Cisco Secure Workload のインベントリの管理
ワークロードラベル
範囲とインベントリ
- スコープ
- インベントリ
フィルタ
範囲/フィルタ変更の影響を確認
- 範囲クエリ変更影響モーダル
  - メンバーシップの変更
  - 依存関係
- フィルタクエリ変更影響モーダル
  - メンバーシップの変更
  - 依存関係
インベントリプロファイル
ワークロードプロファイル
Software Packages
脆弱性データの可視性
- ワークロードプロファイルページ
- インベントリフィルタ
サービスプロファイル
ポッドプロファイル
コンテナの脆弱性スキャン

Cisco Secure Workload のインベントリの管理

インベントリは、ネットワーク上のすべてのワークロードの IP アドレスであり、それらを説明するラベルやその他のデータで注釈が付けられています。インベントリには、ベアメタルまたは仮想マシン、コンテナ、およびクラウドで実行されているワークロードが含まれます。パートナーネットワークで実行されているワークロードも含まれる場合があります（該当する場合）。

インベントリデータの収集は反復的なプロセスです。単一の IP アドレスのさまざまなソースからのデータをマージでき、新規および変更された IP アドレスを更新できます。通常、時間の経過とともに、インベントリの管理は徐々に動的になります。

各インベントリ項目に関連付けられているラベルと注釈に基づいて、検索、フィルタ、および範囲を使用してインベントリを操作し、グループ化します。ポリシーは、インベントリに定義したフィルタと範囲によって定義されたワークロードのグループに適用されます。

インベントリを操作するためのオプションは付与されているロールによって異なりますが、多くの場合、検索、フィルタ、アップロードが含まれます。

表 1. 機能情報
機能名	リリース	機能説明	どこにあるか
インベントリの拡張	3.9	ネットワーク内のワークロード、デバイス、リソースのインベントリと、関連するラベルおよびサブネットを管理し、追跡することができます。	インベントリフィルタ作成のルール
Cisco Vulnerability Management for Deep CVE Insights と Cisco Risk Score for Prioritization の統合	3.9 パッチ 2	CVE の Cisco Security Risk Score を使用して、インベントリフィルタ、影響を受けるワークロードからの通信をブロックするマイクロセグメンテーションポリシー、および CVE を Cisco Secure Firewall に公開する仮想パッチ適用ルールを作成できます。	Cisco Security Risk Score ベースのフィルタ
既知の悪意のある IPv4 トラフィックの可視性と適用	3.9 パッチ 2	既知の悪意のある IPv4 アドレスに対するワークロード間のトラフィックを特定できるようになりました。また、[悪意のあるインベントリ（Malicious inventory）] というタイトルの事前定義された読み取り専用インベントリフィルタを使用して、悪意のある IP へのトラフィックをブロックするポリシーを作成できます。	悪意のあるインベントリベースのフィルタ

ワークロードラベル

ラベル（タグ、注釈、属性、メタデータ、またはコンテキストと呼ばれることもありますが、これらの用語は必ずしも完全に同義ではありません）は、Secure Workload の能力の鍵です。

人間が読めるラベルでは、機能、場所、その他の基準に関してワークロードについて説明します。

Secure Workload は、以下のユーザーラベルの追加方法をサポートしています。

インベントリ項目で実行されている Secure Workload エージェントによる検出
カンマ区切り値（CSV）ファイルのアップロードによる手動インポート
ユーザーインターフェイスによる手動割り当て
エンドポイントのコネクタによる自動インポート
インベントリ強化用のコネクタによる自動インポート
オーケストレータで生成されたラベルとカスタムラベルの自動インポート（「外部オーケストレータ」を参照）
クラウドコネクタからの自動インポート（「クラウドコネクタ」を参照）
インストーラスクリプトを作成するときに、インベントリラベルを指定できます。スクリプトを使用してインストールされたエージェントにはすべて、インベントリラベルが自動的にタグ付けされます。この機能は、Linux および Windows ワークロードの展開でのみサポートされています。

ラベルの重要性

ラベルを使用すると、論理ポリシーを定義できます。次に例を示します。

コンシューマ hr_department からプロバイダー employee_db へのトラフィックを許可する場合

コンシューマとプロバイダーのワークロードグループメンバーを指定する代わりに、次の図に示すように、ラベルを使用して論理ポリシーを定義できます。これにより、論理ポリシーを変更することなく、コンシューマグループとプロバイダーグループのメンバーシップを動的に変更できるようになります。フリートからワークロードが追加または削除されるとと、外部オーケストレータやクラウドコネクタなど、設定したサービスによって Secure Workload に通知されます。これにより、Secure Workload はコンシューマグループ hr_department とプロバイダーグループ employee_db のメンバーシップを評価できます。

サブネットベースのラベル継承

サブネットベースのラベル継承がサポートされます。下位のサブネットと IP アドレスは、次の条件のいずれかが満たされている場合、それらが属する上位のサブネットからラベルを継承します。

下位サブネット/アドレスのラベルのリストに該当するラベルが含まれていない。
下位サブネット/アドレスのラベル値が空である。

次の例を考えてみます。


IP	名前	目的	環境	スピリットアニマル
10.0.0.1	server-1	webtraffic	実稼働
10.0.0.2				カエル
10.0.0.3				ワシ
10.0.0.0/24	web-vlan		統合
10.0.0.0/16		webtraffic		アナグマ
10.0.0.0/8			test	クマ

IP アドレス 10.0.0.3 のラベルは {“name”: “web-vlan”, “purpose”: “webtraffic”, “environment”: “integration”, “spirit-animal”: “eagle”} です。

ラベルのプレフィック

ラベルは、情報のソースを識別するプレフィックス付きで自動的に表示されます。

UI（OpenAPI では user_）では、すべてのユーザーラベルの先頭に * が付きます。さらに、外部オーケストレータまたはクラウドコネクタから自動的にインポートされたラベルには、 orchestrator_ というプレフィックスが付きます。エンドポイントコネクタからインポートされたラベルについては、「エンドポイントのコネクタ」で詳細を参照してください。ただし、ldap_ のプレフィックスが付いたラベルが含まれる場合があります。

たとえば、ユーザーがアップロードした CSV ファイルからインポートされた department のキーを持つラベルは、UI では * department と表示され、OpenAPI では user_department と表示されます。外部オーケストレータからインポートされた location のキーを持つラベルは、UI では * orchestrator_location と表示され、OpenAPI では user_orchestrator_location と表示されます。

次の図は、オーケストレータが生成したプレフィックス付きのラベルを使用したインベントリ検索の例を示しています。

orchestrator_system/os_image:

クラウドコネクタによって生成されたラベル

これらのラベルは、AWS および Azure からのデータに適用されます。これらのラベルの送信元は、AWS VPC または Azure VNet のワークロードとネットワークインターフェイスです。送信元からのタグがマージされ、Cisco Secure Workload に表示されます。たとえば、ワークロードタグが

env: prod

であり、ネットワークインターフェイスタグが

env: prod

である場合、Cisco Secure Workload でのラベル値は

prod,test

になります。これは、それぞれのコネクタページの orchestrator_env 列に表示されます。

AKS、EKS、GKE に固有のラベルについては、「Kubernetes クラスタに関連するラベル」も参照してください。

表 2. クラウドコネクタを使用して収集されるインベントリのラベル
キー	値
orchestrator_system/orch_type	AWS または Azure
orchestrator_system/cluster_name	<Cluster_name はユーザーがこのコネクタの設定に付けた名前>
orchestrator_system/name	<コネクタの名前>
orchestrator_system/cluster_id	<仮想ネットワーク ID>

インスタンス固有のラベル

次のラベルは、各ノードに固有のものです。


キー	値
orchestrator_system/workload_type	vm
orchestrator_system/machine_id	<プラットフォームによって割り当てられた InstanceID>
orchestrator_system/machine_name	<AWS によってこのノードに指定された PublicDNS（FQDN）> – または – <Azure での InstanceName>
orchestrator_system/segmentation_enabled	<インベントリでセグメンテーションが有効になっているかどうかを判断するためのフラグ>
orchestrator_system/virtual_network_id	<インベントリが属する仮想ネットワークの ID>
orchestrator_system/virtual_network_name	<インベントリが属する仮想ネットワークの名前>
orchestrator_system/interface_id	<このインベントリに付属する elastic network interface の識別子>
orchestrator_system/region	<インベントリが属する地域>
orchestrator_system/resource_group	（このタグは Azure インベントリにのみ適用されます）
orchestrator_‘<Tag Key>‘	<Tag Value> クラウドポータルのインベントリに割り当てられた任意数のカスタムタグのキーと値のペア。

Kubernetes クラスタに関連するラベル

次の情報は、シンプルな Kubernetes、OpenShift、およびサポートされているクラウドプラットフォーム（EKS、AKS、および GKE）で実行されている Kubernetes に適用されます。

Secure Workload は、オブジェクトタイプごとに、オブジェクトに関連付けられたラベルを含むインベントリを Kubernetes クラスタからリアルタイムでインポートします。ラベルのキーと値はそのままインポートされます。

Secure Workload では、Kubernetes オブジェクト用に定義されたラベルのインポートに加えて、これらのオブジェクトをインベントリフィルタで使用しやすくするラベルも生成します。これらの追加のラベルは、範囲とポリシーを定義する際に特に役立ちます。

すべてのリソースに対して生成されたラベル

Secure Workload は、Kubernetes/OpenShift/EKS/AKS/GKE API サーバーから取得したすべてのノード、ポッド、およびサービスに次のラベルを追加します。


キー	値
orchestrator_system/orch_type	kubernetes
orchestrator_system/cluster_id	<UUID of the cluster’s configuration in \|product\|>
orchestrator_system/cluster_name	<Kubernetes クラスタの名前>
orchestrator_system/name	<コネクタの名前>
orchestrator_system/namespace	<この項目の Kubernetes/OpenShift/EKS/AKS/GKE 名前空間>

ノード固有のラベル

次のラベルは、ノードに対してのみ生成されます。


キー	値
orchestrator_system/workload_type	マシン
orchestrator_system/machine_id	<Kubernetes/OpenShift によって割り当てられた UUID>
orchestrator_system/machine_name	<このノードに指定された名前>
orchestrator_system/kubelet_version	<このノードで実行されている kubelet のバージョン>
orchestrator_system/container_runtime_version	<このノードで実行されているコンテナランタイムバージョン>

ポッド固有のラベル

次のラベルは、ポッドに対してのみ生成されます。


キー	値
orchestrator_system/workload_type	pod
orchestrator_system/pod_id	<Kubernetes/OpenShift によって割り当てられた UUID>
orchestrator_system/pod_name	<このポッドに指定された名前>
orchestrator_system/hostnetwork	<true\|false> ポッドがホストネットワークで実行されているかどうかを反映
orchestrator_system/machine_name	<ポッドが実行されているノードの名前>
orchestrator_system/service_endpoint	[このPodが提供しているサービス名のリスト]

サービス固有のラベル

次のラベルは、サービスに対してのみ生成されます。


キー	値
orchestrator_system/workload_type	サービス
orchestrator_system/service_name	<このサービスに指定された名前>

（クラウドマネージド型 Kubernetes の場合のみ）ServiceType：LoadBalancer のサービスは、メタデータの収集に対してのみサポートされ、フローデータの収集やポリシーの適用に対してはサポートされません。

ヒント

orchestrator_system/service_name を使用して項目をフィルタリングすることと、 orchestrator_system/service_endpoint を使用することは同じではありません。

たとえば、フィルタ orchestrator_system/service_name = web を使用すると、web という名前のすべてのサービスが選択されますが、 orchestrator_system/service_endpoint = web は、web という名前のサービスを提供するすべてのポッドを選択します。

Kubernetes クラスタのラベルの例

次の例は、Kubernetes ノードの部分的な YAML 表現と、Cisco Secure Workload によってインポートされた対応するラベルを示しています。


 - apiVersion: v1
 kind: Node
 metadata:
   annotations:
     node.alpha.kubernetes.io/ttl: "0"
     volumes.kubernetes.io/controller-managed-attach-detach: "true"
   labels:
     beta.kubernetes.io/arch: amd64
     beta.kubernetes.io/os: linux
     kubernetes.io/hostname: k8s-controller

表 3. Kubernetes からインポートされたラベルキー
インポートされたラベルキー
orchestrator_beta.kubernetes.io/arch
orchestrator_beta.kubernetes.io/os
orchestrator_kubernetes.io/hostname
orchestrator_annotation/node.alpha.kubernetes.io/ttl
orchestrator_annotation/volumes.kubernetes.io/controller-managed-attach-detach
orchestrator_system/orch_type
orchestrator_system/cluster_id
orchestrator_system/cluster_name
orchestrator_system/namespace
orchestrator_system/workload_type
orchestrator_system/machine_id
orchestrator_system/machine_name
orchestrator_system/kubelet_version
orchestrator_system/container_runtime_version

カスタムラベルのインポート

カスタムラベルは、ユーザー定義データを特定のホストに関連付けるために、アップロードしたり、手動で割り当てたりできます。ユーザー定義データは、関連するフローとインベントリに注釈を付けるために使用されます。

ラベルの入手元（手動入力または手動アップロード、コネクタまたは外部オーケストレータを使用した取り込みなど）にかかわらず、すべてのルート範囲でラベル付けできる IPv4/IPv6 アドレスまたはサブネットの数には制限があります。詳細については、「ラベルの制限」を参照してください。

