSPAN エージェントが 3.5.x の後にアップグレードされない |
|
AnyConnect の LDAP 設定から削除した後も、古い LDAP 属性がフロー検索で引き続き表示される |
|
自動ロールマッピングによる LDAP/AD アカウントからのエージェント インストーラ スクリプトがユーザーのログアウト後に失敗する |
|
iptables バージョン 1.8.4 の問題が原因で、Linux 適用エージェントがファイアウォールルールのプログラムに失敗する |
|
ENH:適用アラートタイプに CPU クォータ超過のアラートを追加。 |
|
NET の脆弱性が誤って照会され、最終的に Server 2008 R2 の Cisco Tetration で FP が発生する |
|
最新のデータパックのインストール後に CVE が検出される |
|
Windows エージェントのインストールのエラー:古いバージョンの Cisco Tetration エージェントを削除できない |
|
ISE 統合により、EAP チェーンおよび IP アドレス変更ケースの注釈が失効する |
未解決のバグ
次の表に、このリリースで未解決になっているバグを示します。
バグ ID をクリックして、Cisco バグ検索ツールにアクセスし、そのバグに関する追加情報を表示します。
ID |
見出し |
---|---|
40Gbps リンクのサーバーで実行されている ERSPAN センサーで 100Kpps しか受信しない |
|
適用モードが WFP の場合に適用エージェントが Windows ファイアウォールサービスに依存する |
|
ワークロード プロファイル ページで適用エージェントの CPU オーバーヘッドメトリックの統計が誤って報告される |
|
Windows Server 2008 R2 と Cisco Secure Workload エージェントでクロックにずれがある |
|
AWS フローログの子範囲のポリシー分析が機能しない |
|
取り込みコネクタのリスニングポートを再設定すると、コネクタが非アクティブ状態になる。 |
|
ADM の会話モードでプロバイダーポートが 0 に設定されたポリシーが生成される |
|
エラー:site_enable_strong_ciphers_sensor_vip が定義されていないために 3.6.1.5 へのアップグレードが失敗する |
|
会話モード:会話モードの短時間の非 TCP フローでクライアントサーバーが切り替わることがある |
|
エージェントが会話モードの場合、確立されていない TCP フローのポリシーが ADM で生成される |
|
Windows ホストにおいて、3.6(1.5) エージェントのインストールスクリプトで 3.5(1.x) エージェントのパッケージをインストールできない |
|
会話モード:適用が有効になっている場合、39RU クラスタで 50k のセンサーがサポートされないことがある。 |
|
FMC-CSW オーケストレータ:プロトコルが any に設定されている場合、CSW で IPv6 ホップバイホップがプッシュされる。 |
関連資料
Cisco Secure Workload のマニュアルは次の Web サイトからアクセスできます。
ドキュメント |
説明 |
||
---|---|---|---|
Cisco Secure Workload Cluster Deployment Guide |
Cisco Secure Workload(39-RU) プラットフォームと Cisco Secure Workload M(8-RU)のシングルおよびデュアルラックインストールの物理的な構成、設置場所の準備、およびケーブル配線について説明します。 |
||
Cisco Secure Workload Virtual Deployment Guide |
Cisco Secure Workload 仮想アプライアンス(旧称 Tetration-V)の展開について説明します。 Cisco Secure Workload Virtual (Tetration-V) Deployment Guide |
||
Cisco Secure Workload アップグレードガイド |
Cisco Secure Workload アップグレードガイド
|
||
最新の脅威データソース |
上記のオンライン リソースでは問題を解決できない場合は、Cisco TAC にお問い合わせください。
-
Cisco TAC の電子メール アドレス:tac@cisco.com
-
Cisco TAC の電話番号(北米):1.408.526.7209 または 1.800.553.2447
-
Cisco TAC の連絡先(世界全域):Cisco Worldwide Support の連絡先
シスコへのお問い合わせ
上記のオンライン リソースでは問題を解決できない場合は、Cisco TAC にお問い合わせください。
-
Cisco TAC の電子メール アドレス:tac@cisco.com
-
Cisco TAC の電話番号(北米):1.408.526.7209 または 1.800.553.2447
-
Cisco TAC の連絡先(世界全域):Cisco Worldwide Support の連絡先