Firepower ��[�U �G�[�W �F �� g �\��K�C �h �o�[�W �� 2.3

Firepower ユーザエージェント構成ガイド
バージョン 2.3
2015年8月20日
Cisco Systems, Inc.
www.cisco.com
シスコは世界各国 200 箇所にオフィスを開設しています。
所在地、電話番号、FAX 番号
は以下のシスコ Web サイトをご覧ください。
www.cisco.com/go/offices
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および
推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製
品の使用は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連
絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public
domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シス
コおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生す
る保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わな
いものとします。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this
URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、
ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとして
も、それは意図的なものではなく、偶然の一致によるものです。
© 2015 Cisco Systems, Inc. All rights reserved.
CONTENTS
CHAPTER
1
ユーザエージェント入門
1-1
ユーザエージェントの概要
1-2
ユーザエージェントの基礎
1-2
レガシーエージェントのサポート
1-6
バージョン 5.x のエージェントとアクセス制御について
1-6
バージョン 6.x のエージェント、ISE、およびアクセス制御について
CHAPTER
2
ユーザエージェントの設定プロセス
1-6
2-1
ユーザエージェントのセットアップ
2-1
Management Center の設定
2-2
RUA エージェントに接続するためのバージョン 4.x の防御センターの設定
2-2
ユーザエージェントに接続するためのバージョン 5.x の防御センターの設定 2-3
ユーザエージェントに接続するためのバージョン 6.x の Management Center
の設定
2-3
Active Directory サーバの設定
2-4
ユーザエージェント接続を準備するための Active Directory サーバの設定
アイドルセッションタイムアウトの有効化
2-5
ユーザエージェントの設定
2-7
ユーザエージェントのインストールに関するコンピュータの準備
ユーザエージェント設定のバックアップ
2-8
ユーザエージェントのインストール
2-9
ユーザエージェントの設定
2-10
2-4
2-7
Firepower ユーザエージェント構成ガイド
1
Contents
Firepower ユーザエージェント構成ガイド
2
CHAPTER
1
ユーザエージェント入門
バージョン 2.3 のユーザエージェントは、Firepower システムの管理対象デバイスと連携して
ユーザデータを収集します。 Firepower システムのバージョン 5.x またはバージョン 6.x ととも
にエージェントを使用する場合は、ユーザアクセス制御を実装するためにもユーザエージェン
トが不可欠です。
ユーザエージェントは Microsoft Active Directory サーバを監視し、LDAP 経由で認証されたログ
インとログオフをレポートします。 Firepower システムは、これらのレコードと、管理対象デバイ
ス上でのトラフィックベースの検知により収集した情報とを統合します。
ユーザエージェントに関するリリース固有の用語や機能サポートについては、次の表を参照し
てください。
表 1-1
リリース固有のユーザエージェントの用語
概念
バージョン 4.x
バージョン 5.x
バージョン 6.x
システム
Sourcefire 3D
System
FireSIGHT システム Firepower システム
ユーザ検出専用の機能
RUA
ネットワークディ
スカバリ
ネットワークの検
出とアイデンティ
ティ
ユーザアイデンティティとユーザ認識
ユーザアクティビティデー
タの分析
ユーザ認識
ユーザ認識
ユーザ制御へのユーザアイ
デンティティとユーザアク
ティビティの使用
該当なし
アクセスコント
ロール
アクセスコント
ロール
管理側アプライアンス
防御センター
防御センター
Management Center
管理対象アプライアンス
センサー
管理対象デバイス
管理対象デバイス
サーバデータベース接続
ユーザ認識オブ
ジェクト
ユーザ認識オブ
ジェクト
レルム
Firepower ユーザエージェント構成ガイド
1-1
第1章
ユーザエージェント入門
ユーザエージェントの概要
ユーザエージェントの概要
この項では、Firepower システムにユーザ検出を実装する上でユーザエージェントが果たす役割
に焦点を当てています。ユーザ検出、RNA/ネットワーク検出、および ID 取得元に関するすべて
の概念の詳細については、お使いのアプライアンスを実行している Firepower システムのバー
ジョンの Firepower システムのユーザガイドを参照してください。
詳細については、次の項を参照してください。
•
ユーザエージェントの基礎（1-2 ページ）
•
レガシーエージェントのサポート（1-6 ページ）
•
バージョン 5.x のエージェントとアクセス制御について（1-6 ページ）
•
バージョン 6.x のエージェント、ISE、およびアクセス制御について（1-6 ページ）
ユーザエージェントの基礎
Firepower システムは、組織の LDAP サーバからユーザアイデンティティ情報とユーザアクティ
ビティ情報の両方を取得します。ユーザエージェントでは、Microsoft Active Directory サーバに
対して Active Directory のクレデンシャルを認証するユーザを監視できます。
ユーザエージェントをインストールして使用することで、ユーザ制御を実行できます。つまり、
エージェントがユーザと IP アドレスを関連付け、これによりユーザの条件によるアクセス制御
をトリガーできるようになります。 1 つのエージェントを使用して、最大 5 つの Active Directory
サーバでユーザアクティビティを監視できます。
ユーザ制御を実行するためのユーザエージェントの完全な設定には以下が含まれます。
•
エージェントがインストールされたコンピュータまたはサーバ。
•
Management Center とエージェントがインストールされたコンピュータまたはサーバとの間
の接続。
•
各 Management Center から管理対象 LDAP サーバへの接続。バージョン 5.x では、これらを
ユーザ認識オブジェクトとして設定します。バージョン 6.x では、これらをアイデンティ
ティレルムとして設定します。
ユーザ制御の詳細については、『Firepower Management Center Configuration Guide（Firepower
Management Center 構成ガイド）』を参照してください。
エージェントは、監視対象の Microsoft Active Directory サーバに TCP/IP でアクセスできる任意
の Microsoft Windows Vista、Microsoft Windows 7、Microsoft Windows 8、Microsoft Windows Server
2003、Microsoft Windows Server 2008、または Microsoft Windows Server 2012 コンピュータにイン
ストールできます。また、サポートされるいずれかのオペレーティングシステムを実行する
Active Directory サーバにインストールすることもできます。
Management Center接続は、ログインとログオフがユーザエージェントによって検出されたユー
ザのメタデータを取得可能にするだけでなく、アクセス制御ルール内で使用するユーザとグ
ループを指定するためにも使用されます。エージェントが特定のユーザ名を除外するように設
定されている場合、それらのユーザ名のログインデータはManagement Centerに報告されませ
ん。詳細については、『Firepower システム User Guide（Firepower System ユーザガイド）』を参照し
てください。
Firepower ユーザエージェント構成ガイド
1-2
第1章
ユーザエージェント入門
ユーザエージェントの概要
エージェントのモニタリング、ポーリング、およびレポート
各エージェントは、定期的にスケジュールされたポーリングまたはリアルタイムモニタリング
によって、暗号化トラフィックを使用するログインを監視できます。ログインは、ユーザがワー
クステーションで、または、リモートデスクトップログイン経由でコンピュータにログインし
たときに Active Directory サーバによって生成されます。
エージェントは、ユーザログオフをモニタして報告することもできます。ログオフは、ホスト IP
アドレスからログアウトしたユーザをエージェントが検出したときに、エージェント自体に
よって生成されます。また、ログオフは、ホストにログインしたユーザが変わったことをエー
ジェントが検出したときにも生成され、その後で Active Directory サーバがユーザが変わったこ
とを報告します。ログインデータとログオフデータを組み合わせることで、ネットワークにロ
グインしたユーザをより完全に把握できます。
Active Directory サーバのポーリングによって、エージェントは定義されたポーリング時間間隔
でユーザアクティビティデータをまとめて取得できます。リアルタイムモニタリングは、
Active Directory サーバがデータを受信するとすぐに、ユーザアクティビティデータをエージェ
ントに送信します。
特定のユーザ名または IP アドレスに関連付けられたログインまたはログオフの報告を除外する
ように、エージェントを設定できます。これは、ファイル共有やプリントサーバなどの共有サー
バに対する反復ログインを除外したり、トラブルシューティングのためのマシンへのログイン
を除外したりする場合に役立ちます。
最大 5 つの Active Directory サーバをモニタし、その暗号化されたデータを 5 つの Management
Center に送信するように、各エージェントを設定できます。
エージェントは、検出されたすべてのログインおよびログオフのうち、除外されたユーザ名また
は IP アドレスを含まないレコードを Management Center に送信します。防御センターはこれら
のレコードをユーザアクティビティとして記録し、報告します。エージェントは、Management
Center のバージョンを検出し、ログインレコードを適切なデータ形式で送信します。これによ
り、管理対象デバイスで直接検出されたユーザアクティビティが補完されます。バージョン 5.x
またはバージョン 6.x を使用してアクセス制御を実行すると、ユーザエージェントが報告した
ログインによってユーザと IP アドレスが関連付けられ、その結果としてユーザ条件によるアク
セス制御ルールがトリガーされます。
メモ
複数のユーザがリモートセッションを使用してホストにログインしている場合は、エージェン
トがそのホストからのログインを正確に検出しない場合があります。これを防止する方法の詳
細については、アイドルセッションタイムアウトの有効化（2-5 ページ）を参照してください。
Firepower ユーザエージェント構成ガイド
1-3
第1章
ユーザエージェント入門
ユーザエージェントの概要
表 1-2
ポーリングおよびモニタリングについての注意事項
概念
注記
ログイン検出
エージェントは、バージョン 5.2+ を実行している防御センターに対して IPv6 アドレスを
持つホストへのユーザログインを報告します。
エージェントは、権限のないユーザログインと NetBIOS ログインを、バージョン 5.0.1+ を
実行している防御センターに報告します。
また、エージェントは、実際のユーザ名からの権限のあるログインを、バージョン 4.10.x+ を
実行している防御センターに報告します。
Active Directory サーバへのログインを検出する場合は、サーバの IP アドレスを使用して
Active Directory サーバの接続を設定する必要があります。詳細については、ユーザエー
ジェントの Active Directory サーバ接続の設定（2-11 ページ）を参照してください。
ログオフ検出
エージェントは、検出したログオフをバージョン 5.2+ 防御センターに報告します。
ログオフはすぐに検出されない場合があります。ログオフに関連付けられたタイムスタン
プは、ユーザがホストの IP アドレスにマップされなくなったことをエージェントが検出した
時間であり、ユーザがホストからログオフした実際の時間とは一致しない場合があります。
ログオフは、ホスト IP アドレスからログアウトしたユーザをエージェントが検出したとき
に、エージェント自体によって生成されます。また、ログオフは、ホストにログインした
ユーザが変わったことをエージェントが検出したときにも生成され、その後で Active
Directory サーバがユーザが変わったことを報告します。
リアルタイムデー
タの取得
Active Directory サーバで Windows Server 2008 または Windows Server 2012 が実行されてい
る必要があります。
エージェントのログインデータ
ユーザエージェントは、ユーザがネットワークにログインするか、またはアカウントがその他の
理由で Active Directory のクレデンシャルに対して認証されるときに、ユーザを監視します。
ユーザエージェントは、ホストへの対話型ユーザログイン、リモートデスクトップログイン、
ファイル共有認証、およびコンピュータアカウントのログインに加えて、ユーザログオフと
ユーザがログオフしたリモートデスクトップセッションを検出します。
ユーザエージェントは権限を有したユーザのログインを報告します。権限を有するログインの
データ（たとえば、リモートデスクトップログインや、ユーザによるホストへの対話型ログイン
など）によって、ホスト IP アドレスにマップされた現在のユーザが新たなログインからのユーザ
に変更されます。ネットワーク検出のトラフィックベース検出では、権限を持たないユーザによ
るログインが報告されます。権限のないログインでは、現在のユーザを変更しないか、既存の
ユーザにも権限がない場合にのみ現在のユーザを変更します。後者の場合は、以前の権限のない
ログインのログオフが生成されます。
ただし、次の警告に注意してください。
•
エージェントがファイル共有認証用のログインを検出した場合は、ホストに対するユーザ
ログインを報告しますが、ホスト上の現在のユーザは変更しません。
•
エージェントがホストに対するコンピュータアカウントログインを検出した場合は、
NetBIOS Name Change 検出イベントを生成し、ホストプロファイルに NetBIOS 名の変更が
反映されます。
•
エージェントが除外ユーザ名からのログインを検出した場合は、Management Center にログ
インを報告しません。
Firepower ユーザエージェント構成ガイド
1-4
第1章
ユーザエージェント入門
ユーザエージェントの概要
エージェントは、すべてのログインについて次の情報を Management Center に送信します。
•
メモ
メモ
ユーザの LDAP ユーザ名
ユーザインターフェイスは Unicode 文字を含むユーザ名を正しく表示しない場合があります。
エージェントは、Unicode 文字を含むユーザ名をバージョン 4.10.x 防御センターに報告しません。
•
ログインまたはその他の認証の時刻
•
ユーザのホストの IP アドレスと、エージェントがコンピュータアカウントログインの IPv6
アドレスを報告した場合のリンクローカルアドレス
ユーザが Linux コンピュータでリモートデスクトップを使用して Windows コンピュータにログ
インした場合、エージェントはログインを検出すると、Linux コンピュータの IP アドレスではな
く Windows コンピュータの IP アドレスを Management Center に報告します。
Management Center はユーザアクティビティデータベースにログイン情報とログオフ情報を記
録し、ユーザデータをユーザデータベースに記録します。データベースの詳細については、
『Firepower Management Center Configuration Guide（Firepower Management Center 構成ガイド）』を
参照してください。ユーザエージェントがユーザログインまたはログオフからのユーザデータ
を報告すると、報告されたユーザがユーザデータベース内のユーザのリストと照合してチェッ
クされます。報告されたユーザがエージェントから報告された既存のユーザと一致した場合は、
報告されたデータがそのユーザに割り当てられます。報告されたユーザが既存のユーザと一致
しなかった場合は、新しいユーザが作成されます。
除外ユーザ名に関連付けられたユーザアクティビティは報告されませんが、関連するユーザア
クティビティは報告される場合があります。エージェントがマシンへのユーザログインを検出
し、その後 2 つ目のユーザログインを検出したときに、2 つ目のユーザログインに関連付けられ
たユーザ名が報告対象から除外されていた場合、エージェントは元のユーザのログオフを報告
します。ただし、2 人目のユーザのログインは報告されません。その結果、除外ユーザがホストに
ログインしていた場合でも、ユーザが IP アドレスにマップされません。
エージェントによって検出されるユーザ名については、次の制限事項に注意してください。
•
ドル記号文字（$）で終わるユーザ名がバージョン 5.0.2+ の防御センターに報告されると、
ネットワークマップは更新されますが、そのユーザ名はユーザログインとして表示されま
せん。エージェントは、ドル記号（$）で終わるユーザ名を他のバージョンの Management
Center に報告しません。
•
Management Center では、Unicode 文字を含むユーザ名の表示が制限される場合があります。
検出されたユーザについて、Management Center が格納できる総数は、以下によって異なります。
•
バージョン 4.x および 5.x では RNA または FireSIGHT ライセンス。
•
バージョン 6.x では Management Center モデル。
ユーザ制限に達すると、ほとんどの場合、システムはデータベースへの新しいユーザの追加を停
止します。新しいユーザを追加するには、古いユーザまたは非アクティブなユーザをデータベー
スから手動で削除するか、データベースからすべてのユーザを消去する必要があります。
Firepower ユーザエージェント構成ガイド
1-5
第1章
ユーザエージェント入門
ユーザエージェントの概要
レガシーエージェントのサポート
Active Directory LDAP サーバにインストールされているバージョン 1.0（レガシー）のユーザ
エージェントは、引き続き Active Directory サーバから 1 つの Management Center にユーザログ
インデータを送信できます。レガシーエージェントの導入要件と検出機能に変更はありませ
ん。レガシーエージェントを Active Directory サーバにインストールして、1 つの Management
Center のみに接続する必要があります。ただし、ユーザエージェントのステータスモニタヘル
スモジュールはレガシーエージェントをサポートしないため、レガシーエージェントが接続さ
れている Management Center ではこのモジュールを有効にしないでください。今後のリリースで
レガシーエージェントのサポートが停止される場合に備えて、できるだけ早くバージョン 2.3
のユーザエージェントを使用するように導入環境をアップグレードしてください。
バージョン 5.x のエージェントとアクセス制御について
ライセンス：制御
組織で Microsoft Active Directory LDAP サーバが使用されている場合は、ユーザエージェントを
インストールし、Active Directory サーバを介してユーザアクティビティをモニタすることをシ
スコでは推奨しています。バージョン 5.x でユーザ制御を実行する場合は、ユーザエージェント
をインストールし、防御センターへの接続を設定する必要があります。
バージョン 6.x のエージェント、ISE、およびアクセス制御について
Classic ライセンス：制御
Smart ライセンス： Any
バージョン 6.0 では、ユーザエージェントに代わって、Cisco Identity Services Engine（ISE）がサ
ポートされるようになりました。ユーザエージェントと ISE は、ユーザアクセス制御のための
データを収集するパッシブなアイデンティティ取得源です。バージョン 6.x でユーザ制御を実
行する場合は、エージェントまたは ISE デバイスに接続されている Management Center 上の監視
対象 LDAP サーバまたは AD サーバにレルムを設定できます。レルム、アイデンティティ取得
源、および ISE の詳細については、『Firepower システム User Guide（Firepower System ユーザガイ
ド）』を参照してください。
Firepower ユーザエージェント構成ガイド
1-6
CHAPTER
2
ユーザエージェントの設定プロセス
バージョン 2.3 のユーザエージェントを使用して Microsoft Active Directory サーバからユーザ
ログインデータを収集し、それを Management Center に送信するには、ユーザエージェントをイ
ンストールし、それを各 Management Center および Microsoft Active Directory サーバに接続して、
全般的な設定を設定する必要があります。詳細については、次の項を参照してください。
•
ユーザエージェントのセットアップ（2-1 ページ）
•
Management Center の設定（2-2 ページ）
•
Active Directory サーバの設定（2-4 ページ）
•
ユーザエージェントの設定（2-7 ページ）
ユーザエージェントのセットアップ
ユーザエージェントは多段階の設定を行ってセットアップします。
ユーザエージェントをセットアップするには、次の手順を実行します。
アクセス： Admin
ステップ 1
エージェントをインストールするサーバの IP アドレスからのエージェント接続を許可するよう
に、各 Management Center を設定します。
•
RUA エージェントに接続するためのバージョン 4.x の防御センターの設定（2-2 ページ）。
•
ユーザエージェントに接続するためのバージョン 5.x の防御センターの設定（2-3 ページ）。
•
ユーザエージェントに接続するためのバージョン 6.x の Management Center の設定（2-3
ページ）
ステップ 2
エージェントが Active Directory サーバに接続できるようにするために必要な Windows とユー
ザの権限を設定します。詳細については、ユーザエージェント接続を準備するための Active
Directory サーバの設定（2-4 ページ）を参照してください。
ステップ 3
必要に応じて、アイドル状態のリモートセッションのタイムアウトを有効にします。詳細につ
いては、アイドルセッションタイムアウトの有効化（2-5 ページ）を参照してください。
ステップ 4
エージェントをインストールするコンピュータに、前提条件となるプログラムをインストール
します。 Active Directory サーバに対するコンピュータの TCP/IP アクセスをセットアップしま
す。詳細については、ユーザエージェントのインストールに関するコンピュータの準備（2-7
ページ）を参照してください。
Firepower ユーザエージェント構成ガイド
2-1
第2章
ユーザエージェントの設定プロセス
Management Center の設定
ステップ 5
必要に応じて、旧バージョンのユーザエージェントの構成設定を保持するために、エージェント
データベースのバックアップを実行します。詳細については、ユーザエージェント設定のバッ
クアップ（2-8 ページ）を参照してください。
ステップ 6
コンピュータにエージェントをインストールします。詳細については、ユーザエージェントの
インストール（2-9 ページ）を参照してください。
ステップ 7
最大で 5 つの Microsoft Active Directory サーバへの接続を設定します。必要に応じて、エージェ
ントのポーリング間隔と最大ポーリング時間を設定します。詳細については、ユーザエージェ
ントの Active Directory サーバ接続の設定（2-11 ページ）を参照してください。
ステップ 8
最大で 5 つの Management Center への接続を設定します。詳細については、ユーザエージェント
のManagement Center接続の設定（2-14 ページ）を参照してください。
ステップ 9
必要に応じて、ログインおよびログオフデータのポーリングから除外するユーザ名と IP アドレ
スのリストを設定します。詳細については、ユーザエージェントの除外ユーザ名設定の構成
（2-16 ページ）およびユーザエージェントの除外アドレス設定の構成（2-17 ページ）を参照してく
ださい。
ステップ 10
必要に応じて、エージェントのロギング設定を構成します。詳細については、ユーザエージェン
トのロギング設定の構成（2-18 ページ）を参照してください。
ステップ 11
必要に応じて、エージェント名の設定、サービスの開始と停止、およびサービスの現在のステー
タスの表示を行います。詳細については、ユーザエージェントの全般的な設定の構成（2-20 ペー
ジ）を参照してください。
ステップ 12
[保存（Save）] をクリックして、エージェントの設定を保存します。
注意
サポートからの指示がないかぎり、エージェントメンテナンスの設定は変更しないでください。
Management Center の設定
最初に Management Center を準備します。
RUA エージェントに接続するためのバージョン 4.x の防御センターの
設定
バージョン 2.3 のユーザエージェントを使用してバージョン 4.x の防御センターに LDAP ログ
インデータを送信する場合は、Active Directory サーバへの接続を計画しているエージェントか
ら接続できるように各防御センターを設定する必要があります。このプロセスの詳細について
は、『Version 4.x Sourcefire 3D System User Guide（Version 4.x Sourcefire 3D System ユーザガイド）』
の「Configuring the 防御センター to Connect to RUA Agents（RUA エージェントに接続するための
防御センターの設定）」を参照してください。
IPv6 アドレスを使用してユーザエージェントに接続するように防御センターを設定することは
できません。IPv4 アドレスを使用する必要があります。
Firepower ユーザエージェント構成ガイド
2-2
第2章
ユーザエージェントの設定プロセス
Management Center の設定
ユーザエージェントに接続するためのバージョン 5.x の防御センター
の設定
バージョン 2.3 のユーザエージェントを使用してバージョン 5.x の防御センターに LDAP ログ
インデータを送信する場合は、Active Directory サーバへの接続を計画しているエージェントか
ら接続できるように各防御センターを設定する必要があります。その接続によって、エージェン
トは防御センターとのセキュアな接続を確立し、データを送信できるようになります。この接続
の確立に関する詳細については、『Version 5.x FireSIGHT System User Guide（Version 5.x FireSIGHT
System ユーザガイド）』の「Using User Agents to Report Active Directory Logins（ユーザエージェ
ントを使用した Active Directory のログインのレポート）」を参照してください。
次に、ユーザアクセス制御の実装を計画している場合は、組織内の少なくとも 1 つの Microsoft
Active Directory サーバと防御センター間に接続を設定し、有効にしておく必要があります。バー
ジョン 5.x では、これを LDAP 接続、またはユーザ認識オブジェクトと呼んでいます。この設定
には、サーバの接続設定と認証フィルタの設定が含まれています。接続のユーザアクセス制御
パラメータとグループアクセス制御パラメータで、アクセス制御ルールで使用可能なユーザと
グループを指定します。この設定の詳細については、『Version 5.x FireSIGHT System User Guide』
の「Connecting to an LDAP Server for User Awareness and Control」を参照してください。
メモ
ユーザ制御を実行する場合は、組織で Microsoft Active Directory を使用している必要がありま
す。システムは、Active Directory サーバをモニタするユーザエージェントを使用してユーザと
IP アドレスを関連付けます。その結果、アクセス制御ルールをトリガーできるようになります。
ユーザエージェントに接続するためのバージョン 6.x の Management
Center の設定
バージョン 2.3 のユーザエージェントを使用してバージョン 6.x の Management Center にログイ
ンデータを送信する場合は、サーバへの接続を計画しているエージェントから接続できるよう
に各 Management Center を設定する必要があります。その接続によって、エージェントは
Management Center とのセキュアな接続を確立し、データを送信できるようになります。この接
続の確立に関する詳細については、『Version 6.x Firepower System User Guide（Version 6.x
Firepower System ユーザガイド）』の「User Agent Connection（ユーザエージェント接続）」を参照
してください。
次に、ユーザアクセス制御の実装を計画している場合は、組織内の少なくとも 1 つの Microsoft
Active Directory サーバと Management Center 間に接続を設定し、有効にしておく必要がありま
す。バージョン 6.x では、これをレルムと呼んでいます。レルムには、サーバの接続設定と認証
フィルタ設定が含まれています。接続のユーザダウンロード設定は、アクセス制御ルールで使
用可能なユーザとグループを指定します。この接続の確立に関する詳細については、『Version 6.x
Firepower Management Center Configuration Guide（Version 6.x Firepower 管理センター構成ガイ
ド）』の「Creating a Realm（レルムの作成）」を参照してください。
メモ
ユーザエージェントデータに基づいてユーザ制御を実行する場合は、組織で Microsoft Active
Directory を使用している必要があります。システムは、Active Directory サーバを実行している
ユーザエージェントを使用し、ユーザと IP アドレスを関連付けます。その結果、アクセス制御
ルールをトリガーできます。
Firepower ユーザエージェント構成ガイド
2-3
第2章
ユーザエージェントの設定プロセス
Active Directory サーバの設定
Active Directory サーバの設定
Management Center を準備した後、サーバを準備する必要があります。
ユーザエージェント接続を準備するための Active Directory サーバの
設定
エージェントに関するすべての前提条件を満たすようにコンピュータを準備できたら、Active
Directory のセキュリティログが有効になっていることを確認し、Active Directory サーバがこれら
のログにログインデータを記録できるようにします。次に、ユーザ権限と Windows のセキュリ
ティ権限を設定して、エージェントが Active Directory サーバと通信し、セキュリティログにアク
セスしてログインデータ（および必要に応じてログオフデータ）を取得できるようにします。
Active Directory サーバがログインデータをログに記録していることを確認するには、以下を行います。
ステップ 1
Active Directory サーバで、[ スタート ] > [All Programs] > [Administrative Tools] > [ イベントビュー
アー] を選択します。
ステップ 2
[Windows Logs] > [セキュリティ ] を選択します。
ロギングが有効になっている場合は、セキュリティログが表示されます。ロギングが無効に
なっている場合は、http://technet.microsoft.com/en-us/library/cc779487(v=ws.10).aspx でセキュリ
ティログの有効化の詳細を参照してください。
エージェントが Active Directory サーバと通信できるようにするには、次の手順を実行します。
ステップ 1
Active Directory サーバのリモート管理のファイアウォールルールを有効にします。次の選択肢
があります。
•
Active Directory サーバで Windows Server 2003 が実行されている場合は、
http://technet.microsoft.com/en-us/library/cc738900%28v=ws.10%29.aspx で詳細を参照してく
ださい。
•
Active Directory サーバで Windows Server 2008 または Windows Server 2012 が実行されてい
る場合は、http://msdn.microsoft.com/en-us/library/aa822854%28VS.85%29.aspx で詳細を参照
してください。
ログインデータを取得するためのエージェント権限を付与するには、次の手順を実行します。
ステップ 1
エージェントがインストールされているコンピュータ上でユーザを作成します。
メモ
Active Directory サーバ接続を構成するときに、これらのクレデンシャルを使用します。
詳細については、「ユーザエージェントの Active Directory サーバ接続の設定（2-11 ペー
ジ）」を参照してください。
Firepower ユーザエージェント構成ガイド
2-4
第2章
ユーザエージェントの設定プロセス
Active Directory サーバの設定
ステップ 2
このユーザのために Active Directory サーバの RPC を有効にします。次の選択肢があります。
•
Active Directory サーバで Windows Server 2008 R2 または Windows Server 2012 が実行されて
いて、ユーザが Administrators グループのメンバーでない場合は、ユーザに DCOM のリモー
トアクセス、リモート起動、およびアクティブ化権限を付与します。詳細については、
http://msdn.microsoft.com/en-us/library/Aa393266.aspx を参照してください。
•
Active Directory サーバで他のサポート対象バージョンの Microsoft Windows が実行されてい
る場合は、RPC がすでに有効になっています。
ログオフデータを取得する権限をエージェントに付与するには、次の手順を実行します。
ステップ 1
作成したユーザに管理者権限を付与して、Active Directory サーバに対して認証するすべての
ワークステーションにユーザが確実にログインできるようにします。
Windows 2012 Server でログオン/ログオフイベントの監査を有効にするには、次の手順を実行します。
ステップ 2
[ スタート ] > [Administrative Tools] > [グループポリシー管理エディター] を選択します。
ステップ 3
ドメインコントローラのデフォルトのドメインポリシーを右クリックし、[編集] を選択します。
ステップ 4
[Computer Configuration）] > [Windows Settings]> [セキュリティの設定] > [Advanced Audit Policy
Configuration] > [Audit Policies] > [Logon/Logoff] に移動し、監査イベントを編集してそれらのイ
ベントを [Success] に設定します。
セキュリティログにアクセスする権限をエージェントに付与するには、次の手順を実行します。
ステップ 1
作成したユーザに Active Directory サーバの WMI ルート /CIMV2 ネームスペースへの完全なア
クセス権限を付与します。詳細については、
http://technet.microsoft.com/en-us/library/cc787533%28v=WS.10%29.aspx を参照してください。
少なくとも、アカウントの有効化権限とリモートの有効化権限を付与します。
アイドルセッションタイムアウトの有効化（2-5 ページ）に進みます。
アイドルセッションタイムアウトの有効化
Active Directory サーバに接続する権限を設定した後は、必要に応じてグループポリシーのアイ
ドルセッションタイムアウトを有効にすることができます。これは、エージェントがホストの
複数のセッションによる余分なログインを検出して報告することを防ぐのに役立ちます。
ターミナルサービスでは、複数のユーザがサーバに同時にログインできます。アイドルセッ
ションタイムアウトを有効にすることにより、サーバにログインした複数のセッションのイン
スタンスを減らすことができます。
リモートデスクトップでは、リモートでワークステーションにログインできるユーザは一度に
1 人だけです。ただし、ユーザがログアウトせずにリモートデスクトップセッションを切断する
と、そのセッションはアクティブなままになります。ユーザ入力がなくなると、アクティブな
セッションは最終的にアイドル状態になります。別のユーザがリモートデスクトップを使用し
てワークステーションにログインした場合は、2 つのセッションが実行されています。実行中の
Firepower ユーザエージェント構成ガイド
2-5
第2章
ユーザエージェントの設定プロセス
Active Directory サーバの設定
セッションが複数あるため、エージェントは余分なログインを報告する可能性があります。アイ
ドルセッションタイムアウトを有効にすると、これらのセッションは定義されたアイドルタイ
ムアウト期間が経過した後で終了するため、ホスト上で複数のリモートセッションが実行され
ることを防止できます。
Citrix セッションは、リモートデスクトップセッションと同様に機能します。 1 つのコンピュー
タ上で複数の Citrix ユーザセッションが実行されている可能性があります。アイドルセッショ
ンタイムアウトを有効にすると、ホスト上で複数の Citrix セッションが実行されることを防止
できるため、余分なログインの報告が減少します。
設定するセッションタイムアウトによっては、コンピュータに複数のセッションがログインし
ている状況が引き続き発生する可能性があります。
ターミナルサービスのセッションタイムアウトを有効にするには、次の手順を実行します。
ステップ 1
アイドル状態のターミナルサービスのセッションタイムアウトと切断されたターミナルサービス
のセッションタイムアウトに関するグループポリシー設定を更新します。次の選択肢があります。
•
Active Directory サーバで Windows Server 2008 または Windows Server 2012 が実行されてい
る場合は、http://technet.microsoft.com/en-us/library/cc754272(v=ws.10).aspx でセッションタ
イムアウトの有効化の詳細を参照してください。
•
Active Directory サーバで Windows Server 2003 が実行されている場合は、
http://technet.microsoft.com/en-us/library/cc758177(v=ws.10).aspx でセッションタイムアウト
の有効化の詳細を参照してください。
アイドルセッションや切断されたセッションが次のログオフチェックの前にタイムアウトで
きるように、セッションタイムアウトを設定済みのログオフチェック頻度より短く設定してく
ださい。アイドルセッションまたは切断されたセッションのタイムアウトが必須の場合は、設
定済みのログオフチェック頻度をセッションタイムアウトよりも長く設定してください。ログ
オフチェック頻度の設定方法の詳細については、ユーザエージェントの全般的な設定の構成
（2-20 ページ）を参照してください。
リモートデスクトップのセッションタイムアウトを有効にするには、次の手順を実行します。
ステップ 1
アイドル状態のリモートセッションのタイムアウトと切断されたセッションのタイムアウトに
関するグループポリシー設定を更新します。セッションタイムアウトの有効化の詳細について
は、http://technet.microsoft.com/en-us/library/ee791886%28v=ws.10%29.aspx を参照してください。
アイドルセッションや切断されたセッションが次のログオフチェックの前にタイムアウトで
きるように、セッションタイムアウトを設定済みのログオフチェック頻度より短く設定してく
ださい。アイドルセッションまたは切断されたセッションのタイムアウトが必須の場合は、設
定済みのログオフチェック頻度をセッションタイムアウトよりも長く設定してください。ログ
オフチェック頻度の設定方法の詳細については、ユーザエージェントの全般的な設定の構成
（2-20 ページ）を参照してください。
Citrix セッションのタイムアウトを有効にするには、次の手順を実行します。
ステップ 1
Citrix のオンラインドキュメント（http://support.citrix.com/）を参照してください。
ユーザエージェントのインストールに関するコンピュータの準備（2-7 ページ）に進みます。
Firepower ユーザエージェント構成ガイド
2-6
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェントの設定
Management Center とサーバの準備が整ったら、エージェントをインストールして設定するコン
ピュータを準備します。
ユーザエージェントのインストールに関するコンピュータの準備
各ユーザエージェントをインストールする Windows コンピュータに接続するように
Management Centerを設定した後は、次の前提条件を満たすように Windows コンピュータをセッ
トアップします。
•
コンピュータで Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server
2008、または Windows Server 2012 が実行されていること。コンピュータが Active Directory
サーバである必要はありません。
•
コンピュータに Microsoft .NET Framework バージョン 4.0 クライアントプロファイルおよ
び Microsoft SQL Server Compact（SQL CE）バージョン 3.5 がインストールされていること。
フレームワークは .NET Framework バージョン 4.0 クライアントプロファイル再頒布可能
パッケージ（dotNetFx40_Client_x86_x64.exe）として Microsoft から入手できます。 SQL CE
は実行可能ファイル（SSCERuntime-ENU.exe）として Microsoft から入手できます。
メモ
注意
.NET Framework と SQL CE の両方がインストールされていない場合は、エージェント実
行可能ファイル（setup.exe）を開くと、該当するファイルをダウンロードするためのプロ
ンプトが表示されます。詳細については、「ユーザエージェントのインストール（2-9 ペー
ジ）」を参照してください。
•
監視する Active Directory サーバにコンピュータが TCP/IP でアクセスでき、Active Directory
サーバと同じバージョンのインターネットプロトコルを使用すること。エージェントが
Active Directory サーバをリアルタイムでモニタしている場合は、ログインデータを取得で
きるように、コンピュータの TCP/IP アクセスを常に有効にしておく必要があります。
•
データと IPv4 アドレスの報告先となる Management Centerにコンピュータが TCP/IP でアク
セスできること。
•
コンピュータに、IPv6 アドレスが設定されたホストからのログオフを検出する場合は IPv6
アドレスが、IPv4 アドレスが設定されたホストからのログオフを検出する場合は IPv4 アド
レスが設定されていること。
•
コンピュータにレガシーエージェントまたはバージョン 2.x エージェントがまだインス
トールされていないこと。これらのエージェントは自動的にアンインストールされないた
め、既存のエージェントをアンインストールするには、コントロールパネルの [Add/Remove
Programs] を開きます。
ユーザエージェントの旧バージョンがインストールされている場合は、構成設定を保持するた
めに、データベースのバックアップを実行する必要があります。
ユーザエージェント設定のバックアップ（2-8 ページ）に進みます。
Firepower ユーザエージェント構成ガイド
2-7
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェント設定のバックアップ
ユーザエージェントの旧バージョンがインストールされている場合は、ユーザエージェントの
新しいバージョンをインストールすると、既存の設定が削除されます。これらの構成設定を保持
するには、ユーザエージェントの新しいバージョンをインストールする前に、データベースを
バックアップします。
メモ
バージョン 2.2 以降のユーザエージェントがインストールされている場合は、データベースを
バックアップする必要はありません。ユーザエージェントの新しいバージョンをインストール
するときに、構成設定が自動的にインポートされます。ユーザエージェントのインストール（2-9
ページ）に進みます。
構成設定を保持するには、次の手順を実行します。
ステップ 1
エージェントがインストールされているコンピュータで、[ スタート ] > [プログラム] > [Cisco] >
[Configure Cisco Firepower User Agent for Active Directory] を選択します。
ステップ 2
エージェントサービスを停止するには、停止ボタン（
ステップ 3
エージェントがインストールされているコンピュータで C:\CiscoUserAgent.sdf を見つけ、この
ファイルをローカルでコピーします。
メモ
）をクリックします。
2.2 以前のバージョンからのアップデートの場合は、SourcefireUserAgent.sdf を見つけ、
コピーします。ファイルのコピーを作成し、名前を CiscoUserAgent.sdf に変更します。
ステップ 4
シスコのユーザエージェントをアンインストールするため、コントロールパネルに移動して
[Add/Remove Programs] を開きます。エージェントを削除します。
ステップ 5
ユーザエージェントの最新バージョンをインストールします。詳細については、「ユーザエー
ジェントのインストール（2-9 ページ）」を参照してください。
ステップ 6
エージェントがインストールされているコンピュータで、[ スタート ] > [プログラム] > [Cisco] >
[Configure Cisco Firepower User Agent for Active Directory] を選択します。
ステップ 7
エージェントサービスを停止するには、停止ボタン（
ステップ 8
）をクリックします。
エージェントの最新バージョンがインストールされているコンピュータで
を見つけます。現在のファイルを、エージェントの旧バージョンから作
成されたローカルバックアップに置き換えます。
C:\CiscoUserAgent.sdf
ステップ 9
最新バージョンのエージェントがインストールされているコンピュータで、[ スタート ] > [プロ
グラム] > [Cisco] > [Configure Cisco Firepower User Agent for Active Directory] を選択します。
ステップ 10
再生ボタン（
）をクリックして起動します。エージェントサービスが起動します。
ユーザエージェントの設定（2-10 ページ）に進みます。
Firepower ユーザエージェント構成ガイド
2-8
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェントのインストール
ライセンス： FireSIGHT または該当なし
Active Directory サーバに接続する権限を設定した後は、アイドル状態のリモートセッションの
タイムアウトを設定したかどうかにかかわらず、エージェントをインストールします。
注意
ユーザエージェントの旧バージョンがインストールされている場合は、構成設定を保持するた
め、インストールの前にデータベースのバックアップを実行する必要があります。詳細について
は、ユーザエージェント設定のバックアップ（2-8 ページ）を参照してください。
エージェントは、Local system アカウントを使用するサービスとして動作します。エージェントが
実行されている Windows コンピュータがネットワークに接続されている場合は、ユーザがコン
ピュータにアクティブにログインしていなくても、このサービスはユーザデータをポーリング
し、送信し続けます。
メモ
サービスの設定は変更しないでください。エージェントは他のアカウントでは正しく動作しま
せん。
エージェントごとに、5 つの Active Directory サーバと 5 つのManagement Centerへの接続を設定
できます。 Management Center接続を追加する前に、必ずManagement Centerの設定にエージェン
トを追加してください。詳細については、次のサイトを参照してください。
– RUA エージェントに接続するためのバージョン 4.x の防御センターの設定（2-2 ページ）
–
ユーザエージェントに接続するためのバージョン 5.x の防御センターの設定（2-3
ページ）
–
ユーザエージェントに接続するためのバージョン 6.x の Management Center の設定（2-3
ページ）
ハイアベイラビリティ構成では、両方のManagement Centerをエージェントに追加して、プライ
マリとセカンダリの両方に対するユーザログインデータの更新を可能にし、両方のデータが最
新になるようにします。
ユーザエージェントをインストールするには、次の手順を実行します。
アクセス： Any
ステップ 1
サポートサイトからユーザエージェントのセットアップファイル
（Cisco_Active_Directory_User_Agent_2.3-9_Setup.zip）をダウンロードします。
メモ
ステップ 2
セットアップファイルは電子メールで転送せずに、サポートサイトから直接ダウンロー
ドしてください。セットアップファイルを電子メールで転送すると、破損することがあ
ります。
エージェントをインストールする Windows コンピュータにセットアップファイルをコピーし
て、ファイルを解凍します。
エージェントをインストールするには、ハードドライブに 3 MB の空き容量が必要です。シスコ
では、エージェントローカルデータベース用にハードドライブ上に 4 GB を割り当てることを
推奨しています。
Firepower ユーザエージェント構成ガイド
2-9
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ステップ 3
セットアップ実行可能ファイル（setup.exe）を開きます。
ヒント
管理者グループのメンバーでないアカウントを使用しており、Windows コンピュータ
に新しいアプリケーションをインストールする権限を持っていない場合は、インス
トールを開始するための適切な権限を持っているグループに属するユーザに昇格させ
る必要があります。エスカレーションオプションにアクセスするには、setup.exe ファ
イルを右クリックして、[Run As] を選択します。該当するユーザを選択して、そのユー
ザのパスワードを入力します。
ステップ 4
エージェントをインストールする Windows コンピュータに Microsoft .NET Framework バージョ
ン 4.0 クライアントプロファイルと SQL CE バージョン 3.5 が両方ともインストールされてい
ない場合は、適切なファイルをダウンロードするように求められます。ファイルをダウンロード
してインストールします。
ステップ 5
ウィザード内のプロンプトに従ってエージェントをインストールします。
ステップ 6
エージェントの設定を開始するには、ユーザエージェントの設定（2-10 ページ）を参照してくだ
さい。
ユーザエージェントの設定
ライセンス： FireSIGHT または該当なし
エージェントをインストールしたら、Active Directory サーバからデータを受信して、その情報を
Management Centerに報告し、レポートから特定のユーザ名と IP アドレスを除外して、ステータ
スメッセージをローカルイベントログまたは Windows アプリケーションログに記録するよう
にエージェントを設定します。
エージェントを設定するには、次の手順を実行します。
アクセス： Any
ステップ 1
エージェントがインストールされているコンピュータで、[ スタート ] > [プログラム] > [Cisco] >
[Configure Cisco Firepower User Agent for Active Directory] を選択します。
次の表で、エージェントの設定時に実行できる操作と、それらを設定する場所について説明し
ます。
表 2-1
ユーザエージェントの設定操作
目的
操作方法
エージェント名の変更、ログオフチェック
頻度の変更、サービスの開始と停止、スケ
ジュール優先度の設定
[全般（General）] タブを選択します。詳細につい
ては、「ユーザエージェントの全般的な設定の構
成（2-20 ページ）」を参照してください。
Active Directory サーバの追加、変更、または
削除、Active Directory サーバのリアルタイム
データ取得の有効化、Active Directory サーバ
のポーリング間隔と最大ポーリング時間の
変更
[Active Directory サーバ（Active Directory
Servers）] タブを選択します。詳細については、
「ユーザエージェントの Active Directory サーバ
接続の設定（2-11 ページ）」を参照してください。
Firepower ユーザエージェント構成ガイド
2-10
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
表 2-1
ユーザエージェントの設定操作（続き）
目的
操作方法
Management Centerの追加または削除
[Firepower 管理センター（Firepower Management
Centers）] タブを選択します。詳細については、
「ユーザエージェントのManagement Center接続
の設定（2-14 ページ）」を参照してください。
レポートから除外するユーザ名の追加、変
更、または削除
[除外ユーザ名（Excluded Usernames）] タブを選
択します。詳細については、「ユーザエージェン
トの除外ユーザ名設定の構成（2-16 ページ）」を
参照してください。
レポートから除外する IP アドレスの追加、
変更、または削除
[除外アドレス（Excluded Addresses）] タブを選択
します。詳細については、「ユーザエージェント
の除外アドレス設定の構成（2-17 ページ）」を参
照してください。
イベントログの表示、エクスポート、クリ
ア、Windows アプリケーションログへの記
録、メッセージの保持期間の変更
[ ログ（Logs）] タブを選択します。詳細について
は、「ユーザエージェントのロギング設定の構成
（2-18 ページ）」を参照してください。
サポートから指示されたトラブルシュー
ティングおよびメンテナンスタスクの実行
[ ログ（Logs）] タブを選択して、[ ログ内のデバッ
グメッセージを表示（Show Debug Messages in
Log）] を有効にしてから、[ メンテナンス
（Maintenance）] タブを選択します。詳細につい
ては、「ユーザエージェントのメンテナンス設定
の構成（2-21 ページ）」を参照してください。
エージェント設定の変更の保存
[保存（Save）] をクリックします。 [保存（Save）] の
下に、未保存の変更があることを示すメッセー
ジが表示されます。
エージェント設定に対する変更を保存せず
にエージェントを閉じる
[キャンセル（Cancel）] をクリックします。
ユーザエージェントの Active Directory サーバ接続の設定
ライセンス： FireSIGHT または該当なし
1 つのエージェントから最大 5 つの Active Directory サーバへの接続を追加して、次の項目を設
定できます。
•
エージェントがリアルタイムでログインおよびログオフデータを取得するか、または
Active Directory サーバのデータを定期的にポーリングするか
•
エージェントがユーザアクティビティデータをポーリングする頻度、または接続が失われ
た場合に Active Directory サーバとのリアルタイム接続の確立または再確立を試行する頻度
•
エージェントが Active Directory サーバ自体にログインするために報告する IP アドレス
•
Active Directory サーバとの接続の確立または再確立時にエージェントが取得するログイン
およびログオフデータの量
エージェントがリアルタイムでデータを取得するように設定され、リアルタイムモニタリング
が利用できない場合は、リアルタイムモニタリングが再び利用可能になるまで、エージェントは
代わりに Active Directory サーバのデータをポーリングしようとします。
Firepower ユーザエージェント構成ガイド
2-11
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ヒント
シスコでは、ユーザエージェントが大量のユーザアクティビティを取得する場合に、リアルタ
イムデータ取得の代わりにポーリングを設定することを推奨しています。アクティビティの多
い環境では、ポーリング間隔を 1 分に設定し、最大ポーリング時間を 10 分を超えない値に設定し
てください。
Active Directory サーバで Windows Server 2003 が実行されている場合は、Active Directory サーバ
をリアルタイムで監視するようにエージェントを設定できません。リアルタイムモニタリング
を使用するには、Active Directory サーバで Windows Server 2008 以降が実行されている必要があ
ります。
エージェントでは、タブを選択した時点の Active Directory サーバのポーリングステータス、エー
ジェントに報告された最後のログイン、およびエージェントが最後に Active Directory サーバを
ポーリングした時間を表示できます。エージェントがリアルタイムで Active Directory サーバを
ポーリングしているかどうかや、タブを選択した時点のリアルタイムデータ取得のステータスを
表示することもできます。サーバのステータスの詳細については、次の表を参照してください。
表 2-2
Active Directory サーバのステータス
Active Directory サー
バのステータス
メモ
ポーリングの可用性
リアルタイムの可用性
available
サーバのポーリングが利用で
きます。
サーバのリアルタイムデータ取得が利
用できます。
unavailabl
サーバのポーリングが利用で
きません。
サーバのリアルタイムデータ取得が利
用できないか、サーバがポーリング用に
設定されています。
pending
サーバ設定が追加されました
が、まだ保存されていません。
サーバ設定が追加されましたが、まだ保
存されていません。
unknown
エージェントは起動されてい
ますが、ステータスをまだ取得
できません。または、エージェ
ントが Active Directory サーバ
をまだチェックしていません。
エージェントは起動されていますが、ス
テータスをまだ取得できません。また
は、エージェントが Active Directory
サーバをまだチェックしていません。
複数のエージェントが互いの接続を検出するたびに余分なログインを報告するため、同じ
Active Directory サーバに複数のユーザエージェントを接続しないでください。複数のユーザ
エージェントを接続する場合は、同じ Active Directory サーバをポーリングしているエージェン
トを実行している他のすべてのホストの IP アドレスとエージェントがログイン時に使用する
ユーザ名を除外するように、各エージェントを設定してください。詳細については、ユーザエー
ジェントの除外アドレス設定の構成（2-17 ページ）を参照してください。
Active Directory サーバ接続を設定するには、次の手順を実行します。
アクセス： Any
ステップ 1
[Active Directory サーバ（Active Directory Servers）] タブを選択します。
ステップ 2
次の 2 つのオプションから選択できます。
•
サーバへの新しい接続を追加するには、[追加（Add）] をクリックします。
•
既存の接続を変更するには、サーバ名をダブルクリックします。
Firepower ユーザエージェント構成ガイド
2-12
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ヒント
ステップ 3
[サーバ名/IP アドレス（Server Name/IP Address）] フィールドに、Active Directory サーバの完全識
別サーバ名または IP アドレスを入力します。 Active Directory サーバへのログインを検出する場
合は、IP アドレスを入力します。
メモ
ステップ 4
既存の接続を削除するには、サーバ名を選択して [削除（Remove）] をクリックします。
エージェントが Active Directory サーバにインストールされている場合は、エージェントが
インストールされているサーバを追加するために、サーバ名として localhost と入力しま
す。必要に応じて、ユーザ名とパスワードを追加できます。これらの情報を省略すると、そ
の Active Directory サーバへ認証を行っているユーザのログオフを検出できません。ユーザ
名とパスワードを入力したかどうかに関係なく、サーバをポーリングできます。
Active Directory サーバのユーザログインおよびログオフデータを照会する権利を持つユーザ
名とパスワードを入力します。プロキシ経由でユーザを認証するには、完全修飾ユーザ名を入力
します。
デフォルトでは、エージェントがインストールされているコンピュータへのログイン時に使用
したアカウントのドメインが [ ドメイン（Domain）] フィールドに自動的に入力されています。
メモ
ユーザパスワードに含まれる文字が 65 個以上の場合は、新しいサーバ接続を設定でき
ません。この機能を使用できるようにするには、パスワードを短くしてください。
ステップ 5
[ ドメイン（Domain）] フィールドに、Active Directory サーバがドメインになっているドメインを
入力します。
ステップ 6
Active Directory サーバへのログインを検出するには、[ ローカルログイン IP アドレス（Local
Login IP Address）] フィールドから IP アドレスを選択します。このフィールドには、[サーバ名/IP
アドレス（Server Name/IP Address）] フィールドに指定されたサーバに関連付けられているすべ
ての IP アドレスがエージェントによって自動的に入力されています。
[サーバ名/IP アドレス（Server Name/IP Address）] フィールドが空であるか、または localhost を
含んでいる場合は、ローカルホストに関連付けられているすべての IP アドレスがこのフィール
ドに入力されています。
ステップ 7
ユーザエージェントがこの Active Directory サーバからリアルタイムでログインイベントを取得
できるようにするには、[ リアルタイムイベントを処理（Process real-time events）] を選択します。
ステップ 8
[追加（Add）] をクリックします。
このサーバ接続定義が Active Directory サーバのリストに表示されます。複数のサーバ接続が設
定されている場合は、[ホスト（Host）]、[最終報告（Last Reported）]、[ポーリングステータス
（Polling Status）]、[最終ポーリング（Last Polled）]、[ リアルタイムステータス（Real-time Status）]、ま
たは [ リアルタイム（Real-time）] の列見出しをクリックすると、それぞれの列でソートできます。
メモ
設定時にエージェントが Active Directory サーバに接続できない場合は、そのサーバを追
加できません。エージェントがサーバに TCP/IP でアクセスできること、使用した資格情
報で接続できること、および Active Directory サーバへの接続を正しく設定したことを確
認してください。詳細については、「ユーザエージェント接続を準備するための Active
Directory サーバの設定（2-4 ページ）」を参照してください。
Firepower ユーザエージェント構成ガイド
2-13
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ステップ 9
必要に応じて、エージェントが Active Directory サーバのユーザログインデータを自動的にポー
リングする間隔を変更するには、[Active Directory サーバのポーリング間隔（Active Directory
Server Polling Interval）] ドロップダウンリストから時間を選択します。
設定を保存すると、選択した分数が経過した後で次のポーリングが開始され、その間隔で繰り返
されます。ポーリングにかかる時間が選択した間隔よりも長い場合、次のポーリングは前のポー
リングが終了した後の次の間隔で開始されます。 Active Directory サーバに対してリアルタイム
データ取得が有効になっていて、エージェントがサーバと接続できなくなっている場合、エー
ジェントは応答を受信してリアルタイムデータ取得が利用可能になるまでポーリングを試行し
続けます。接続が確立されると、リアルタイムデータ取得が再開されます。
ステップ 10
必要に応じて、エージェントが Active Directory サーバのユーザログインデータをポーリングす
るための接続を最初に確立（または再確立）したときの最大ポーリング時間を変更するには、
[Active Directory サーバの最大ポーリング時間（Active Directory Server Max Poll Length）] ドロッ
プダウンリストから時間を選択します。
メモ
[Active Directory サーバの最大ポーリング時間（Active Directory Server Max Poll Length）]
ドロップダウンリストに保存する値を、[Active Directory サーバのポーリング間隔
（Active Directory Server Polling Interval）] ドロップダウンリストから選択した値より小さ
くすることはできません。エージェントでは、各ポーリングのユーザアクティビティ
データをスキップする設定を保存できません。
ステップ 11
設定変更を保存してエージェントに適用するには、[保存（Save）] をクリックします。
ステップ 12
次の選択肢があります。
•
Management Centerの接続を追加または削除するには、[Firepower 管理センター（Firepower
Management Centers）] タブを選択します。詳細については、ユーザエージェントの
Management Center接続の設定（2-14 ページ）を参照してください。
ユーザログインおよびログオフデータを報告するには、エージェントに少なくとも 1 つの
Management Centerを追加する必要があります。
•
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行で
きます。
ユーザエージェントのManagement Center接続の設定
ライセンス： FireSIGHT または該当なし
1 つのエージェントから最大 5 つのManagement Centerへの接続を追加できます。エージェント
では、タブを選択した時点のManagement Centerのステータス（available、unavailable、または
エージェントが最初に起動したときの unknown）や、エージェントによって報告された最後のロ
グインを表示することもできます。接続を追加する前に、必ずManagement Centerの設定にエー
ジェントを追加してください。詳細については、RUA エージェントに接続するためのバージョ
ン 4.x の防御センターの設定（2-2 ページ）、ユーザエージェントに接続するためのバージョン
5.x の防御センターの設定（2-3 ページ）、またはユーザエージェントに接続するためのバージョ
ン 6.x の Management Center の設定（2-3 ページ）を参照してください。
メモ
バージョン 4.x および 5.x では、管理センターは防御センターと呼ばれます。
Firepower ユーザエージェント構成ガイド
2-14
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ハイアベイラビリティ構成では、両方のManagement Centerをエージェントに追加して、プライ
マリとセカンダリの両方に対するユーザログインおよびログオフのデータの更新を可能にし、
両方のデータが最新になるようにします。
Management Center接続を設定するには、次の手順を実行します。
アクセス： Any
ステップ 1
[Firepower 管理センター（Firepower Management Centers）] タブを選択します。
ステップ 2
[追加（Add）] をクリックします。
ステップ 3
追加する Management Centerのホスト名または IP アドレスを入力します。
ステップ 4
[追加（Add）] をクリックします。
Management Center接続の設定が追加されます。ホスト名または IP アドレスを複数回追加するこ
とはできません。ホスト名と IP アドレスの両方を使ってManagement Centerを追加しないでくだ
さい。 Management Centerがマルチホームの場合は、異なる IP アドレスを使用して複数回追加し
ないでください。
複数のManagement Center接続が設定されている場合は、[ホスト（Host）]、[ステータス（Status）]、ま
たは [最終報告（Last Reported）] の列見出しをクリックすると、それぞれの列でソートできます。
メモ
設定時にエージェントがManagement Centerに接続できない場合は、そのManagement
Centerを追加できません。エージェントがManagement Centerに TCP/IP でアクセスでき
ることを確認します。
ステップ 5
設定変更を保存してエージェントに適用するには、[保存（Save）] をクリックします。更新された
設定がエージェントに適用されます。
ステップ 6
次の選択肢があります。
•
必要に応じて、除外ユーザ名リストのユーザ名を追加または削除するには、[除外ユーザ名
（Excluded Usernames）] タブを選択します。詳細については、ユーザエージェントの除外ユー
ザ名設定の構成（2-16 ページ）を参照してください。
•
必要に応じて、除外 IP アドレスリストの IP アドレスを追加または削除するには、[除外アド
レス（Excluded Addresses）] タブを選択します。詳細については、ユーザエージェントの除外
アドレス設定の構成（2-17 ページ）を参照してください。
•
必要に応じて、ログメッセージを表示したりロギングを設定したりするには、[ ログ（Logs）]
タブを選択します。詳細については、ユーザエージェントのロギング設定の構成（2-18 ペー
ジ）を参照してください。
•
必要に応じて、エージェントの全般的な設定を構成するには、[全般（General）] タブを選択し
ます。詳細については、ユーザエージェントの全般的な設定の構成（2-20 ページ）を参照して
ください。
•
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行で
きます。
Firepower ユーザエージェント構成ガイド
2-15
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェントの除外ユーザ名設定の構成
ライセンス： FireSIGHT または該当なし
ログインまたはログオフイベントのポーリング時に除外するユーザ名を最大 500 件定義できま
す。除外ユーザ名によるログインまたはログオフイベントを取得した場合、エージェントはその
イベントをManagement Centerに報告しません。ユーザ名を除外する前に報告されたログインまた
はログオフイベントは影響を受けません。除外ユーザ名リストからユーザ名を削除すると、その
ユーザ名の以後のログインおよびログオフイベントはManagement Centerに報告されます。
あるユーザによるすべてのログインおよびログオフイベントを、すべてのドメインから除外す
るか、または特定のドメインから除外するかを選択できます。カンマ区切り値ファイルに保存さ
れるユーザ名とドメインのリストをエクスポートおよびインポートすることもできます。
Management Centerにすでに報告されたユーザを除外した場合、データベースからホストを消去
しない限り、そのユーザはホストからマッピング解除されないことに注意してください。
除外ユーザ名を設定するには、次の手順を実行します。
アクセス： Any
ステップ 1
[除外ユーザ名（Excluded Usernames）] タブを選択します。
ステップ 2
入力可能な次の行の [ユーザ名（Username）] 列に除外するユーザ名を入力します。
除外ユーザ名にドル記号文字（$）や引用符文字（"）を含めることはできません。
ステップ 3
必要に応じて、ユーザ名に関連付けられたドメインを [ ドメイン（Domain）] 列に入力します。 1 行
に定義できるのは 1 つのドメインのみです。ドメインを指定しない場合は、すべてのドメインの
ユーザ名が除外されます。
ステップ 4
ユーザ名をさらに追加するには、ステップ 2 および 3 を繰り返します。複数の除外ユーザ名が設
定されている場合は、[ユーザ名（Username）] または [ ドメイン（Domain）] の列見出しをクリック
すると、それぞれの列でソートできます。
ステップ 5
行を削除するには、次の選択肢があります。
•
行を強調表示して Delete キーを押します。
•
ユーザ名の末尾にポインタを置いて、ユーザ名が削除されるまで Backspace キーを押します。
行が削除されます。
複数の行を削除するには、Ctrl キーを押しながら複数の行をクリックして選択し、Delete キーを
押します。
ステップ 6
ユーザ名とドメインのリストをカンマ区切り値ファイルにエクスポートするには、[ リストのエ
クスポート（Export List）] をクリックします。ファイルを保存するファイルパスを選択します。
ファイルが保存されます。デフォルトのファイル名は Cisco_user_agent_excluded_users.csv です。
ステップ 7
ユーザ名とドメインのリストをカンマ区切り値ファイルからインポートするには、[ リストのイ
ンポート（Import List）] をクリックします。アップロードするファイルを選択します。
既存のユーザ名がクリアされ、ファイル内のユーザ名がロードされます。重複するユーザ名を含
むファイルをアップロードすることはできません。ファイルに構文エラーがある場合は、ファイ
ルをアップロードできません。
カンマ区切り値ファイル内のエントリは、次の形式になっている必要があります。
"user name","domain"
ドメインの値はオプションですが、プレースホルダとして引用符が必要です。
ステップ 8
[保存（Save）] をクリックして設定変更を保存し、エージェントに適用します。
更新された設定がエージェントに適用されます。
Firepower ユーザエージェント構成ガイド
2-16
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ステップ 9
次の選択肢があります。
•
除外 IP アドレスリストの IP アドレスを追加または削除するには、[除外アドレス（Excluded
Addresses）] タブを選択します。詳細については、ユーザエージェントの除外アドレス設定
の構成（2-17 ページ）を参照してください。
•
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行で
きます。
ユーザエージェントの除外アドレス設定の構成
ライセンス： FireSIGHT または該当なし
ログインイベントのポーリング時に除外する IPv4 または IPv6 アドレスを最大 100 件設定でき
ます。除外ユーザ名を含んでいるログインまたはログオフイベントを取得した場合、エージェ
ントはそのイベントをManagement Centerに報告しません。 IP アドレスを除外する前に報告され
たログインまたはログオフイベントは影響を受けません。除外アドレスリストから IP アドレ
スを削除すると、そのアドレスの以後のログインおよびログオフイベントはManagement Center
に報告されます。
除外 IP アドレスを設定するには、次の手順を実行します。
アクセス： Any
ステップ 1
[除外アドレス（Excluded Addresses）] タブを選択します。
ステップ 2
入力可能な次の行の [アドレス（Address）] 列に、除外する IP アドレスを入力します。 IP アドレス
をさらに追加するには、この手順を繰り返します。複数の除外 IP アドレスが設定されている場
合は、[アドレス（Address）] の列見出しをクリックすると、それぞれの列でソートできます。
無効な IP アドレスを入力した場合は、行のヘッダーに感嘆符アイコン（
効なアドレスを修正しないかぎり、他のアドレスを入力できません。
ステップ 3
）が表示されます。無
IP アドレスを削除するには、行を強調表示して Delete キーを押します。
IP アドレスが削除されます。複数の行を削除するには、Ctrl キーを押しながら複数の行をクリッ
クして選択し、Delete キーを押します。
ステップ 4
IP アドレスのリストをカンマ区切り値ファイルにエクスポートするには、[ リストのエクスポー
ト（Export List）] をクリックします。ファイルを保存するファイルパスを選択します。
ファイルが保存されます。デフォルトのファイル名は
です。
Cisco_user_agent_excluded_addresses.csv
ステップ 5
IP アドレスのリストをカンマ区切り値ファイルからインポートするには、[ リストのインポート
（Import List）] をクリックします。アップロードするファイルを選択します。
既存の IP アドレスがクリアされ、ファイル内の IP アドレスがロードされます。重複する IP アド
レスを含むファイルをアップロードすることはできません。ファイルに構文エラーがある場合
は、ファイルをアップロードできません。
ステップ 6
[保存（Save）] をクリックして設定変更を保存し、エージェントに適用します。
更新された設定がエージェントに適用されます。
Firepower ユーザエージェント構成ガイド
2-17
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ステップ 7
次の選択肢があります。
•
ログメッセージを表示したりロギングを設定したりするには、[ ログ（Logs）] タブを選択しま
す。詳細については、ユーザエージェントのロギング設定の構成（2-18 ページ）を参照してく
ださい。
•
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行で
きます。
ユーザエージェントのロギング設定の構成
ライセンス： FireSIGHT または該当なし
[ ログ（Logs）] タブには、エージェントによってログに記録されたステータスメッセージが最大
250 件表示されます。エージェントは、次のイベントが発生したときにステータスメッセージを
ローカルイベントログに記録します。
•
エージェントが Active Directory サーバからのデータのポーリングに成功した
•
エージェントが Active Directory サーバへの接続に失敗した
•
エージェントが Active Directory サーバからのデータ取得に失敗した
•
エージェントがシスコアプライアンスへの接続に成功した
•
エージェントがシスコアプライアンスへの接続に失敗した
エージェントは、タイムスタンプおよび重大度とともに各ステータスメッセージをログに記録
します。次の表に、重大度をレベルの低い方から順に示します。
表 2-3
ユーザエージェントのロギングの重大度
レベル
色
説明
デバッグ
グレー
このイベントは、デバッグのためにログに記録されます。
これらのメッセージは、デフォルトでは表示されません。
情報
緑
このイベントは、エージェントの通常の動作と一致します。
警告
黄
これは予期されないイベントですが、エージェントの通常の動作は必ず
しも中断されません。
エラー
赤
これは予期されないイベントであり、エージェントの通常の動作は中断
されます。
エージェントは、ローカルイベントログに加えて Windows アプリケーションログにもステータ
スメッセージを記録できます。エージェントは、ローカルイベントログの内容をカンマ区切り
値ファイルにエクスポートすることもできます。
ステータスメッセージを保存するかどうかを指定したり、ステータスメッセージの保存期間を
設定したり、すべてのステータスメッセージのイベントログをクリアしたりできます。また、デ
バッグステータスメッセージの表示や [ メンテナンス（Maintenance）] タブへのアクセスなどの
メンテナンスオプションを設定することもできます。
メモ
デバッグステータスメッセージは、7 日間保存された後、イベントログから削除されます。ス
テータスメッセージの保存期間を設定したり、イベントログをクリアしたりしても、デバッグ
ステータスメッセージの保存には影響しません。
Firepower ユーザエージェント構成ガイド
2-18
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェントのロギング設定を構成するには、次の手順を実行します。
アクセス： Any
ステップ 1
[ ログ（Logs）] タブを選択します。
ステップ 2
サポートから指示された場合は、イベントログ内のデバッグステータスメッセージを表示する
ために [ ログ内のデバッグメッセージを表示（Show Debug Messages in Log）] を選択し、[ メンテナ
ンス（Maintenance）] タブを有効にします。
[ ログ（Logs）] タブにデバッグメッセージが表示されます。 [ メンテナンス（Maintenance）] タブが
利用可能になります。
メモ
ステップ 3
このオプションは、サポートから指示された場合にのみ選択してください。
Windows アプリケーションログとローカルイベントログの両方にデバッグ以外のステータス
メッセージを記録するには、[Windows アプリケーションログにメッセージを記録（Log
Messages to Windows Application Log）] を選択します。
Windows アプリケーションログを表示するには、Windows イベントビューアを開きます。
ステップ 4
ステータスメッセージがローカルイベントログに保存されてから自動的に削除されるまでの
期間を設定するには、[ メッセージのキャッシュサイズ（Message Cache Size）] ドロップダウンリ
ストから期間を選択します。
ローカルイベントログに記録されたステータスメッセージは、[ メッセージのキャッシュサイ
ズ（Message Cache Size）] ドロップダウンリストで選択された期間だけ保存された後、削除され
ます。
メモ
ステップ 5
[ メッセージのキャッシュサイズ（Message Cache Size）] の設定は、ローカルイベントロ
グにのみ影響し、[Windows アプリケーションログにメッセージを記録（Log Messages to
Windows Application Log）] を選択した場合でも Windows アプリケーションログには影
響しません。
最後の更新後にログに記録された新しいステータスメッセージを表示するには、[更新（Refresh）]
をクリックします。
最後の更新後に新しいステータスメッセージがログに記録された場合は、新しいステータス
メッセージがあることを示すメモが表示されます。更新の結果 250 件を超えるメッセージが表
示された場合は、最も古いステータスメッセージが [ ログ（Logs）] タブから削除されます。 250 件
を超えるメッセージを表示するには、ログをエクスポートします。詳細については、ステップ 6
を参照してください。
ステップ 6
ローカルイベントログの内容をカンマ区切り値ファイルにエクスポートするには、[ ログのエク
スポート（Export Logs）] をクリックします。
カンマ区切り値ファイルには、すべてのイベントログステータスメッセージとデバッグメッ
セージが格納されます。
ステップ 7
ローカルイベントログからデバッグ以外のすべてのステータスメッセージを削除するには、[ イ
ベントログのクリア（Clear Event Log）] をクリックします。
エージェントがメッセージを削除したことを示すステータスメッセージを除き、ローカルイベ
ントがクリアされます。
ステップ 8
設定変更を保存してエージェントに適用するには、[保存（Save）] をクリックします。
更新された設定がエージェントに適用されます。
Firepower ユーザエージェント構成ガイド
2-19
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ステップ 9
次の選択肢があります。
•
エージェントの全般的な設定を構成するには、[全般（General）] タブを選択します。詳細につ
いては、ユーザエージェントの全般的な設定の構成（2-20 ページ）を参照してください。
•
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行で
きます。
ユーザエージェントの全般的な設定の構成
ライセンス： FireSIGHT または該当なし
[全般（General）] タブには、ユーザエージェントの基本設定が含まれています。エージェントが
ログインデータを報告するときにManagement Centerに報告するエージェント名を変更できま
す。また、エージェントサービスの開始と停止、ログオフチェック頻度の変更、および現在の
サービスステータスの表示を行うこともできます。
ユーザエージェントの全般的な設定を構成するには、次の手順を実行します。
アクセス： Any
ステップ 1
エージェントがインストールされているコンピュータで、[ スタート ] > [プログラム] > [Cisco] >
[Configure Cisco Firepower User Agent for Active Directory] を選択します。
ステップ 2
エージェントサービスを開始するには、再生ボタン（
）をクリックします。
エージェントサービスが起動します。
ステップ 3
エージェントサービスを停止するには、停止ボタン（
）をクリックします。
エージェントサービスが停止します。
ステップ 4
必要に応じて、[エージェント名（Agent Name）] でエージェント名を変更します。デフォルトの
エージェント名は SFADUA です。文字、数字、下線（_）、およびハイフン（-）を入力できます。
ステップ 5
必要に応じて（バージョン 5.2 以降の場合）、エージェントがログオフデータをチェックする頻
度を変更するには、[ ログアウトの確認頻度（Logout Check Frequency）] ドロップダウンリストか
ら期間を選択します。ログオフデータのチェックを無効にするには、0 を選択します。
ステップ 6
必要に応じて、エージェントのスケジュールの優先度を変更するには、[プライオリティ
（Priority）] ドロップダウンリストからレベルを選択します。エージェントが大量のユーザアク
ティビティを監視して取得し、パフォーマンスに影響を与える場合にのみ、[高（High）] を選択し
ます。
ステップ 7
設定を保存するには、[保存（Save）] をクリックします。
更新された設定がエージェントに適用されます。
ステップ 8
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行でき
ます。
Firepower ユーザエージェント構成ガイド
2-20
第2章
ユーザエージェントの設定プロセス
ユーザエージェントの設定
ユーザエージェントのメンテナンス設定の構成
ライセンス： FireSIGHT または該当なし
エージェントは、構成設定に加えて、ユーザと IP のマッピング情報、ローカルイベントログ、お
よびレポート状態情報を SQL CE データベースに保存します。エージェントの [ メンテナンス
（Maintenance）] タブでは、メンテナンスのためにデータベースの一部をクリアできます。キャッ
シュされているユーザと IP のマッピング情報およびローカルイベントログ情報をクリアでき
ます。レポート状態のキャッシュもクリアできますが、その場合は、設定された Active Directory
サーバの手動ポーリングが強制実行されます。
注意
サポートから指示されないかぎり、[ メンテナンス（Maintenance）] タブの設定は変更しないでく
ださい。
ユーザエージェントのメンテナンス設定を構成するには、次の手順を実行します。
アクセス： Any
ステップ 1
[ ログ（Logs）] タブを選択します。
ステップ 2
[ ログ内のデバッグメッセージを表示（Show Debug Messages in Log）] を選択して [ メンテナンス
（Maintenance）] タブを有効にします。
ステップ 3
[ メンテナンス（Maintenance）] タブを選択します。
ステップ 4
保存されているすべてのユーザと IP のマッピングデータをクリアするには、[ユーザマッピン
グデータキャッシュをクリア（Clear user mapping data cache）] をクリックします。
エージェントのローカルデータベースから、保存されているすべてのユーザと IP のマッピング
データが削除されます。エージェントのローカルデータベースをクリアしても、Management
Centerのデータベースに保存されているユーザと IP のマッピングデータには影響しません。
ステップ 5
保存されているすべてのログインイベントデータをクリアするには、[ ログオンイベントログ
キャッシュをクリア（Clear logon event log cache）] をクリックします。
エージェントはローカルイベントログから、保存されているすべてのログインイベントデータ
を削除します。
ステップ 6
エージェントが設定済みのManagement Centerにログインおよびログオフ情報を最後に報告した
時間に関するデータをクリアするには、[ レポートステートキャッシュをクリア（Clear reporting
state cache）] をクリックします。
エージェントは設定済みのManagement Centerにログインおよびログオフ情報を最後に報告した
時間に関するすべての情報を削除します。次のポーリング間隔の開始時に、エージェントは設定
されたすべての Active Directory サーバを手動でポーリングし、[Active Directory サーバの最大
ポーリング時間（Active Directory Server Max Poll Length）] フィールドで定義された期間内の情報
を取得します。詳細については、「ユーザエージェントの Active Directory サーバ接続の設定
（2-11 ページ）」を参照してください。
ステップ 7
ログに記録されるデバッグメッセージの詳細レベルを設定するには、[デバッグログレベル
（Debug Log Level）] ドロップダウンリストからロギングの詳細レベルを選択します。
ステップ 8
エージェントを設定するために、表 2-1（2-10 ページ）に示されている操作をどれでも実行でき
ます。
Firepower ユーザエージェント構成ガイド
2-21
第2章
ユーザエージェントの設定
Firepower ユーザエージェント構成ガイド
2-22
ユーザエージェントの設定プロセス

Download Report

Firepower ��[�U �G�[�W �F �� g �\��K�C �h �o�[�W �� 2.3

Paperzz.com

Your Paperzz