ラベルファイルのアップロードに関するガイドライン

手順

ステップ 1	サンプルファイルを表示するには、左側のペインで [整理（Organize）] > [ラベル管理（Label Management）] > [ユーザー定義ラベルのアップロード（User Defined Label Upload）] を選択し、[サンプルのダウンロード（Download a Sample）] をクリックします。
ステップ 2	ユーザーラベルのアップロードに使用する CSV ファイルには、ラベルキー（IP アドレス）が含まれている必要があります。
ステップ 3	ラベルに英語以外の文字を使用するには、CSV ファイルを UTF-8 形式にする必要があります。
ステップ 4	CSV ファイルが「ラベルキースキーマ」セクションで説明されているガイドラインを満たしていることを確認します。
ステップ 5	アップロードされたすべてのファイルは、同じスキーマに従う必要があります。

ラベルキースキーマ

列名に関するガイドライン

ラベルキースキーマでは、ヘッダー「IP」を持つ 1 つの列が必要です。さらに、IP アドレスの属性を含む他の列が少なくとも 1 つ必要です。
[VRF] 列は、ラベルスキーマで特別な意味を持ちます。この値を指定する場合は、ラベルをアップロードするルート範囲と一致する必要があります。範囲に依存しない API を使用して CSV ファイルをアップロードする場合、これは必須です。
列名に使用できる文字は、文字、数字、スペース、ハイフン、アンダースコア、およびスラッシュのみです。
列名は 200 文字を超えることはできません。
列名の前に「orchestrator_」、「TA_」、「ISE_」、「SNOW_」、または「LDAP_」のプレフィックスを付けることはできません。これらは内部アプリケーションのラベルと競合する可能性があるためです。
CSV ファイルに重複する列名が含まれないようにしてください。

列の値に関するガイドライン

値は 255 文字に制限されていますが、可能な限り短くする必要があると同時に、ユーザーにとって明確で、わかりやすく意味のあるものでなければなりません。
キーと値は大文字と小文字が区別されません。ただし、一貫性を持たせることをお勧めします。
「IP」列の下に表示されるアドレスは、次の形式に従う必要があります。
- IPv4 アドレスの形式は、「x.x.x.x」および「x.x.x.x/32」です。
- IPv4 サブネットは、「x.x.x.x/<netmask>」の形式にする必要があります。ここで、ネットマスクは 0 ～ 31 の整数です。
- IPv6 アドレスでは、長い形式（「x:x:x:x:x:x:x:x」または「x:x:x:x:x:x:x:x/128」）および標準形式（「x:x::x」または「x:x::x/128」）がサポートされています。
- IPv6 サブネットでは、長い形式（「x:x:x:x:x:x:x:x/<netmask>」）と標準形式（「x:x::x/<netmask>」）がサポートされています。ネットマスクは 0 ～ 127 の整数である必要があります。

列の順序は重要ではありません。最初の 32 のユーザー定義列は、ラベルが自動的に有効になります。32 を超える列がアップロードされている場合は、ページの右側にあるチェックボックスを使用して、最大 32 の列を有効にすることができます。

カスタムラベルのアップロード

次の手順では、サイト管理者、カスタマーサポート、またはルート範囲所有者の各ロールを持つユーザーがラベルをアップロードする方法を説明します。

始める前に

カスタムラベルをアップロードするには、「ラベルファイルのアップロードに関するガイドライン」セクションに従って、CSV ファイルを作成します。

手順

ステップ 1

左側のペインで、[整理（Organize）] > [ユーザー定義ラベルのアップロード（User Defined Label Upload）] > [CSVのアップロード（CSV Upload）] を選択し、[新しいラベルのアップロード（Upload New Labels）] で [ファイルの選択（Select File）] をクリックします。

ステップ 2

左側のペインで、[整理（Organize）] > [ラベル管理（Label Management）] を選択し、[新しいラベルのアップロード（Upload New Labels）] で [ファイルの選択（Select File）] をクリックします。

ステップ 3

操作（[追加（Add）]、[マージ（Merge）]、または [削除（Delete）]）を選択します。

[追加（Add）]：ラベルを新規および既存のアドレス/サブネットに追加します。既存のラベルの代わりに新しいラベルを選択して、競合を解決します。たとえば、データベース内の住所のラベルが {"foo": "1", "bar": "2"} で、CSV ファイルに {"z": "1", "bar": "3"} が含まれている場合、add` は、このアドレスのラベルを {"foo": "1", "z": "1", "bar": "3"} に設定します。

[マージ（Merge）]：ラベルを既存のアドレス/サブネットにマージします。空の値の代わりに空でない値を選択することで、競合を解決します。たとえば、データベース内のアドレスのラベルが {"foo": "1", "bar": "2", "qux": "", "corge": "4"} で、CSV ファイルに {"z": "1", "bar": "", "qux": "3", "corge": "4-updated"} が含まれている場合、add` は、このアドレスのラベルを {"foo": "1", "z": "1", "bar": "2", "qux": "3", "corge": "4-updated"} に設定します。

（注）

“bar” の値は “”（空）にリセットされず、既存の値 “bar”=”2” が保持されます。

[削除（Delete）]：このオプションにより、アドレス/サブネットのラベルが削除されます。このオプションは、範囲、フィルタ、ポリシー、および適用される動作に大きな影響を与える可能性があります。重要な詳細については、「ラベルの削除」を参照してください。

重要：この削除機能により、カスタムラベルのアップロード中に、指定された IP アドレス/サブネットに関連付けられたすべてのラベルが削除されます。削除の対象は、CSV ファイルに一覧表示されている列に限定されません。そのため、削除操作は慎重に使用する必要があります。

ステップ 4

[アップロード（Upload）] をクリックします。

検索ラベル

[サイト管理者（Site Admin）]、[カスタマーサポート（Customer Support）] または [範囲所有者（scope owner）] のロールを持つユーザーは、特定の IP アドレスまたはサブネットにラベルを割り当てることができます。

手順

ステップ 1

[ラベル管理（Label Management）] ページで、[検索と割り当て（Search and Assign）] をクリックします。

ステップ 2

[IPまたはサブネット（IP or Subnet）] フィールドで、IP アドレスまたはサブネットを入力し、[次へ（Next）] をクリックします。

[ラベルの割り当て（Assign Labels）] ページに、入力した IP アドレスまたはサブネットの既存のラベルが表示されます。

カスタムラベルの手動割り当てまたは編集

[サイト管理者（Site Admin）]、[カスタマーサポート（Customer Support）] または [ルート範囲の所有者（Root Scope Owner）] のロールを持つユーザーは、特定の IP アドレスまたはサブネットにラベルを手動で割り当てることができます。

手順

ステップ 1	[ラベル管理（Label Management）] ページで、[検索と割り当て（Search and Assign）] をクリックします。
ステップ 2	[IPまたはサブネット（IP or Subnet）] フィールドで、IP アドレスまたはサブネットを入力し、[次へ（Next）] をクリックします。 [ラベルの割り当て（ Assign Labels）] ページが表示されます。既存のラベルが表示され、編集できることに注意してください。
ステップ 3	新しいラベルを追加するには、Labels for <IP address/subnet> セクションで、ラベル名と値を入力し、[確認（Confirm）] をクリックします。[次へ（Next）] をクリックします。
ステップ 4	変更を確認し、[割り当て（Assign）] をクリックして確定します。

ラベルのダウンロード

サイト管理者、カスタマーサポート、またはルート範囲の所有者ロールを持つユーザーは、ルート範囲に属する事前に定義されたラベルをダウンロードできます。

手順

ステップ 1

[ラベル管理（Label Management）] ページで、[ユーザー定義ラベルのアップロード（User Defined Label Upload）] をクリックします。

ステップ 2

[既存のラベルのダウンロード（Download Existing Labels）] セクションで、[ラベルのダウンロード（Download Labels）] をクリックします。

Secure Workloadで使用されるラベルが CSV ファイルとしてダウンロードされます。

ラベルの変更

警告	ラベルを変更する必要がある場合は、慎重に変更してください。変更すると、既存のクエリ、フィルタ、範囲、クラスタ、ポリシー、およびそのラベルに基づいて適用された動作のメンバーシップと効果が変更されます。

手順

ステップ 1	[ラベル管理（Label Management）] ページで、[検索と割り当て（Search and Assign）] タブをクリックします。
ステップ 2	[IPまたはサブネット（IP or Subnet）] フィールドで、IP アドレスまたはサブネットを入力し、[次へ（Next）] をクリックします。 Secure Workload が入力した IP アドレス/サブネットに対して使用しているラベルが表示されます。
ステップ 3	[アクション（Actions）] 列で、[編集（Edit）] アイコンをクリックして必要なラベルの名前と値を変更します。
ステップ 4	[確認（Confirm）] をクリックし、[次へ（Next）] をクリックします。
ステップ 5	変更を確認し、[割り当て（Assign）] をクリックします。

ラベルの無効化

スキーマを変更する 1 つの方法は、ラベルを無効にすることです。注意して続行してください。

手順

ステップ 1

[ラベル管理（Label Management）] ページに移動します。

ステップ 2

該当するラベルの [アクション（Actions）] 列で [無効化（Disable）] を選択し、次に [はい（Yes）] をクリックしてインベントリからラベルを削除することを確認します。

後でラベルを有効にする場合は、[有効化（Enable）] をクリックしてラベルを使用します。

ラベル変更の影響の確認

[サイト管理者（Site Admin）]、[カスタマーサポート（Customer Support）] または [ルート範囲の所有者（Root Scope Owner）] のロールを持つユーザーは、IP アドレスまたはサブネットに割り当てられているラベルを表示して編集できます。

手順

ステップ 1	[ラベル管理（Label Management）] ページで、[検索と割り当て（Search and Assign）] をクリックします。
ステップ 2	[IPまたはサブネット（IP or Subnet）] フィールドで、IP アドレスまたはサブネットを入力し、[次へ（Next）] をクリックします。 IP アドレスまたはサブネットから継承された既存のラベルは編集できます。
ステップ 3	新しいラベルを追加するには、[IPアドレス/サブネットのラベル（Labels for IP address/subnet）] セクションでラベル名と値を入力し、[確認（Confirm）] をクリックします。
ステップ 4	[次へ（Next）] をクリックします。
ステップ 5	[アクション（Action）] 列で、詳細を確認するラベルの [ラベル変更の影響の確認（Review Label Change Impact）] リンクをクリックします。
ステップ 6	[戻る（Back）] をクリックしてページを閉じます。
ステップ 7	[検索と割り当て（Search and Assign）] ページで、[割り当て（Assign）] をクリックして変更をコミットします。図 3. 検索と割り当て

ラベルを削除する

注意	スキーマを変更する 1 つの方法は、ラベルを無効にして削除することです。注意して続行してください。この操作により、選択したラベルが削除され、依存するすべてのフィルタと範囲に影響します。これらのラベルが使用されていないことを確認してください。この操作を取り消すことはできません。

手順

ステップ 1	ラベルを無効にします。詳細については、「ラベルの無効化」を参照してください。
ステップ 2	[ゴミ箱（TrashCan）] アイコンをクリックし、[はい（Yes）] をクリックしてラベルの削除を確定します。

ラベルの一括削除

ラベルを一括削除するには、ポリシー、範囲、またはクラスタで使用されていない未使用の項目を特定します。

手順

ステップ 1

ナビゲーションウィンドウで、[整理（Organize）] > [ラベル管理（Label Management）]の順に選択します。

すべてのユーザー定義ラベルを表示するには、[すべて（All）] タブをクリックします。

（注）

デフォルトでは、ポリシー、設定、およびクラスタに割り当てられているラベルのチェックボックスは無効になっています。

使用されていないラベルを表示するには、[未使用（Unused）] タブをクリックします。
特定期間のラベルを検索するには、ドロップダウンリストから対応する期間を選択します。
- [常時（Anytime）]
- [1週間未使用（Unused for a week）]
- [1か月間未使用（Unused for a month）]
- [3か月間未使用（Unused for 3 months）]
- [6か月間未使用（Unused for 6 months）]

ステップ 2

削除するラベルの横にある [削除（Delete）] ボタン（[アクション（Action）] 列の下にある）を有効にします。

ステップ 3

削除するラベルの横にあるチェックボックスをオンにします。

（注）

デフォルトでは、[削除（Delete）] ボタンは無効になっています。

ステップ 4

[ユーザー定義ラベルのアップロード（User Defined Label Upload）] の横にある [削除（Delete）] をクリックし、削除するラベルのリストを確認します。

ステップ 5

[削除（Delete）] をクリックして確認します。

選択したラベルのみを削除できます。

ラベルの使用状況の表示

IP アドレスやサブネットインベントリは、CSV ファイルを使用してアップロードされたり、ユーザーによって手動で割り当てられたカスタムラベルで更新されます。その後、ラベルは範囲とフィルタの定義に使用でき、このフィルタに基づいてアプリケーションポリシーが作成されます。したがって、ラベルを変更すると、Cisco Secure Workload の範囲、フィルタ、およびポリシーに直接影響するため、ラベルの使用状況を把握することが重要です。

ラベルの使用状況を表示するには、次の手順を実行します。

手順

ステップ 1

[ラベル管理（Label Management）] ページでは、ラベルキー、使用中のラベルの上位 5 つの値、インベントリ、範囲、フィルタ、およびカスタムラベルを使用するクラスタが表示されます。

ステップ 2

[使用状況（Usages）] 列で、インベントリ、範囲、またはフィルタの横にあるカウント値をクリックします。たとえば、[ロケーション（Location）] ラベルを使用している範囲を表示するには、[範囲クエリ（Scope Queries）] 列の対応するカウントをクリックします。

図 4. 選択したラベルの範囲を表示

[範囲とインベントリ（Scopes and Inventory）] ページが表示され、クエリによって、選択したラベルで範囲が自動的にフィルタ処理されます。

ラベルのメンテナンスプロセスの作成

ネットワークとインベントリは変更されるため、ラベルを更新して変更を反映する計画を立てる必要があります。

たとえば、あるワークロードが廃止され、その IP アドレスが別の目的のワークロードに再度割り当てられた場合、そのワークロードに関連付けられているラベルを更新する必要があります。これは、手動でアップロードされるラベルと、構成管理データベース（CMDB）などの他のシステムで維持され、取り込まれるラベルの両方に当てはまります。

ラベルが定期的に継続して更新されるプロセスを作成し、そのプロセスをネットワークメンテナンスルーチンに追加します。

範囲とインベントリ

範囲とインベントリの概要

このセクションでは、範囲階層とそれに含まれるすべてのインベントリについて明らかにします。範囲は、階層構造を使用して、使用可能なインベントリを分類します。詳細については、「Cisco Secure Workload のインベントリの管理」を参照してください。

ナビゲーションウィンドウで、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）]の順に選択し、範囲階層を下方向に移動します。各範囲は範囲カードに表示されます。範囲カードには、次の情報が表示されます。

スコープ名
子範囲の数
インベントリ数
（オプション）未分類のインベントリ

範囲カードをクリックしてペインを更新し、範囲に関する詳細とそのすべてのインベントリのフィルタ処理されたリストを表示します。

範囲設計の原則

動的クエリ一致に従って、インベントリを範囲ツリーに対して照合します。
- クエリを IP/サブネットまたはラベル（推奨）に対して照合します。
- 各層におけるクエリの結合によって範囲ツリーを形成します。
範囲構造はロケーションに固有にすることができます（クラウドの結合に対するデータセンター、クラウド固有に対する地理的ロケーション）。
範囲ツリーの各レイヤーは、次のアンカーポイントを意味します。
- ポリシー制御
- ロールベースアクセス制御（RBAC）（Role Based Access Control）
範囲のレイヤは、深すぎないようにします。

範囲が重複していないことを確認します。

すべての子範囲は、その親範囲のサブセットである必要があります。
兄弟の範囲が重複していないことを確認してください（「範囲の重複」を参照）。

（注）

すべての組織の構造は異なるため、業界に応じて異なるアプローチが必要です。範囲の階層を設計する際に役立つ、ロケーション、環境、またはアプリケーションといった注目領域を選択します。

（注）

IP アドレスまたはサブネットを使用して、Kubernetes インベントリに関連する範囲を定義しないでください。これらのワークロードの範囲とポリシーの定義には、ラベルを使用する必要があります。範囲の定義に IP アドレスを使用すると、信頼性の低い結果が生成されるため、Pod サービスを識別するには、IP アドレスだけでは不十分です。

ホストに複数のインターフェイスがある場合は、単一の場所から必要なポリシーを検出して適用できるように、ホストに属するすべての IP を単一の範囲の下に保持することをお勧めします。
全体的な範囲数をサポートされている制限内に保ちます（制限に関する項を参照）。

主な機能

インベントリ数は範囲カードに表示され、範囲内のワークロードの数をすばやく確認できます。

範囲とインベントリの両方のフィルタリング機能は、範囲ツリーを下方向に移動したり、範囲階層や選択した範囲のインベントリ項目をフィルタリングしたりするために役立ちます。

スコープ

範囲は、Cisco Secure Workload の構成とポリシーの基本的な要素です。範囲とは、階層に配置された一群のワークロードです。ワークロードは、位置、ロール、および環境内の機能に関するモデルを構築する属性として機能するようにラベル付けされます。範囲は、時間の経過とともに変化し得る IP に関連付けられた ID や属性などの動的メカニズムをサポートする構造を提供します。

範囲はデータセンターアプリケーションをグループ化するために使用され、ロールを使用してそれらの管理をきめ細かく制御できるようにします。たとえば、範囲は Cisco Secure Workload でのポリシーのライフサイクルの管理、フロー、フィルタへのアクセスを定義するために製品全体で使用されます。

範囲は、[VRF] に対応するルートを持つ一連のツリーとして階層的に定義されます。その結果、それぞれの範囲ツリー階層は、別の範囲ツリーと重複しない分離されたデータを表示します。「範囲の重複」を参照してください。

範囲の定義

個々の範囲は、次の属性で定義されます。


属性	説明
[親範囲（Parent Scope）]	新しい範囲の親は、ツリー階層構造を定義します。
名前	範囲を識別する名前。
タイプ	タイプは、さまざまなカテゴリのインベントリを指定するために使用されます。該当がない場合、または範囲に混合タイプが含まれている場合は、空白のままにすることができます。
Query	個々の範囲を定義するクエリ。

（注）

範囲は、組織のアプリケーション所有権階層を模倣する階層で定義する必要があります。

（注）

クエリは、IP やサブネットまたはその他のインベントリ属性と一致させる場合があります。

範囲ディレクトリには、範囲階層と各範囲の詳細（インベントリ数、子範囲の数、ワークスペースなど）が表示されます。範囲をクリックするとその範囲が選択されます。右側の詳細ペインが、範囲およびその範囲のインベントリに関する詳細情報で更新されます。

範囲フィルタ

ユーザーは、範囲フィルタを使用して、範囲の重複やクエリなど、さまざまな範囲の詳細をすばやく特定できます。フィルタ機能は、クエリの変更、親の変更などを特定するのにも役立ちます。


フィールド	説明
名前（Name）	範囲またはインベントリフィルタの名前でフィルタ処理します。
説明	範囲の説明に表示されるテキストでフィルタ処理します。
Query	クエリで使用されるフィールドまたは値でフィルタ処理します。
[クエリの変更（Query Change）]	コミットされていないクエリがある範囲でフィルタ処理します。
Parent Change	ドラフトで移動されたがコミットされていない範囲でフィルタ処理します。
[インベントリフィルタあり（Is Inventory Filter）]	所有権の範囲に制限されているインベントリフィルタを表示します。
[ワークスペースあり（Has Workspace）]	プライマリワークスペースがある範囲でフィルタ処理します。
[適用ワークスペースあり（Has Enforced Workspace）]	適用されているプライマリワークスペースがある範囲でフィルタ処理します。
[重複あり（Has Overlaps）]	兄弟範囲と共通のインベントリがある範囲でフィルタ処理します。
[無効なクエリあり（Has Invalid Query）]	無効または不明なラベルを使用するクエリを含む範囲でフィルタ処理します。

例：

[重複あり（Has Overlaps）]

範囲の重複の例

Parent Change

ドラフトで移動されたがまだコミットされていない範囲。

フル範囲のクエリ

範囲の定義は階層型になっており、範囲のフルクエリは、すべての親と共に範囲の「論理積」として定義されます。上記の例では、アセットは Workloads:FrontEnd:Mongo に割り当てられています。

範囲の照合は次のようになります。

vrf_id = 676767 and (ip in 1.1.1.0/24) and (Hostname contains mongo).

vrf_id = 676767 はルート範囲クエリに基づき、1.1.1.0/24 の IP は親範囲クエリに基づきます。

（注）

同じレベルでクエリが重複しないようにすることを推奨します。これにより、順序付けの重要性がなくなり、混乱が軽減されます（「範囲の重複」を参照）。

範囲へのアクセスの提供

範囲に対する読み取り、書き込み、実行、適用、および所有者の権限を付与できます。詳細については、『Cisco Secure Workload ユーザーガイド』の「Roles」の項を参照してください。

ユーザーには「サブツリー」へのアクセスが付与されます。つまり、指定された範囲とそのすべての子にアクセスできます。前述の例を使用すると、Workloads:FrontEnd 範囲への読み取りアクセス権があるユーザーには、継承により、以下を含む Workloads:FrontEnd の下にあるすべての範囲への読み取りアクセス権があります。

Workloads:FrontEnd:Mongo
Workloads:FrontEnd:ElasticSearch
Workloads:FrontEnd:Redis
etc. . .

複数の範囲にアクセスできるロールも定義できます。たとえば、「Mongo Admin」ロールには、範囲への所有者アクセス権がある場合があります。

Workloads:FrontEnd:Mongo:MongoServer
Workloads:FrontEnd:Mongo:MongoDBArbiter

ロールと機能により、ユーザーは範囲階層への水平なアクセス権を得られます。

範囲の機能も継承されます。たとえば、範囲に書き込み機能があると、その情報の読み取りも可能です。

範囲の表示

すべてのユーザーは、自分にアクセス権がある範囲ツリーを表示できます。ルート範囲の所有者権限を持つユーザーは、そのツリーの範囲を作成、編集、および削除できます。このビューにアクセスするには、以下を行います。

左側のナビゲーションバーで、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）]をクリックします。

アクセス権のあるすべての範囲について、範囲階層全体（ルートまで）を横断できます。この完全な横断により、ユーザーが任意の範囲に対するポリシーを作成する際のコンテキストが提供されます。このページでは、いくつかのアクションを実行できます。

範囲階層の V 字の部分をクリックすると、その範囲の子が表示されます。
範囲カードをクリックすると、右側のペインが更新され、その範囲に関する詳細と、そのすべてのインベントリのフィルタ可能なリストが表示されます。

範囲を参照するフローの検索

範囲ページには、ショートカットがいくつか用意されており、フローの一方または両方のエンドポイントが指定された範囲内にあるフローを検索する必要があるシナリオで役立ちます。

上の図に示すように、範囲ツリー（左側のパネル）で目的の範囲を選択した後、ユーザーは次の 3 つのオプションから選択できます。

[フロー検索（コンシューマとして）（Flow Search - As Consumer ）] では、フロー検索ページへのショートカットが提供され、フローのコンシューマ範囲として選択された範囲でのフローの検索に役立ちます。つまり、フローのコンシューマエンドポイントまたは送信元エンドポイントは、選択した範囲に属します。
[フロー検索（プロバイダーとして）（Flow Search - As Provider）] では、フロー検索ページへのショートカットが提供され、フローのプロバイダー範囲として選択された範囲でのフローの検索に役立ちます。つまり、フローのプロバイダーエンドポイントまたは宛先エンドポイントは、選択した範囲に属します。
[フロー検索（内部トラフィック）（Flow Search - Internal Traffic）] では、フロー検索ページへのショートカットが提供され、選択した範囲に完全に制限されているフローの検索に役立ちます。つまり、フローの両方のエンドポイント（コンシューマとプロバイダー）は、選択した範囲に属します。

新しい範囲の作成

子範囲は、[範囲（Scopes）] 管理ページで作成します。このアクションには、ルート範囲の SCOPE_OWNER 権限が必要です。サイト管理者は、すべての範囲の所有者です。

子範囲を作成すると、親範囲のアプリケーションインベントリメンバーシップ（メンバーワークロード）に影響します。その結果、親範囲には「ドラフト変更」のマークが付けられます。変更をコミットして、依存関係の構造を更新する必要があります。「変更のコミット」を参照してください。

手順

ステップ 1

左側のナビゲーションバーで、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）]をクリックします。このページには、システムで作成済みのテナントと VRF に対応するルート範囲が表示されます。

ステップ 2

範囲ディレクトリで子範囲を選択します。必要に応じて、最初に範囲をフィルタリングできます。

ステップ 3

[追加（Add）] ボタンをクリックします。

ステップ 4

以下のフィールドに適切な値を入力します。


フィールド	説明
[親（Parent）]	新しい範囲の親。
名前	範囲を識別する名前。親範囲の下で一意である必要があります。
[タイプ（Type）]	新しい範囲のカテゴリを選択します。
[クエリ（Query）]	アセットに一致するクエリまたはフィルタ。

範囲の重複

範囲を追加するときは、範囲の重複を避けることをお勧めします。範囲が重複すると、重複する範囲に対して生成されたポリシーが、エンドユーザーの混乱を招く可能性があります。この機能は、範囲メンバーシップが重複している場合、つまり、同じインベントリが範囲ツリー（兄弟範囲）の同じ深さで複数の範囲に属している場合に、プロアクティブにユーザーに通知します。その目的は、範囲ツリーの異なる部分に同じワークロードが存在することを避けることです。

複数の範囲に属するインベントリ項目を表示するには、範囲フィルタを使用し、Has Overlaps = true ファセットを入力します。

重複する範囲および対応する重複する IP アドレスのリストは、範囲ツリーを下に移動し、[重複する範囲（Overlapping Scopes）] タブを選択することで表示できます。

スコープの編集

ルート範囲で SCOPE_OWNER 権限を持つユーザーのみが範囲を削除できます。サイト管理者は、すべての範囲の所有者です。

範囲名の編集

範囲名の編集は瞬時に完了しますが、更新が必要な子範囲の数によっては数分かかる場合があります。

（注）

範囲名を変更すると、範囲名によるフロー検索が影響を受けます。

範囲クエリの編集

範囲のクエリが変更されると、直接の親と子の範囲が影響を受けます。これらの範囲は、確定されていない変更がツリーに加えられたことを示す「ドラフト変更」があるとマークされています。すべてのクエリの更新が完了したら、ユーザーは範囲ディレクトリの上にある [変更の確定（Commit Changes）] ボタンをクリックして、変更を永続化する必要があります。これにより、バックグラウンドタスクがトリガーされ、ワークスペース内のすべての範囲クエリと「動的クラスタクエリ」が更新されます。

警告	範囲クエリを更新すると、範囲のインベントリメンバーシップ（範囲のメンバーであるワークロード）に影響を与える可能性があります。変更は、変更の確定プロセス中に有効になります。リスクを軽減するために、[範囲/フィルタ変更の影響を確認する（Review Scope/Filter Change Impact）] ウィンドウから、メンバーシップの変更を比較して、影響を詳細に分析できます。範囲/フィルタ変更の影響を確認新しいホストファイアウォールルールが挿入され、関連するホスト上で既存のルールがすべて削除されます。

