購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1729
閲覧回数
6
いいね!
0
コメント

Umbrella: DNS リクエストにアイデンティティが複数ある場合のポリシー選択とレポート表示

tkitahar
Cisco Employee
Cisco Employee

‎2018-01-26 12:29 PM ‎2021-09-08 05:04 PM 更新

 

 ※ 2021 年 9 月 8 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に送られる DNS リクエストには、アイデンティティが複数該当する場合があります。本記事では、アイデンティティが複数該当する場合に適用されるポリシーの選択と、Activity Search レポートの Identity 欄の表示について解説します。

 

2. 複数のアイデンティティが該当する実際の例

 

ここでは、組織内のクライアント PC Roaming Client をインストールしており、さらに、この組織内ネットワークのグローバル IP アドレスを Networks アイデンティティとして登録している場合を例に説明します。

 

あるクライアント PC 上で外部ドメインの DNS リクエストが生成されると、その PC にインストールされた Roaming Client DNS リクエストの EDNS0 と呼ばれる拡張領域に、その Roaming Client を一意に識別するデバイス ID を付与します。そして、そのパケットを暗号化してから、クラウド上の Umbrella DNS サーバーに送ります。

 

flow.png

 

※ Roaming Client の代わりに Virtual Appliance を使っている場合は、Virtual Appliance が EDNS0 に情報を付与します

 

この DNS リクエストを受け取った DNS サーバーは、まず、このパケットの送信元 IP アドレスが Networks アイデンティティに登録されているか、および、EDNS0 に情報が付与されているかをチェックし、その DNS リクエストに該当するアイデンティティが何かを特定します。

 

もしアイデンティティが 1 つの場合は、そのアイデンティティに紐づいたポリシーの中から最上位となるポリシーが適用されることになりますが、今回の例ではアイデンティティが 2 つあります。実は、この場合も考え方は同じで、それぞれのアイデンティティに紐づいたすべてのポリシーの中から最上位となるポリシーが適用されます。

 

例えば、この組織で以下のようなポリシー設定をしている場合、ポリシーを上から順に確認していき、最終的に Networks アイデンティティと紐づいたポリシー 2 が適用されます。

 

ポリシー名 紐づいたアイデンティティ
ポリシー 1 Sites
ポリシー 2 Networks
ポリシー 3 Roaming Computers
Default Policy すべてのアイデンティティ

 

次に Activity Search レポート内のアイデンティティに関する表示についてですが、Activity Search レポートには「Identity」と「Policy or Ruleset Identity」の 2 種類があります。

 

それぞれ表示される内容は異なっており、「Identity」には該当するアイデンティティの中でより優先度が高いアイデンティティが表示され、「Policy or Ruleset Identity」にはポリシーの決定に使われたアイデンティティが表示されます。

 

例えば、上記のポリシー設定例の場合、「Identity」には優先度が高い Roaming Computers が表示され、「Policy or Ruleset Identity」にはポリシーの決定に使われた Networks が表示されます。

 

なお、ポリシー設定が以下の表のような場合、ポリシーの決定に使われたアイデンティティが複数存在しますが、「Policy or Ruleset Identity」にはその中で一番優先度が高いアイデンティティ (この場合では Roaming Computers) が表示されます。

 

ポリシー名 紐づいたアイデンティティ
ポリシー 1 Sites
ポリシー 2 Networks、Roaming Computers
Default Policy すべてのアイデンティティ

 

3. アイデンティティの優先度について

 

前項で Activity Search レポートの「Identity」はアイデンティティの優先度で決まると説明しました。このアイデンティティの優先度は、一般的に情報の粒度が細かいものが高く設定されています (例外あり)。なぜなら、セキュリティ インシデントが発生した際に、情報の粒度が細かいほど、その発生源を特定しやすいためです。

 

実際のアイデンティティの優先度の一覧は以下のようになっています。

 

1 AD Users
2 AD Computers
3 Sites の中の Internal Networks
4 Sites
5 Network Devices/Roaming Computers/Mobile Devices/Chromebook Users
6 Networks

 

Policy Precedence

https://docs.umbrella.com/product/umbrella/policy-precedence/

 

なお、レポート表示上の例外が 1 つあり、Roaming Client で Identity Support を使用している場合、Activity Search レポートの「Identity」には AD Users ではなく Roaming Computers が表示されます。

 

pic1.png

 

4. IP Layer Enforcement の場合

 

IP Layer Enforcement による検知の場合、適用されるポリシーの決定についてはこれまでの説明と同じルールで行われますが、Activity Search レポートの「Identity」および「Policy or Ruleset Identity」 にはRoaming Computers」が表示されます。これは、IP Layer Enforcement Roaming Client を前提とした機能であるためです。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents