※ 2018 年 8 月 27 日現在の情報をもとに作成しています
1. はじめに
Umbrella を導入する際、まずは実際にユーザーのアクセスをブロックせずに、検知状況のモニタリングだけを行いたい場合があると思います。本記事では、そういった運用をする際の注意点について紹介します。
2. モニタリングだけを行うポリシーの作成
モニタリングだけを行うポリシーを作成する手順は以下のとおりです。
- Umbrella Dashboard の Policies -> All Policies を開く
- 画面右上の Add をクリックする
- モニタリングだけを行いたい対象 (Identities) を選択し、NEXT をクリックする
- 「Enforce Security at the DNS Layer」「Limit Content Access」「Apply Destination Lists」のチェックを外し、「Enable Intelligent Proxy」をオフにしてから、NEXT をクリックする (画像参照)
- 「Policy Name」に任意の名前を入力し、SAVE をクリックする
- 必要に応じて、作成したポリシーの順番をドラッグ アンド ドロップで調整する
※「Enable Intelligent Proxy」は Umbrella Insights 以上のサブスクリプションをお持ちの場合に表示されます
3. Security Activity レポートの注意点
検知したセキュリティに関するアクティビティを確認したい場合に便利な Security Activity レポートですが、デフォルトでは許可されたアクティビティは表示されません。そのため、モニタリング用ポリシーだけを使用している場合、何も表示されなくなります。
これを回避するため、レポート画面左下の「RESPONSE」にある「Allowed」をクリックして、許可されたセキュリティに関するアクティビティの表示を有効にしてください。
4. Intelligent Proxy を併用する場合の注意点
前述のモニタリング用ポリシーの作成手順では、Intelligent Proxy をオフにしていました。これは、Intelligent Proxy によって「グレー」と判断されるドメインに対する TCP 80/443 以外の通信が失敗してしまうことを回避するためです。
この通信の失敗でよくみられるのが、Ping が通らない、SSH 接続ができないといった症状で、以前の記事で SSH (TCP 22) を例に説明を行いました。
もし、Intelligent Proxy による検知もモニタリングしたいが、あるグレーと判断されるサイトへの SSH 接続も行いたい、そんな場合における回避方法が 1 つあり、ポリシーで Destination Lists の Allow List に当該のドメインを追加します。
例えば、グレーと判断されるドメインをそのまま nslookup すると、以下の出力結果 (一部抜粋) のように Intelligent Proxy の IP アドレスが出力されます。
Addresses: 146.112.237.202
146.112.237.203
146.112.237.213
146.112.237.210
146.112.237.195
146.112.237.211
146.112.237.203
146.112.237.211
146.112.237.213
146.112.237.195
146.112.237.202
146.112.237.210
これに対し、Policies -> Destination Lists -> Global Allow List にこのドメインを追加した場合、以下のように通常の IP アドレスが表示されます。
Address: 通常の IP アドレス
なお、当該のドメインがグレーと判断されること自体が明らかな間違いである場合、Umbrella Dashboard の当該ドメインのレポート画面から提案 (英語のみ) を行うことが可能です。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