範囲を編集するには、次の手順を実行します。

手順

ステップ 1	編集するそれぞれの範囲の編集ボタンをクリックします。
ステップ 2	選択した範囲の名前またはクエリを編集します。
ステップ 3	[クエリ変更の影響の確認（Review query change impact）] のリンク先に移動して、古いドラフトクエリと新しいドラフトクエリの間の変更を比較します。
ステップ 4	[保存（Save）] をクリックします。名前はすぐに更新されます。
ステップ 5	すべての範囲のクエリを更新するには、 [変更の確定（Commit Changes）] ボタンをクリックします。
ステップ 6	範囲の変更を実行した結果を示す確認ポップアップウィンドウが表示されます。更新は、バックグラウンドタスクで非同期に処理されます。
ステップ 7	[保存（Save）] をクリックします。変更の数によっては、保存に 1 分以上かかる場合があります。図 17. クエリ変更の影響の確認図 18. 変更の確定

範囲の親の編集

範囲の親が更新されると、範囲クエリが変更されます。この変更は、親スコープと子スコープの両方のメンバーシップに影響します。範囲クエリの編集と同様に、これらの変更は最初「ドラフト変更」として保存され、確定されない限り有効になりません。ユーザーは、[範囲の編集（Edit Scope）] モーダルで [クエリ変更の影響を確認（Review query change impact）] をクリックして、確定する前にこの変更の影響を検証できます。検証が完了したら、[確定（Commit）] をクリックし、[範囲の移動（Scope Moves）] と [クエリの変更（Query Changes）] を承認することで、変更を確定できます。

範囲の親を編集するには、次の手順に従います。

手順

ステップ 1	編集するそれぞれの範囲の [編集（Edit）] ボタンをクリックします。
ステップ 2	選択した範囲の親を編集します。
ステップ 3	[クエリ変更の影響の確認（Review query change impact）] リンクをクリックして、古いドラフトクエリと新しいドラフトクエリの間の変更点を比較します。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	[確定（Commit）] をクリックし、[範囲の移動（Scope Moves）] と [クエリの変更（Query Changes）] を承認します。更新は、バックグラウンドタスクで非同期的に処理されます。
ステップ 6	この変更の影響を受けるワークロードの数によっては、処理に 1 分以上かかる場合があります。図 19. 親範囲をデフォルト範囲から Default:ProdHosts に変更する

範囲の削除

範囲を削除できるのは、ルート範囲の所有者権限がある場合のみです。サイト管理者は、すべての範囲の所有者です。

範囲を削除すると、親範囲（親範囲のメンバーであるワークロード）のアプリケーションインベントリメンバーシップに影響を及ぼします。範囲を削除すると、親範囲のステータスが「ドラフト変更」に変わります。ワークスペース、ポリシー、構成インテントなどの依存関係とともに変更をコミットします。詳細については、「変更のコミット」を参照してください。

依存オブジェクトのある範囲は削除できません。次の場合にエラーメッセージが表示されます。

範囲にワークスペースが定義されている。
範囲にインベントリフィルタが割り当てられている。
範囲を使用してコンシューマやプロバイダーを定義するポリシーが存在する。
範囲でエージェント構成インテントが定義されている。
範囲でインターフェイス構成インテントが定義されている。

範囲でフォレンジック構成インテントが定義されている。

[範囲/フィルタ変更の影響を確認する（Review Scope/Filter Change Impact）] ページの範囲の依存関係に関する詳細については、[依存関係（Dependencies）] タブをクリックしてください。範囲/フィルタ変更の影響を確認範囲を削除する前に、冗長オブジェクトを削除します。

（注）

子範囲のない範囲を削除します。
ルート範囲を削除するには、まず [テナント（Tenants）] ページから VRF を削除します。

ナビゲーションウィンドウで、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）] の順にクリックします。
対応する子範囲を表示する [範囲（Scope）] をクリックします。
削除する子範囲を選択します。
[編集（Edit）] ボタンと [追加（Add）] ボタンの横にある [削除（Delete）] ボタンをクリックします。
[範囲変更の影響の確認（Review Scope Change Impact）] リンクをクリックして、範囲変更を確認してから範囲を削除します。
[戻る（Back）] をクリックしてページを閉じます。

図 20. 範囲の削除

図 21. 範囲の削除
[削除（Delete）] をクリックして、範囲を削除します。

範囲ツリーのリセット

上記の構成のいずれかが存在する場合は、範囲ツリーをリセットする前にそれらを削除する必要があります。これを行うまで、[リセット（Reset）] ボタンは使用できません。

範囲ツリーをリセットするには：

始める前に

範囲ツリー全体を削除して、最初からやり直すことができます。

範囲ツリーをリセットすると、すべての範囲、ラベル、ワークスペース、およびコレクションルールが削除されます。取り込まれたデータは削除されません。

ルート範囲で SCOPE_OWNER 機能を持つユーザーのみが、範囲ツリーをリセットできます。

ただし、ツリー内のいずれかの範囲に対して次のいずれかが定義されている場合、範囲ツリーをリセットすることはできません。

ワークスペース（ウィザードを使用して範囲ツリーを作成した場合に作成された単一のワークスペースを除く）
インベントリフィルタ
ポリシー
エージェント構成インテント
インターフェイス設定インテント
フォレンジック構成インテント

手順

ステップ 1	左側のナビゲーションメニューから、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）] を選択します。
ステップ 2	ツリーの上部にある範囲をクリックします。
ステップ 3	[リセット（Reset）] をクリックします。
ステップ 4	選択を確認します。
ステップ 5	必要に応じて、ブラウザページを更新して続行します。図 22. 範囲ツリーのリセット

変更の確定

ある範囲のアプリケーションインベントリクエリ定義は、その範囲のクエリとその直接の子のクエリによって定義されます。この場合、範囲は「ドラフト変更」があるとマークされ、範囲のクエリ、ワークスペース、およびクラスタは、[変更の確定（Commit Changes）] バックグラウンドタスクが実行されるまで変更されません。範囲がドラフトの場合、影響を受ける範囲アイコンごとに三角の注意マークが表示され、[変更の確定（Commit Changes）] ボタンが [範囲（Scopes）] ページに表示されます（右上）。このボタンをクリックして [変更の確定（Commit Changes）] バックグラウンドタスクを実行する必要があります。

範囲をドラフトとしてマークできるイベントは次の通りです。

クエリの更新
任意の親クエリの更新
直接の子の追加
直接の子の削除
直接の子のクエリを更新

範囲の名前を変更しても、範囲のドラフト状態は変更されません。

（注）

[変更の確定（Commit Changes）] タスクは非同期です。通常は数秒かかりますが、大きな範囲ツリーでは数分かかることがあります。

（注）

範囲の更新タスクは、ルート範囲がドラフトでなくなると完了します。ページを更新して最新の状態を表示します。

ログの変更

サイト管理者およびルート範囲で SCOPE_OWNER 機能を持つユーザーは、右上のオーバーフローメニューの変更ログをクリックして、各範囲の変更ログを表示できます。

そのようなユーザーは、右上隅のオーバーフローメニューにある [削除された範囲の表示（View Deleted Scopes）] リンクをクリックして、削除された範囲のリストを表示することもできます。

新しいテナントの作成

ルートレベルの範囲は、テナントまたは [範囲（Scopes）] 管理ページから作成された VRF にマッピングされます。このアクションは、サイト管理者とカスタマーサポートのユーザーのみが利用できます。

手順

ステップ 1

左側のナビゲーションバーで、[プラットフォーム（Platform）] > [テナント（Tenants）]をクリックします。

ステップ 2

[新しいテナントの作成（Create New Tenant）] ボタンをクリックします。

ステップ 3

以下のフィールドに適切な値を入力します。


フィールド	説明
名前（Name）	範囲を識別する名前。親範囲の下で一意である必要があります。
説明	任意の説明。

ステップ 4

[作成（Create）] ボタンをクリックします。

インベントリ

インベントリで作業するには、左側のナビゲーションバーで [整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）] をクリックします。

[インベントリ検索（Inventory Search）]

ネットワーク上で検出されたすべてのインベントリが検索可能です。インベントリを検索するには、[インベントリの検索（Search Inventory）] ボタンを使用します。各インベントリ項目は、IP および VRF によって一意に識別でき、検索の実行に使用できます。サービスインベントリ項目は、自身の IP アドレスを使用して検索できません。サービスインベントリを検索するには、user_orchestrator_system/service_name など、サービスに関連付けられているユーザーラベルのいずれかを使用します。ホストが見つかったら、[ホストプロファイル（host profie）] ページで、ホストに関する詳細情報を表示できます。

インベントリ構成要素

ルート範囲
- 指定されたテナント下の範囲階層ルート
- L3 アドレスドメインの論理的な分離を提供
スコープ
- 動的クエリで定義されたインベントリコンテナ
- 階層型ポリシーモデルの基礎
- ポリシー、RBAC、およびフィルタ設定のアンカーポイント

フィルタ

動的なインベントリクエリに基づく柔軟な構築
インテント定義、提供サービス、ポリシー定義のアンカーポイント

（注）

パートナーからのすべての IP アドレスと、使用中の環境内で通信しているすべてが含まれます。環境にエージェントが存在するかどうかにかかわらず、ラベルを使用して内容を定義する必要があります。

ラベルプランニングの考慮事項

データの送信元
- ネットワークは、IPAM か。ルーティングテーブルか。スプレッドシートか。
- ホストは、CMDB か。ハイパーバイザか。クラウドか。アプリケーションオーナーか。
データの精度
データがどの程度動的で、どのように更新されるか。
- 手動アップロードか。
- API の統合か。
基本から始めて進化させる。
- ネットワークラベルを使用して高度な範囲構造を構築する。
- ホストラベルを使用して、アプリケーションレベルでより詳細な範囲構造を構築する。

インベントリの検索

インベントリを検索すると、特定のインベントリ項目に関する情報が表示されます。

手順

ステップ 1

ナビゲーションウィンドウで、[整理（Organize）] > [範囲とインベントリ（Scopes and Inventory）] の順に選択します。

ステップ 2

[フィルタ（Filters）] フィールドに、探しているインベントリ項目の属性を入力します。次のような属性があります。


属性	説明
ホスト名（Hostname）	ホスト名の全体または一部を入力します。
[VRF名（VRF Name）]	VRF 名を入力します。
VRF ID	VRF ID（数値）を入力します。
アドレス（Address）	有効な IP アドレス（IPv4 または IPv6）を入力します。
アドレスタイプ	IPv4 または IPv6 を入力します。
OS	OS 名（CentOS など）を入力します。
[OS Version]	OS バージョンを入力します（例：6.5）。
Interface Name	インターフェイス名を入力します（例：eth0）。
MAC	MAC アドレスを入力します。
収集ルールに含まれる（In Collection Rules?）	true または false を入力します。
プロセスコマンドライン（Process Command Line）	ホストで実行されているコマンドの部分文字列を入力します（注：このファセットはインベントリフィルタの一部として保存できません）。
プロセスバイナリハッシュ（Process Binary Hash）	ホストで実行されているコマンドのプロセスハッシュを入力します（注：このファセットはインベントリフィルタの一部として保存できません）。
パッケージ情報（Package Info）	必要に応じて、パッケージ名の後にパッケージバージョンを入力します（プレフィックス # を付けます）。
パッケージ CVE（Package CVE）	CVE ID の一部または全体を入力します。
CVE スコア v2（CVE Score v2）	CVSSv2（Common Vulnerability Scoring System）スコア（数値）を入力します。
CVE スコア v3（CVE Score v3）	CVSSv3（Common Vulnerability Scoring System）スコア（数値）を入力します。
Cisco Security Risk Score	Cisco Security Risk Score（数値）を入力します。
重大度（Cisco Security Risk Score）	Cisco Security Risk Score の重大度（[高（High）]、[中（Medium）]、[低（Low）]）を入力します。
アクティブなインターネット侵害（Cisco Security Risk Score）	CVE が組織全体のアクティブなインターネット侵害アクティビティの一部であるかどうかを示します。true または false を入力します。
エクスプロイトされやすい脆弱性（Cisco Security Risk Score）	CVE に既知のエクスプロイトキットがあるかどうかを示します。true または false を入力します。
修正が利用可能（Cisco Security Risk Score）	CVE の修正が利用可能かどうかを示します。true または false を入力します。
エクスプロイトされやすいマルウェア（Cisco Security Risk Score）	CVE がトロイの木馬、ワーム、ランサムウェアなどのマルウェアでアクティブにエクスプロイトできるかどうかを示します。true または false を入力します。
狙われやすいターゲット（Cisco Security Risk Score）	CVE が他の Cisco Vulnerability Management クライアントによって大量に検出されたかどうかを示します。true または false を入力します。
エクスプロイト可能と予測（Cisco Security Risk Score）	将来アクティブなインターネット侵害が CVE で発生すると予想されるかどうかを示します。true または false を入力します。
ユーザーラベル（User Labels）	プレフィックスが付いたユーザーラベルに由来する属性

ステップ 3

[インベントリの検索（Search Inventory）] をクリックします。結果は、 [フィルタ（Filter）] フィールドの下に、4 つのタブにグループ化されて表示されます。各タブには、関連するカラムを含むテーブルが表示されます。テーブルヘッダーのファネル（じょうご）アイコンをクリックすると、追加の列を表示できます。ユーザーラベルが使用可能な場合は、プレフィックスが付き、ここで切り替えることができます。

検索結果は、次の 4 つのタブにグループ化されます。


タブ	説明
サービス	外部オーケストレータを介して検出された Kubernetes サービスおよびロードバランサを一覧表示します。このタブは、関連する外部オーケストレータが構成されている場合を除き非表示になります。
ポッド	Kubernetes ポッドを一覧表示します。このタブは、関連する外部オーケストレータが構成されている場合を除き非表示になります。
ワークロード	Secure Workload エージェントによって報告されたインベントリ項目を一覧表示します。
IP アドレス	以下を通じて検出されたインベントリ項目を一覧表示します。インベントリのアップロードフローからの学習手動でアップロードされたラベルコネクタと外部オーケストレータを介して取り込まれたラベルさらに、同じ送信元から報告されたサブネットのリスト。

（注）

デフォルトでは、IPv4 および IPv6 アドレスのすべてのサブネットが取得されて各テナントに表示されます。

各タブの横にインベントリ数も表示されます。検索ですぐに表示される情報には、ホスト名、IP アドレスとサブネット、OS、OS バージョン、サービス名、ポッド名などがあります。表示されるカラムのリストは、テーブルヘッダーのファネル（じょうご）アイコンをクリックして切り替えることができます。検索結果は、範囲ディレクトリに表示されている現在選択されている範囲に制限されます。検索結果の項目をクリックすると、それぞれのプロファイルページで詳細情報を表示できます。

各ホストの詳細は、検索結果行の IP アドレスフィールドをクリックしてアクセスできる [ワークロードプロファイル（Workload Profile）] に表示されます。詳細については、「ワークロードプロファイル」を参照してください。

サイドバーからインベントリフィルタを作成するには、トップレベルメニューから [整理（Organize）] > [インベントリフィルタ（Inventory Filters）] を選択します。[フィルタの作成（Create Filter）] ボタンをクリックします。保存したフィルタに名前を付けられるモーダルダイアログが表示されます。

子範囲の提案

子範囲の提案は、機械学習アルゴリズム（ネットワークでのコミュニティ検出など）を使用して、範囲として機能する可能性のあるグループを検出するツールです。このツールは、範囲階層を構築するときに役立ち、特定の範囲に対してより詳細な子範囲を定義するプロセスを容易にします。候補の子範囲は提案として表示され、選択して追加できます。

アルゴリズムの説明：親範囲の要求されていないメンバー間の通信に基づくグラフが最初に作成されて、グラフが処理されます（注：要求されていないメンバーとは、親の子範囲に属していないメンバーです）。たとえば、アルゴリズムでは、グラフ内の大部分を占める他のエンドポイントと通信するエンドポイントが識別されます。そのようなエンドポイントのグループが見つかった場合は、共通サービスグループの候補としてユーザーに表示されます。グラフの残りの部分は、コミュニティとして動作するグループを検出するために処理されます。コミュニティとして動作するとは、エンドポイントがグループ外のエンドポイントよりも不釣り合いに頻繁に（またはより多くのプロバイダーポートで）互いに通信することを意味します。そのような各グループは、アプリケーションまたは組織内の部門に対応している場合があります。そのようなパーティション分割により、範囲間でポリシーが希薄になる可能性もあります。

例：

次の図の 1 から 10 を個々のエンドポイント IP とします。入力（通信）グラフは次のようになっているとします。

次に、エンドポイント 1 ～ 4、5 ～ 7、および 8 ～ 10 では、相互に比較的高度な通信（エッジの数）が行われ、他のエンドポイントとの通信が比較的少ないため、一緒にグループ化されます。

範囲の提案の実行手順

目的の範囲の範囲の提案を開始するには、範囲のページで範囲を検索して選択する必要があります。

このウィンドウでは、ユーザーはインベントリ「未分類のインベントリ項目」を参照できます。つまり、現在選択されている範囲に属し、現在選択されている範囲のいずれの子範囲にも属さない項目を参照できます。未分類のインベントリ項目をクリックすると、このリストを表示できます。

範囲を選択した後、ユーザーは [子範囲の提案（Suggest Child Scopes）] をクリックし、[範囲の提案の開始（Start Scope Suggestion）] をクリックできます（または、これが初めてでない場合は [再実行（Rerun）] をクリックします）。範囲提案の実行の入力は、分類されていないインベントリ項目になることに注意してください。

[子範囲の提案（Suggest Child Scopes）] タブ — 図 34. 子範囲

ユーザーは、範囲提案の入力として日付範囲を設定し、[範囲の提案（Suggest Scopes）] をクリックできます。範囲の提案の実行は、全体的な負荷が中程度の場合は高速であることが多く、数万回の通信で 10 から数千のエンドポイントを処理するのに数分しかかかりません。

出力は、候補のリストとしてユーザーに表示されます。現在、最大 20 のグループが表示され、それぞれにグループの信頼度（品質）、候補範囲名、クエリなどの情報が付随しています。検出された各グループには、関連付けられた [グループコミュニティ信頼度（Group Community Confidence）] があり、次の値のいずれかが示されます。[非常に高（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]。これは、グループの [コミュニティ（Community）] プロパティの基準となります。信頼度が高いほど、エンドポイントの特定のグループのコミュニティプロパティが高くなります（グループの内側に多くのエッジがあり、外側のエッジが比較的少ない）。表示されているグループのサブセットは、 [グループコミュニティ信頼度（Group Community Confidence）] に基づいて選択されています。検出されたグループは、現在、次の 4 つのグループタイプのいずれかに分類されます。

[一般グループ（Generic Group）]：コミュニティプロパティに基づいて機械学習によって検出されたすべてのグループ。以下の特別なタイプで明示的に指定されていないグループは、一般グループであることに注意してください。
[共通サービス（Common Service）]：このグループは、入力インベントリの多くと通信するエンドポイントで構成されます。これらのエンドポイントは、何らかの共有サービスを実行している可能性があります。
[共通サービスクライアント（Common Service Clients）]：このグループは、[共通サービス（Common Service）] グループとのみ通信するエンドポイントで構成されます。
[グループ化解除（Ungrouped）]：このグループは、十分な通信がないためにグループ化できないエンドポイントで構成されます。

ユーザーは、検出されたグループをクリックして、選択したグループに対して生成されたクエリのリストを表示できます。ユーザーは、検出されたグループを厳密に定義するクエリの範囲と一致するインベントリをプレビューできます。クエリは、IP 範囲、サブネット、ホスト名、およびユーザーがアップロードしたラベルで構成されます。各グループに関連付けられた信頼度基準があり、[クエリの信頼度（Query confidence）] と呼ばれます。次の値の範囲のいずれかとなります。 [完全（Perfect）]、[非常に高（Very High）]、[高（High）]、[中（Medium）]、[低（Low）]。クエリ生成では、まずグラフ処理と機械学習によってグループが検出され、次にグループごとにクエリが生成されます。[クエリの信頼度（Query confidence）] は、クエリの範囲がエンドポイントとどの程度一致するかの基準です。 [完全（Perfect）] のクエリ信頼度は、提案された（検出された）グループがクエリの範囲と正確に一致していることを示します。反対に、クエリの信頼度が [低（Low）] の場合は、クエリは多くの提案されたグループを取りこぼし、正確に一致できていないことを示しています。これは、クエリの範囲が[過剰なIP（Extra IPs）]となっている（検出されるグループの範囲外である）、またはクエリに多くの [欠落IP（Missing IPs）] がある（クエリの範囲外である）ことを意味します。

ユーザーは、[+範囲（+ Scope）] ボタンをクリックして、グループ名とグループクエリを編集できる編集ウィンドウに移動できます。ユーザーは、クエリおよび一致する IP を調べ、クエリを調整して一部の IP を追加または削除する必要があるかどうかを判断できます。問題がなければ、ユーザーは [次へ（Next）] をクリックして確認し、ドラフトビューキャンバスでグループを範囲に変換できます。

提案されたグループを範囲に変換すると、グループスロットが緑色になり、[未分類のインベントリ項目（Uncategorized Inventory Item）] の数が減少します。

ユーザーは、グループの残りのリストから範囲作成のプロセスを繰り返すことができます。推奨されるワークフローは、1 つ以上の範囲を作成してから、範囲の提案を再実行することです。[未分類のインベントリ項目（Uncategorized Inventory Item）] の数がゼロの場合は、（現在選択されている親範囲について）さらに範囲を限定するインベントリが残っていないことを示します。

複数の範囲作成後の範囲提案出力の例 — 図 40. 複数の範囲作成からの範囲提案出力

範囲の作成プロセスが完了したら（未分類の数は 0）、ユーザーは、新しく作成された子範囲でこのプロセスを繰り返して、必要に応じてより深い範囲ツリーを生成できます。

最初の範囲提案と作成後の範囲リストの例 — 図 41. 最初の範囲提案と作成後の範囲リスト

（注）

範囲内の未分類の項目がうまく分類されない可能性もあります（例：コミュニティを形成しない）。その場合、アルゴリズムはグループ化を返さないことがあります（空の結果）。

フィルタ

フィルタは、ポリシー、構成インテントなどの定義に使用される保存されたインベントリ検索です。フィルタの所有権の範囲を定義する、範囲に関連付けられているフィルタはすべて回避されます。

既存のフィルタを表示するには、左側のナビゲーションバーから [整理（Organize）] > [インベントリフィルタ（Inventory Filters）] の順にクリックします。また、任意の範囲に関する任意のワークスペースに固有のインベントリフィルタを表示できます。

フィルタのリストは、現在選択されている範囲のルートに基づいて制限されます。

フィルタには、メンバーの数、メンバーが関与しているポリシーの数、ドラフト分析済みポリシーと適用済みポリシーの合計も表示されます。

選択した親範囲に関するインベントリメンバーシップの変更を確認するには、[範囲/フィルタ変更の影響を確認する（Review Scope/Filter Change Impact）] ウィンドウにアクセスします。

インベントリフィルタの作成

インベントリフィルタの作成対象：

範囲内のワークロードのサブセットに固有のポリシーを作成または検出します。

たとえば、範囲内に API サーバーのグループを作成する場合。そのサーバーは、 API インターフェイスを介してアクセスできる必要があります。許可されたトラフィックのみを許可し、そのアプリケーションの他のすべてのワークロードへのアクセスをブロックするポリシーを作成します。
多くの範囲にまたがって存在するワークロードのポリシーを作成します。

たとえば、特定のオペレーティングシステムを実行しているネットワーク上のすべてのワークロードに適用されるポリシーを作成する場合は、複数の範囲やすべての範囲にまたがるインベントリフィルタを作成します。

ヒント

既存のクラスタをインベントリフィルタに変換するには、「クラスタをインベントリフィルタに変換する」を参照してください。

手順

ステップ 1

次のいずれかの場所に移動します。

[整理（Organize）] > [インベントリフィルタ（Inventory Filters）] を選択します。
インベントリフィルタを作成する範囲にある任意のワークスペースに移動し、[ポリシーの管理（Manage Policies）] > [フィルタ（Filters）] > [インベントリフィルタ（Inventory Filters）] の順にクリックします。

ステップ 2

[フィルタの作成（Create Filter）] または [インベントリフィルタの追加（Add Inventory Filter）] をクリックします。

ステップ 3

名前、説明、すべてを含めるクエリ、およびフィルタに含めるワークロードのみを追加します。

ステップ 4

[詳細オプションの表示（Show Advanced Options）] をクリックします。

ステップ 5

フィルタの範囲を指定します。

フィルタを変更するには、指定された範囲またはその先祖のいずれかへの書き込みアクセス権を持っている必要があります。
フィルタに含まれるワークロード（この手順の他の設定に依存）。

ステップ 6

設定オプションは次のとおりです。


目的	操作手順
このフィルタで指定された範囲のメンバーであるかどうかに関係なく、フィルタのクエリ条件を満たすワークロードを含めます。	[クエリを所有権の範囲に制限する（Restrict Query to Ownership Scope）] の選択を解除します。
このフィルタで指定された範囲のメンバーであるワークロードのみを含めます。	[クエリを所有権の範囲に制限する（Restrict Query to Ownership Scope）] を選択します。
自動ポリシー検出を許可して、このフィルタで定義された一連のワークロードに固有のポリシーを提案します。これらのワークロードは、フィルタで指定された範囲のサブセットである必要があります。	[クエリを所有権の範囲に制限する（Restrict Query to Ownership Scope）] と [範囲外のサービスを提供する（Provides a Service External of its Scope）] を選択します。このフィルタを使用するには、外部依存関係を設定する必要があります。詳細については、「ワークスペースの外部依存関係の微調整」を参照してください。

ステップ 7

[Next] をクリックします。

ステップ 8

詳細を確認して [作成（Create）] をクリックします。

インベントリフィルタの一括削除

インベントリフィルタを一括で削除するには、各項目が以下に該当しないことを確認します。

デフォルトフィルタ
いずれかのポリシーまたは設定で使用されている

手順

ステップ 1

ナビゲーションウィンドウで、[整理（Organize）] > [インベントリフィルタ（Inventory Filters）] の順に選択します。

[すべて（All）] タブをクリックして、[インベントリフィルタ（Inventory Filters）] ページの下にフィルタを表示します。

（注）

デフォルトでは、デフォルトフィルタのチェックボックスと、ポリシーと設定に割り当てられているフィルタは無効になっています。

[未使用（Unused）] タブをクリックすると、一定期間使用されていないフィルタが表示されます。
未使用のフィルタについては、ドロップダウンリストから期間を選択します。
- 常時
- 1 週間未使用
- 1 か月間未使用
- 3 か月間未使用
- 6 か月間未使用

ステップ 2

削除するフィルタの [削除（Delete）] ボタン（[アクション（Action）] 列の下にある）を有効にします。

ステップ 3

削除するフィルタのチェックボックスをオンにします。

（注）

デフォルトでは、[削除（Delete）] ボタンは無効になっています。

ステップ 4

[フィルタの作成（Create Filter）] ボタンの横にある [削除（Delete）] ボタンをクリックします。削除されるフィルタのリストを確認します。

ステップ 5

[削除（Delete）] をクリックして確認します。

（注）

一度に削除できるのは、1 ページで選択したフィルタのみです。

フィルタ変更の影響の確認

フィルタを変更する前に、フィルタを変更するとメンバーシップが変更され、既存のクエリ、インベントリ、および依存関係（フィルタ、範囲、ポリシー、そのラベルに基づいて適用される動作など）が影響を受けることに注意してください。

手順

ステップ 1	[インベントリフィルタ（Inventory Filter）] ページの [アクション（Actions）] タブで、[編集（Edit）]（鉛筆）アイコンをクリックします。
ステップ 2	[フィルタの編集（Edit Filter）] ページで、変更を加える前に、[フィルタ変更の影響の確認（Review filter change impact）] をクリックしてインベントリフィルタを確認します。
ステップ 3	[インベントリフィルタ変更の影響の確認（Review Inventory Filter Change Impact）] ページの [メンバーシップの変更（Membership Changes）] タブと [依存関係（Dependencies）] タブで、ポリシーと設定インテントのフィルタを確認します。図 43. フィルタの編集
ステップ 4	インベントリフィルタを確認した後、[フィルタの編集（Edit Filter）] ページに戻るには、[閉じる（Close）] をクリックします。

ドメインフィルタの作成

ドメインフィルタを使用してドメインをグループ化し、コンシューマまたはプロバイダーのドメイン名が環境内で定義されたフィルタと一致するフローを特定します。

カンバセーションモードでは、特定のタイプのプロキシ（HTTP プロキシや TCP など）のみがドメイン適用でサポートされています。TCP の場合、ドメインが意図的にブロックされると、最初のパケットが通過する可能性があります。ただし、ハンドシェイクが完了する前でも接続はブロックされます。

ドメインフィルタのルール

有効なドメイン名は、少なくとも 1 つのセカンドレベルドメインを含んでいる必要があります。たとえば、com がファーストレベルドメインである場合、*.cisco.com や even *.com は許容される形式です。フィルタ内には任意の数のドメイン名を含めることができます。
ドメイン名の各ラベルには、英数字とハイフンのみを使用できます。
ワイルドカード * はドメイン名の最初のラベルにのみ使用します。たとえば、*.amazon.com は使用できますが、aws.*.com は使用しないでください。また、正規表現を使用してワイルドカードを他の文字と組み合わせないでください。たとえば、aws*.com を使用しないでください。
ワイルドカードは、任意の数のラベル（サブドメイン）と一致します。たとえば、*.yahoo.com は、finance.yahoo.com、web.finance.yahoo.com、およびそのすべてのサブドメインと一致します。ただし、yahoo.com とは一致しません。
www プレフィックスはサブドメインとして扱われるため、ドメイン自体としては扱われません。たとえば、google.com と www.google.com は別のドメインです。
ドメインフィルタクエリを範囲に制限することはできません。また、ドメインフィルタは、一致するインベントリを生成しません。

手順

ステップ 1	次のいずれかの場所に移動します。 [整理（Organize）] > [インベントリフィルタ（Inventory Filters）] を選択します。インベントリフィルタを作成する範囲内のワークスペースに移動し、[ポリシーの管理（Manage Policies）] > [フィルタ（Filters）] > [インベントリフィルタ（Inventory Filters）] をクリックします。
ステップ 2	[フィルタの作成（Create Filter）] または [インベントリフィルタの追加（Add Inventory Filter）] をクリックして [インベントリフィルタ（Inventory Filter）] ページを表示します。
ステップ 3	[ドメインフィルタ（Domain Filter）] チェックボックスを選択します。
ステップ 4	ドメインフィルタの名前とクエリを入力し、[次へ（Next）] をクリックします。
ステップ 5	詳細を確認し、[作成（Create）] をクリックしてドメインフィルタを作成します。

新しいインベントリフィルタごとに、フィルタ一致のオブジェクトの種類を定義する、対応する新しいオブジェクトタイプを作成します。設定可能な値は次のとおりです。

INVENTORY には、ワークロード、サービス、ポッド、および IP アドレスが含まれます。
DOMAIN はドメインを指します。ドメイン名は、ドメインの照合に使用できる唯一のファセットです。他のすべてのファセットは、INVENTORY タイプにのみ一致します。

ドメイン名と別のファセットを OR 演算子とともに使用して異種フィルタを作成できます（例：domain name=*.google.com OR hostname that contains mach）。ただし、AND 演算子を使用してそのようなファセットを結合することはできません（例：domain name=*.google.com AND hostname that contains mach）。

所有権の範囲に制限

フィルタによって一致するインベントリに範囲が影響を与えるかどうかを決定するには、[所有権の範囲に制限（Restrict to Ownership Scope?）] チェックボックスを使用します。次の構造の例を参照してください。

クエリで指定されたテナント
```
VRF ID = 3
```
クエリで指定されたテナント内の範囲
```
hostname contains db
```
次のクエリで指定された、範囲に割り当てられているインベントリフィルタ
```
Platform = Linux
```
図 44. テナント、範囲、インベントリフィルタ構造
- [所有権の範囲に制限（Restrict to Ownership Scope）] チェックボックスをオフにすると、このフィルタは、インベントリフィルタにも一致するテナント内のすべてのホストに一致します。次のクエリを入力します。
```
(VRF ID = 3) AND (Platform = Linux)
```
- [所有権の範囲に制限（Restrict to Ownership Scope）] チェックボックスをオンにすると、このフィルタは、インベントリフィルタにも一致するテナントと範囲内のホストにのみ一致します。次のクエリを入力します。
```
(VRF ID = 3) AND (hostname contains db) AND (Platform = Linux)
```

範囲/フィルタ変更の影響を確認

範囲クエリを更新すると、コミットされた後の範囲のインベントリメンバーシップに影響を与える可能性があります。同様に、直接保存されるフィルタクエリの変更も、範囲のインベントリメンバーシップに影響を与える可能性があります。[範囲（Scope）] または [フィルタ編集（Filter Edit)] モーダルのいずれかで [クエリ変更の影響の確認（Review query change impact）] リンクをたどることで、新しいクエリと古いクエリの間のメンバーシップの変更を確認できます。さらに、範囲またはフィルタの依存関係を把握すると、影響の分析に役立ち、範囲の削除を妨げる必要な全オブジェクトの削除に役立ちます。詳細については、[依存関係（Dependencies）] タブにもアクセスして、範囲の依存関係ツリーを検討してください。

範囲クエリ変更影響モーダル

[メンバーシップの変更（Membership Changes）] タブと [依存関係（Dependencies）] タブの両方にアクセスするには、[範囲編集（Scope Edit）] ウィンドウで [クエリ変更の影響の確認（Review query change impact）] リンクをクリックします。

メンバーシップの変更

メンバーシップビューのインベントリテーブルには、デフォルトですべての列が表示されます。表示する行は選択できます。さらに、インベントリが [ゲイン（Gained）]、[喪失（Lost）]、[変更なし（Unchanged）] のいずれかであるかを識別する追加の Diff 列を含む、選択したメンバーシップ列と行の csv または json をダウンロードできます。ダウンロードに必要なすべてのテーブルの選択がテーブルビューに表示されていることを確認してください。

依存関係

[依存関係の確認（Review Dependencies）] をさらに選択することで、ネストされた依存関係までトラバースできます。

該当する親リンクを選択することで、依存関係ツリーをトラバースできます。

存在する可能性のある範囲の依存関係は次のとおりです。

表 4. 存在する可能性のある範囲の依存関係は次のとおりです
タイプ	説明
アプリケーション	プライマリおよびセカンダリアプリケーション名と、セグメンテーションの下にある特定のワークスペースへのリンクがあります。
子範囲	子範囲の名前と子範囲の詳細ビューへのリンクがあります。下位レベルの依存関係にドリルダウンできます。
ポリシー	分析および適用されたポリシーの数と、選択した範囲でフィルタ処理されたそれぞれのグローバルポリシービューへのリンクがあります。
制限付きインベントリフィルタ	フィルタの名前と子フィルタの詳細ビューへのリンクがあります。下位レベルの依存関係にドリルダウンできます。
構成インテント	構成インテントの名前、およびエージェント、インターフェイス、フォレンジックの構成インテントビューへのリンクがあります

フィルタクエリ変更影響モーダル

[メンバーシップの変更（Membership Changes）] タブと [依存関係（Dependencies）] タブの両方にアクセスするには、[インベントリフィルタの編集（Inventory Filter Edit）] ウィンドウで [クエリ変更の影響の確認（Review query change impact）] リンクをクリックします。

メンバーシップの変更

依存関係

存在する可能性のあるフィルタの依存関係は次のとおりです。


タイプ	説明
ポリシー	分析および適用されたポリシーの数と、選択した範囲でフィルタ処理されたそれぞれのグローバルポリシービューへのリンク
[設定インテント（Config Intents）]	エージェント、インターフェイス、フォレンジック設定インテントビューへの名前およびリンクがあります

インベントリプロファイル

（注）

インベントリのプロファイルページは、さまざまな場所からリンクされています。インベントリプロファイルを表示する方法の 1 つは、インベントリの検索を実行し、IP アドレスをクリックしてそのプロファイルに移動することです。[範囲とインベントリ（Scopes and Inventory）] ページで作業している場合は、[ワークロード（Workloads）] タブの IP アドレスではなく、[IP アドレス（IP addresses）] タブの IP アドレスをクリックします（[ワークロード（Workloads）] タブで IP アドレスをクリックすると、インベントリプロファイルではなく、ワークロードプロファイルが表示されます）。

インベントリについては、次の情報が表示されます。


フィールド	説明
[範囲（Scopes）]	インベントリが属する範囲のリスト。
[インベントリタイプ（Inventory Type）]	[フロー学習（Flow Learnt）] インベントリは、観測されたフローに基づいて登録されました。 [ラベル付き（Labeled）] のインベントリは、インベントリアップロードユーティリティを使用して手動でアップロードされました。 [エージェント（Agent）] インベントリは、ホストにインストールされているソフトウェアエージェントによって報告されました。 [タグ（Tagged）] インベントリは、コネクタまたは外部オーケストレータによって報告されました。
[ユーザーラベル（User Labels）]	このインベントリにユーザーがアップロードした属性のリスト。詳細については、「ユーザーラベル」を参照してください。

追加情報は、次の両方に該当する場合にのみ表示されます。

インベントリがクラウドコネクタを介して取り込まれている。

インベントリが存在する仮想ネットワークに対してセグメンテーションが有効になっている。


フィールド	説明
[適用の状態（Enforcement Health）]	ホストソフトウェアエージェントのステータス情報。詳細については、「[エージェントの正常性（Agent Health）] タブ」を参照してください。
[具体的なポリシー（Concrete Polices）]	このタブには、ホストに適用される Secure Workload の具体的な適用ポリシーが表示されます。詳細については、「[具体的なポリシー（Concrete Policies）] タブ」を参照してください。
[セキュリティグループ（Security Groups）]	このインベントリに適用されるセキュリティグループとそのポリシーのリスト。

インベントリプロファイル情報


フィールド	説明
[試験的グループ（Experimental Groups）]	ポリシーのライブ分析に使用されるクラスタまたはユーザー定義のインベントリフィルタのリスト。
[適用グループ（Enforcement Groups）]	ポリシーの適用に使用されるクラスタまたはユーザー定義のインベントリフィルタのリスト。分析対象のポリシーやシステムで適用されているポリシーのバージョンによっては、適用グループが試験的グループとは異なる場合があります。

（注）

次の場合、IP アドレスのインベントリプロファイルの詳細が表示されない場合があります。

インベントリが収集ルールから除外されている場合。
単方向フローではインベントリが 2 分間だけ使用できるようになり、その後に削除されます。
双方向フローでは、インベントリが 30 日間使用できますが、この 30 日間にこれ以上フローが観察されない場合、インベントリの詳細は削除されます。

ワークロードプロファイル

ワークロードプロファイルには、Secure Workload ソフトウェアエージェントがインストールされているホストに関する詳細情報が表示されます。ここでは、ワークロードプロファイルとそれに含まれる情報を表示する方法について説明します。

（注）

ワークロードのプロファイルページは、さまざまな場所からリンクされています。ワークロードプロファイルを表示する方法の 1 つは、検索で説明したように、ホストの検索を実行することです。

インベントリ検索の結果から、ホストの IP アドレスをクリックして、そのプロファイルに移動します。ホストにインストールされているエージェントのタイプに基づいて、次のタブがページに表示されます。このインベントリが属するホストに Secure Workload ソフトウェアエージェントがインストールされていない場合、インベントリプロファイルページが表示される可能性があることに注意してください。

ラベルと範囲タブ

このタブには、適用グループと試験的グループ、ホストが属する範囲が含まれています。試験的グループは、ポリシーのライブ分析に使用するインベントリフィルタであり、適用グループはポリシーの適用に使用するフィルタです。これらのグループは、分析対象のポリシーやシステムで適用されているポリシーのバージョンに応じて異なる場合があります。

[エージェントの正常性（Agent Health）] タブ

タイプ、OS プラットフォーム、エージェントのバージョン、最終チェックイン時刻などのホストソフトウェアエージェントのステータス情報も、[エージェントの正常性（Agent Health）] タブに表示されます。詳細については、「ソフトウェアエージェント設定」を参照してください。このタブには、1 日あたりの発生したトラフィックのバイト数とパケット数に関する詳細な時系列データも表示されます。

ルート範囲の所有者特権を持つユーザーの場合、概要ページには、そのルート範囲内の優れた可視性および適用エージェント（バージョン 3.3 以降）のためにエージェントログを収集およびダウンロードするセクションも含まれます。また、この機能は、プラットフォーム AIX および SUSE Linux Enterprise Server（IBM Z アーキテクチャ上の s390x-Linux）で実行されているエージェントでは使用できないことに注意してください。[ログ収集の開始（Initiate Log Collection）] ボタンを使用してエージェントからログを収集すると、数分でログをダウンロードできるようになります。ダウンロードに失敗した場合は、ログの収集を再試行してから、もう一度ダウンロードしてください。

[プロセスリスト（Process List）] タブ

このタブには、ホストで実行されているプロセスのリストが表示されます。フィルタを使用して、以下の表ヘッダーに示されているプロセスの属性に基づいて、プロセスのリストを絞り込むこともできます。

属性の説明：


属性	説明
最後の実行コンテンツの変更（Last Exec Content Change）	Linux の mtime に似ています。ファイルの内容のみが変更されたときのタイムスタンプです。
最後の実行コンテンツの変更（Last Exec Content Change）	Linux の ctime に似ています。ファイルの内容または属性が変更されたときのタイムスタンプです。
Last Seen	プロセスが最後に観察された時刻。プロセスが停止したときに使用できます。
CPU 使用率	過去 1 時間のプロセスによる CPU 使用率の傾向。
メモリ使用法	過去 1 時間のプロセスによるメモリ使用量の傾向。
プロセスバイナリハッシュ（Process Binary Hash）	プロセスバイナリの 16 進文字列の SHA256 ハッシュ。略してプロセスハッシュとも呼ばれます。カーネルプロセスでは使用できません。
異常スコア（Anomaly Score）	プロセスハッシュ（異常）スコア。詳細については、「プロセスハッシュの異常検出」を参照してください。
判定	プロセスハッシュの判定（悪意があるまたは無害のいずれか）。判定は、プロセスハッシュがユーザー定義のハッシュリストまたは既知の脅威インテリジェンスハッシュデータベースに属しているかどうかに基づいて決定されます。詳細については、「プロセスハッシュの異常検出」を参照してください。
判定ソース（Verdict Source）	判定のソース。判定ソースは、ユーザー定義、Secure Workload クラウド、または NIST のいずれかです。この属性は、以前のリリースではハッシュ DB ソースと呼ばれていました。詳細については、「プロセスハッシュの異常検出」を参照してください。

[プロセススナップショット（Process Snapshot）] タブ

このタブには、ワークロードで観察された検索可能なプロセスツリーが表示されます。

[Interfaces] タブ

このタブには、ホストにインストールされているネットワークインターフェイスに関する詳細が表示されます。すべてのタイプのソフトウェアエージェントで使用できます。

[ソフトウェアパッケージ（Software Packages）] タブ

このタブには、ホストにインストールされているパッケージのリストが表示されます。ユーザーは、テーブルヘッダーのパッケージ属性に基づいて、ソフトウェアパッケージを選択して表示できます。

[脆弱性（Vulnerabilities）] タブ

[脆弱性（Vulnerabilities）] タブには、共通脆弱性評価システム（CVSS V2、V3）および Cisco Security Risk Score に従って、ワークロードで特定された CVE が表示されます。

ワークロードプロファイル：[脆弱性（Vulnerabilities）] タブ — 図 58. ワークロードプロファイル：脆弱性タブ

[エージェントの設定（Agent Configuration）] タブ

このタブには、ソフトウェアエージェントの設定が表示されます。優れた可視性エージェントおよび適用エージェントでのみ使用できます。これらの設定は、[エージェントの設定（Agent Configuration）] ページのエージェント設定インテントを使用して変更できます。「ソフトウェアエージェントの設定」を参照してください。

[エージェント統計情報（Agent Statistics）] タブ

このタブには、ホストにインストールされている Secure Workload エージェントに関する統計情報が表示されます。優れた可視性エージェントおよび適用エージェントでのみ使用できます。

[具体的なポリシー（Concrete Policies）] タブ

ワークスペースが適用されると、各ワークロードは、そのワークロードに固有のそのワークスペース内のポリシーのみを受け取ります。各ワークロードで実際にプログラムされているこれらのポリシーは、具体的なポリシーと呼ばれます。

たとえば、アクションが ALLOW であるポリシーで指定されているプロバイダーに、サブネット 1.1.1.0/24 のすべてのインベントリが含まれているとします。このポリシーが Secure Workload エージェントを使用してワークロードにインストールされ、IP アドレス 1.1.1.2 が含まれている場合、ファイアウォールルールは次のようになります。

着信トラフィックの場合、ファイアウォールルールは、サブネット 1.1.1.0/24 全体ではなく、厳密に 1.1.1.2 宛てのトラフィックのみを許可します。
発信トラフィックの場合、ファイアウォールルールは、サブネット 1.1.1.0/24 全体からではなく、厳密に 1.1.1.2 からのトラフィックのみを許可します。

ワークロードプロファイルの [具体的なポリシー（CONCRETE POLICIES）] タブには、ホストに適用されている Secure Workload の具体的な適用ポリシーが表示されます。この表の各行は、ホストに実装されているファイアウォールルールに対応しています。各ポリシー行をさらに展開して、この具体的なポリシーが派生した元の論理インテントを表示することができます。ルールごとにパケット数とバイト数の時系列表示も可能です。[すべての統計情報の取得（Fetch All Stats）] ボタンをクリックすると、各ルールのパケット数とバイト数が表示されます。このタブではフィルタを使用して、以下の表ヘッダーに示されているポリシーの属性に基づいて、適用されるポリシーのリストを絞り込むこともできます。このタブは、インストールされたエージェントで適用が有効になっている場合にのみ使用できます。

次の画像では、[ポリシーグループ（Policy Groups）] にコンシューマとプロバイダーが表示されています。

[コンテナポリシー（Container Policies）] タブ

このタブには、コンテナに適用される Secure Workload の具体的な適応ポリシーが表示されます。この表の各行は、コンテナポッドに実装されているファイアウォールルールに対応しています。

[ネットワーク異常（Network Anomalies）] タブ

このタブは、このワークロードに出入りする大規模なデータの移動を伴うイベントを識別するのに役立ちます。詳細については、「PCR ベースのネットワーク異常検出」を参照してください。

[ファイルハッシュ（File Hashes）] タブ

このタブは、システム全体のプロセスバイナリハッシュの一貫性を評価することにより、プロセスハッシュの異常を検出します。詳細については、「プロセスハッシュの異常検出」を参照してください。

Software Packages

ソフトウェアパッケージ機能セットを使用すると、ホストにインストールされているパッケージと、それらに影響を与える脆弱性を表示できます。具体的には、次のことが可能になります。

次のパッケージマネージャに登録されているパッケージを表示します。
- Linux：Redhat パッケージマネージャ（RPM）および Debian パッケージマネージャ（dpkg）
- Windows：Windows レジストリサービス
ホストにインストールされているパッケージに影響を与える Common Vulnerabilities and Exposures（CVE）を表示します。
パッケージ名とバージョンを使用してインベントリフィルタを定義します。

[Packages] タブ

ホストにインストールされているパッケージを表示するには、ワークロードプロファイルの [ワークロードプロファイル（Workload Profile）] ページの [パッケージ（packages）] タブに移動します。

Common Vulnerabilities and Exposures

[脆弱性（VULNERABILITIES）] タブには、パッケージとともに、ワークロードで特定された CVE の詳細が表示されます。各脆弱性には、特定の脆弱性に関する詳細情報を提供する Nation Vulnerability Database（NVD）へのリンクが含まれています。CVE ID の表示に加えて、評価方法（Cisco Security Risk Score、CVSS V2、CVSS V3、脆弱性の重大度に基づく影響スコア（10 段階）も表示されます。

[脆弱性（VULNERABILITIES）] タブには、パッケージとともに、ワークロードで特定された CVE の詳細が表示されます。各脆弱性には、特定の脆弱性に関する詳細情報を提供する Nation Vulnerability Database（NVD）へのリンクが含まれています。CVE ID の表示に加えて、評価方法（CVSS V2、CVSS V3、脆弱性の重大度）に基づく影響スコア（10 段階）も表示されます。

Windows パッケージと CVE

次のセクションでは、Secure Workload へのパッケージ情報の報告に関する Windows エージェントの動作について説明します。

Windows アプリケーション、PowerShell、IE はパッケージとして報告されます。.net フレームワークもパッケージとして報告されます。
notepad.exe、cmd.exe、mstsc.exe など、その他の Windows アプリケーションは報告されません。
Windows サーバーで設定されたロールと機能はパッケージとして報告されますが、バージョンが正しくない可能性があります。例：DNS サーバーが設定されている場合、報告されるバージョンは 0 または 8 のいずれかになります。
Windows エージェントは、MSI インストーラまたは exe インストーラを使用してインストールされたサードパーティ製品を報告します。
- MSI インストーラの場合、MSI API を使用してパッケージ情報を取得します。その情報は、バージョン、発行元、パッケージ名などです。
- exe インストーラを使用してパッケージをインストールする場合、パッケージ情報はレジストリから取得されます。
- バージョン、発行元などの [パッケージインストーラ（Package installer）] フィールドはオプションです。バージョンが不明な場合、パッケージは報告されません。
- 製品が zip ファイルから抽出されているか、アプリとしてインストールされている場合、パッケージリストで報告されません。

インベントリフィルタ

パッケージ名とバージョン（オプション）でインベントリフィルタを定義することで、パッケージ関連の情報を検索できます。

このフィルタのシンタックスは、PackageName#PackageVersion です。

次の操作がサポートされます。

等号：PackageName と PackageVersion（指定した場合）が一致するパッケージを搭載したホストを返します。
等号否定：PackageName は一致するが PackageVersion（指定した場合）は一致しないパッケージを搭載したホストを返します。
超過：PackageName が一致し、バージョンが PackageVersion より大きいパッケージを搭載したホストを返します。
以上：PackageName が一致し、バージョンが PackageVersion 以上のパッケージを搭載したホストを返します。
未満：PackageName が一致し、バージョンが PackageVersion 未満のパッケージを搭載したホストを返します。
以下：PackageName が一致し、バージョンが PackageVersion 以下のパッケージを搭載したホストを返します。

脆弱性データの可視性

脆弱性データの可視性機能を使用して、ホスト上のパッケージとプロセスに影響を与える脆弱性を検出して表示できます。以下を使用して、インベントリフィルタを定義します。

CVE ID
CVSS 2 スコア
CVSS 3 スコア
Cisco Security Risk Score
CVSS V2 属性
CVSS V3 属性
Cisco Security Risk Score 属性

ワークロードプロファイルページ

システム上のパッケージとプロセスに影響を与える脆弱性関連の情報は、ワークロードプロファイルページに表示されます。

[Packages] タブ

[パッケージ（Packages）] タブには、ホストにインストールされているパッケージと、それらに影響を与える脆弱性が一覧表示されます。

[プロセスリスト（Process List）] タブ

存続期間の長いプロセスは、プロセスリストタブに表示されます。

[プロセススナップショット（Process Snapshot）] タブ

[プロセススナップショット（Process Snapshot）] タブの下の下にあるプロセスツリーには、すべてのプロセスに関する脆弱性情報が表示されます。

[脆弱性（Vulnerabilities）] タブ

[脆弱性（VULNERABILITIES）] タブには、ワークロードで Cisco Secure Workload によって特定された CVE が表示されます。

CVE ごとに、基本的な影響指標に加えて、脅威インテリジェンスに基づくエクスプロイト情報が表示されます。

エクスプロイト数：昨年、CVE が実際に悪用されたのが確認された回数
最終エクスプロイト：脅威インテリジェンスによって、CVE が実際に悪用されたのが最後に確認された時間

ワークロードプロファイルの脆弱性タブ — 図 71. ワークロードプロファイル：脆弱性タブ

インベントリフィルタ

次のタイプのインベントリフィルタを定義して、脆弱なパッケージを持つホストを特定できます。

CVE ID ベースのフィルタ

CVE ID を使用して作成されたインベントリフィルタを使用すると、特定の CVE の影響を受けるホストを検索できます。

特定の CVE の影響を受けるホストを検索するには、CVE ID を CVE-XXXX-XXXX の形式で入力します。

次の操作がサポートされます。

[=]：CVE ID の影響を受けるパッケージを持つホストを返します。
[≠]：CVE ID の影響を受けないパッケージを持つホストを返します。
[含む（contains）]：入力文字列に存在する CVE の影響を受けるパッケージを持つホストを返します（「cve」と入力すると、CVE の影響を受けるホストが返されます）。
[含まない（doesn't contain）]：入力文字列に存在する CVE の影響を受けないパッケージを持つホストを返します（「cve」と入力すると、CVE の影響を受けないホストが返されます）。
[一致（matches）]：入力文字列に一致する CVE の影響を受けるパッケージを持つホストを返します。

共通脆弱性評価システム影響スコアベースのフィルタ

共通脆弱性評価システム（CVSS）ベースのフィルタを使用すると、スコアを数値形式で入力することにより、指定された CVSS V2 または CVSS V3 影響スコアの CVE を持つホストを検索できます。

たとえば、CVSS V2 影響スコアが 7.5 を超える CVE を持つホストを検索する場合、クエリは CVE Score v3 > 7.5 です。

次の操作がサポートされます。

=：指定された CVSS V2 または V3 影響スコアの CVE を持つホストを返します。
≠：指定された CVSS V2 または V3 影響スコアの CVE を持たないホストを返します。
>：指定された CVSS V2 または V3 影響スコアよりも大きい CVSS V2 または V3 影響スコアの CVE を持つホストを返します。
≥：指定された CVSS V2 または V3 影響スコア以上の CVSS V2 または V3 影響スコアの CVE を持つホストを返します。
<：指定された CVSS V2 または V3 影響スコアよりも小さい CVSS V2 または V3 影響スコアの CVE を持つホストを返します。
≤：指定された CVSS V2 または V3 影響スコア以下の CVSS V2 または V3 影響スコアの CVE を持つホストを返します。

CVSS V2 属性ベースのフィルタ

インベントリフィルタは、脆弱なホストを特定するため、Access Vector とアクセスの複雑さを使用して作成できます。フィルタでは、次の操作がサポートされています。

=：フィルタに一致する脆弱性の影響を受けるパッケージがあるホストを返します。
≠：フィルタに一致する脆弱性の影響を受けないパッケージがあるホストを返します。

Access Vector

Access Vector は、脆弱性がどのようにエクスプロイトされるかを反映します。攻撃者が脆弱なシステムから遠ざかるほど、ベーススコアは高くなります。以下の表は、さまざまな Access Vector とそのアクセス要件を示しています。


値	アクセスの種類
LOCAL	物理またはローカル（シェル）。
ADJACENT_NETWORK	ブロードキャストまたはコリジョン。
NETWORK	リモートでエクスプロイト可能。

アクセスの複雑さ

このメトリックは、攻撃者が標的のシステムにアクセスできるようになった後に、脆弱性をエクスプロイトする際の複雑さを測定します。ベーススコアは、アクセスの複雑さに反比例します。さまざまなタイプのアクセスの複雑さは次のとおりです。


値	説明
HIGH	特殊なアクセス条件が存在します。
[中（Medium）]	アクセス条件はやや特殊です。
LOW	特殊なアクセス条件は存在しません。

CVSS V3 属性ベースのフィルタ

CVSS V3 スコアに影響を与えるために必要な攻撃元区分、攻撃の複雑さ、および特権を、インベントリフィルタで使用できます。フィルタでは、次の操作がサポートされています。

=：フィルタに一致する脆弱性の影響を受けるパッケージがあるホストを返します。
≠：フィルタに一致する脆弱性の影響を受けないパッケージがあるホストを返します。

攻撃元区分

このメトリックは、脆弱性のエクスプロイトが可能になるコンテキストを表します。攻撃者が脆弱なコンポーネントから遠ざかるほど、ベーススコアは高くなります。以下の表に、さまざまな攻撃元区分とそのアクセス要件を示します。


値	アクセスの種類
LOCAL	ローカル（キーボード、コンソール）またはリモート（SSH）。
PHYSICAL	物理的なアクセスが必要です。
ADJACENT_NETWORK	ブロードキャストまたはコリジョン。
NETWORK	リモートでエクスプロイト可能。

Attack Complexity

このメトリックは、脆弱性をエクスプロイトするために存在する必要がある条件を示します。ベーススコアは、最も複雑でない攻撃に対して最大です。さまざまなタイプのアクセスの複雑さは次のとおりです。


値	説明
HIGH	攻撃の設定と実行には多大な労力が必要です。
LOW	特殊なアクセス条件は存在しません。

必要な権限

このメトリックは、脆弱性のエクスプロイトを成功させるために攻撃者が持っている必要がある権限レベルを表しています。ベーススコアは、攻撃を実行するための権限が必要ない場合に最大です。必要な権限のさまざまな値は次のとおりです。


値	必要な権限
HIGH	脆弱なコンポーネントに対する重要な制御を提供する権限。
LOW	機密でないリソースへのアクセスを許可する低い権限。
NONE	攻撃の実行に特権は必要ありません。

Cisco Security Risk Score ベースのフィルタ

Cisco Security Risk Score ベースのフィルタを使用すると、スコアを数値フォーマットで入力することで、指定した Cisco Security Risk Score の CVE を持つホストを検索できます。たとえば、Cisco Security Risk Score が 67 を超える CVE を持つホストを検索する場合、クエリは「Cisco Security Risk Score ≥ 67」です。

Cisco Security Risk Score の範囲の重大度は次のとおりです。

[高（High）]：67 ～ 100 のスコア範囲
[中（Medium）]：34 ～ 66 のスコア範囲
[低（Low）]：0 ～ 33 のスコア範囲

フィルタクエリでは、次の操作がサポートされています。

=：指定された Cisco Security Risk Score の CVE を持つホストを返します。
≠：指定された Cisco Security Risk Score の CVE を持たないホストを返します。
>：指定された Cisco Security Risk Score よりも大きい Cisco Security Risk Score の CVE を持つホストを返します。
≥：指定された Cisco Security Risk Score 以上の Cisco Security Risk Score の CVE を持つホストを返します。
<：指定された Cisco Security Risk Score よりも小さい Cisco Security Risk Score の CVE を持つホストを返します。
≤：指定された Cisco Security Risk Score 以下の Cisco Security Risk Score の CVE を持つホストを返します。

Cisco Security Risk Score 属性ベースのフィルタ

Cisco Security Risk Score 属性は、インベントリフィルタで使用できます。クエリフィルタでは、次の操作がサポートされています。

=：フィルタに一致する脆弱性の影響を受けるパッケージを持つホストを返します。
≠：フィルタに一致する脆弱性の影響を受けないパッケージを持つホストを返します。

表 5. Cisco Security Risk Score 属性と説明
属性	説明
アクティブなインターネット侵害	CVE が組織全体のアクティブなインターネット侵害アクティビティの一部であるかどうかを示します。
エクスプロイトされやすい脆弱性	CVE に既知のエクスプロイトキットがあるかどうかを示します。
修正可能	CVE の修正が利用可能かどうかを示します。
エスプロイトされやすいマルウェア	CVE がトロイの木馬、ワーム、ランサムウェアなどのマルウェアでアクティブにエクスプロイトできるかどうかを示します。
狙われやすいターゲット	CVE が他の Cisco Vulnerability Management クライアントによって大量に検出されたかどうかを示します。
エクスプロイト可能と予測	将来アクティブなインターネット侵害が CVE で発生すると予想されるかどうかを示します。

属性の値はブール値です。true または false を入力して、属性に基づいて CVE をフィルタ処理します。

悪意のあるインベントリベースのフィルタ

デフォルトでは、既知の悪意のある IP アドレスを識別する機能は無効になっています。この機能を有効にすると、[悪意のあるインベントリ（Malicious inventories）] フィルタを使用して、既知の悪意のある IPv4 アドレスをすべて識別できます。ワークロードから既知の悪意のある IPv4 アドレスへの通信をブロックするポリシーを作成してワークロードに適用するには、読み取り専用フィルタを使用します。

デフォルトでは、[悪意のあるインベントリ（Malicious inventories）] フィルタのクエリは * Is_malicious = true に設定されます。

以下のトピックの詳細については、対応するセクションを参照してください。

悪意のあるコンシューマおよびプロバイダーの IP アドレスの検出を有効にする方法については、既知の悪意のある IPv4 アドレスの可視性を参照してください。
マイクロセグメンテーションポリシーを作成するには、ポリシーの作成と検出を参照してください。
ワークロードにポリシーを適用するには、ポリシーの適用を参照してください。

サービスプロファイル

Cisco Secure Workload は、外部オーケストレータを介して取り込まれたすべての Kubernetes サービスや他のロードバランサの可視性を提供します。サービスプロファイルページには、特定のサービスの詳細が表示されます。

（注）

サービスプロファイルページはさまざまな場所からリンクされています。サービスプロファイルを表示する方法の 1 つは、検索で説明されているようにサービスの検索を実行することです。

検索結果から、[サービス（Services）] タブの下の [サービス名（Service Name）] をクリックして、そのプロファイルに移動します。サービスに関する次の情報が提供されます。

ヘッダー（Header）

ヘッダーは次の情報で構成されます。

[オーケストレータ名（Orchestrator Name）]：このサービスを報告した外部オーケストレータの名前。
[オーケストレータタイプ（Orchestrator Type）]：外部オーケストレータのタイプ。
[名前空間（Namespace）]：サービスの名前空間。
[サービスタイプ（Service Type）]：サービスのタイプ。値は、ClusterIP、Node、Port、LoadBalancer のいずれかです。

IP とポート

この表には、このサービスにアクセスできる IP とポートのすべての可能な組み合わせが記載されています。NodePort タイプのサービスの場合、この表には ClusterIP:Port と NodeIp:NodePort の両方の関連付けが表示されます。

ユーザーラベル

このサービスに対してユーザーがアップロードしたラベルおよびオーケストレータシステムによって生成されたラベルのリスト。

範囲

ポッドが属する範囲のリスト。

ポッドプロファイル

Cisco Secure Workload は、Kubernetes 外部オーケストレータを介して取り込まれたすべての Kubernetes ポッドの可視性を提供します。ポッドプロファイルページには、特定のポッドの詳細が表示されます。

（注）

ポッドプロファイルページはさまざまな場所からリンクされています。ポッドプロファイルを表示する方法の 1 つは、検索で説明しているようにポッドの検索を実行することです。

検索結果から、[ポッド（Pod）] タブの下の [ポッド名（Pod Name）] をクリックして、そのプロファイルに移動します。ポッドに関する次の情報を入手できます。

ヘッダー（Header）

ヘッダーは次の情報で構成されます。

[オーケストレータ名（Orchestrator Name）]：このポッドを報告した外部オーケストレータの名前。
[オーケストレータタイプ（Orchestrator Type）]：外部オーケストレータのタイプ。
[名前空間（Namespace）]：ポッドの名前空間。
[IPアドレス（IP Address）]：ポッドの IP アドレス。

ユーザーラベル（User Labels）

このポッドに対してユーザーがアップロードしたラベルおよびオーケストレータシステムによって生成されたラベルのリスト。

スコープ

サービスが属する範囲のリスト。

コンテナの脆弱性スキャン

正常性を維持し、潜在的なセキュリティの脆弱性を特定するために、Kubernetes ポッドを定期的にスキャンすることをお勧めします。

前提条件

Kubernetes クラスタがオンボードされていることを確認します。
CSW Kubernetes daemonset エージェントを Kubernetes クラスタの一部としてインストールします。詳細については、「Installing Kubernetes or OpenShift Agents for Deep Visibility and Enforcement」を参照してください。

手順

ステップ 1

[管理（Manage）] > [ワークロード（Workloads）] > [Kubernetes]に移動します。

（注）

[クラスタ（Clusters）] タブには、オンボードされているすべてのクラスタのリストが、サービスやポッドなど、関連するインベントリとともに表示されます。

ステップ 2

[ポッド脆弱性スキャン（Pod Vulnerability Scanning）] をクリックします。

ステップ 3

スキャンを開始するには、[アクション（Actions）] の下にあるトグルを有効にします。このトグルは、デフォルトで無効になっています。

ステップ 4

編集アイコンをクリックして、クエリを変更し、クラスタで実行されているポッドのサブセットを選択します。

（注）

クラスタ内のすべてのポッドインベントリをスキャンするポッドクエリが、デフォルトで入力されます。ただし、ポッドクエリを編集して、スキャンするポッドを選択できます。
現在、Windows コンテナイメージのスキャンはサポートされていません。

ステップ 5

クラスタを展開して、[正常性ステータスの概要（Health Status Summary）] を表示します。

Kubernetes ノード名をクリックして、ワークロードプロファイルを表示します。
スキャナを実行できるように、追加情報をホストに自動的にダウンロードするには、トグルを有効にします。

ステップ 6

接続ステータスを確認し、必要に応じてログイン情報を入力します。[レジストリリスト（Registry List）] には、検出されたすべてのレジストリが表示されます。

（注）

ログイン情報は、レジストリタイプによって異なります。


レジストリタイプ（Registry Type）	クレデンシャル
Azure	テナント ID、クライアント ID、秘密鍵
AWS	アクセスキー、秘密鍵
GCP	JSON 形式のサービスアカウントキー
その他	ユーザー名、パスワード

トラブルシューティング

接続を確実に成功させるには、次の手順を実行します。

スキャナポッドはレジストリに接続できます。
必要なネットワークポリシーを設定します。
必要に応じて、ログイン情報を入力します。

Cisco Secure Workload リリース 3.9（SaaS）ユーザーガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： Cisco Secure Workload のインベントリの管理

Cisco Secure Workload のインベントリの管理

ワークロードラベル

ラベルの重要性

サブネットベースのラベル継承

ラベルのプレフィック

クラウドコネクタによって生成されたラベル

インスタンス固有のラベル

Kubernetes クラスタに関連するラベル

すべてのリソースに対して生成されたラベル

ノード固有のラベル

ポッド固有のラベル

サービス固有のラベル

Kubernetes クラスタのラベルの例

カスタムラベルのインポート

ラベルファイルのアップロードに関するガイドライン

手順

ラベルキースキーマ

列名に関するガイドライン

列の値に関するガイドライン

カスタムラベルのアップロード

始める前に

手順

検索ラベル

手順

カスタムラベルの手動割り当てまたは編集

手順

ラベルのダウンロード

手順

ラベルの変更

手順

ラベルの無効化

手順

ラベル変更の影響の確認

手順

ラベルを削除する

手順

ラベルの一括削除

手順

ラベルの使用状況の表示

手順

ラベルのメンテナンスプロセスの作成

範囲とインベントリ

範囲とインベントリの概要

範囲設計の原則

主な機能

スコープ

範囲の定義

範囲フィルタ

フル範囲のクエリ

範囲へのアクセスの提供

範囲の表示

範囲を参照するフローの検索

新しい範囲の作成

手順

範囲の重複

スコープの編集

範囲名の編集

範囲クエリの編集

手順

範囲の親の編集

手順

範囲の削除

範囲ツリーのリセット

始める前に

手順

変更の確定

ログの変更

新しいテナントの作成

手順

インベントリ

[インベントリ検索（Inventory Search）]

インベントリ構成要素

ラベルプランニングの考慮事項

インベントリの検索

手順

ワークロードプロファイル

ワークロードプロファイルページ

サービスプロファイル