エンドポイントの隔離

NACの設定後、エンドポイントを隔離する方法を設定できます。コンピュータグループに対する保存されたQuestionの結果に基づいて隔離する自動化ルールをセットアップすることも、IPまたはMACアドレスを選択することもできます。

自動化ルールによる隔離

自動化ルールは保存されたQuestionを使用してコンピュータグループに一連の条件をクエリします。エンドポイントが条件に一致したら、それは違反リストに追加されます。違反ページで、MACアドレスによってエンドポイントの隔離を選択できます。

自動化ルールでは、ISE NACを使用してMACアドレスによってブロックできます。IPアドレスによりブロックされているPalo Alto Networks Layer 3 Firewallには自動化ルールは使用できません。

Network Quarantineコンテンツセットに保存されたQuestionを追加する

自動化ルールを設定する前に、隔離するエンドポイントを選択するにあたり、どの保存されたQuestionを使用するかを決定する必要があります。たとえば、特定のパッチがインストールされていないエンドポイントを返す保存されたQuestionを作成することができます。

ルールに使用する保存されたQuestionは以下の要件を満たす必要があります:

  • Network Quarantineコンテンツセットに属する
  • コンピュータ名とMACアドレスセンサー用の列を返す
  • Network Quarantineサービス用に設定したサービスアカウントユーザーがアクセスできる

保存されたQuestionをNetwork Quarantineコンテンツセットに追加するには、保存されたQestionを作成するときにコンテンツセットを選択するか、保存されたQuestionを編集してそれをコンテンツセットに追加できます。詳細については、Tanium Core Platformユーザーガイド:保存されたQuestionを編集するを参照してください。

自動化ルールを作成する

  1. Network Quarantineメニューで、[Automated Rules (自動化ルール)] > [Add rule (ルールを追加)]をクリックします。
  2. ルールの名前を入力し、ルールのベースに使用する保存されたQuestionを選択します。
  3. [Enabled (有効)]を選択して、指定した頻度でルールを実行できるようにします。
  4. ルールの対象を選択します。対象とするコンピュータグループ(1つまたは複数)を設定します。各コンピュータグループに対して、隔離方法として設定されたどのNACを使用するかを指定します。
  5. [Save (保存)]をクリックします。
  6. ルールは設定された頻度で実行されます。今すぐすべてのルールを実行するには、Network Quarantineメニューを開いて、[Automated Rules (自動化ルール)] > [Run Now (今すぐ実行)]に移動します。

違反の表示と対処

ルールを実行した後、保存されたQestionの条件を満たすコンピュータのリストが返されます。すべての違反を表示するには、Network Quarantineメニューに移動して[Violations (違反)]をクリックします。

  • 定義されたルールに違反するデバイスの隔離を承認するには、それらのエンドポイントを選択して[Approve (承認)]を選択します。
  • エンドポイントの接続を維持するには、エンドポイントを選択して[Deny (否定)]をクリックします。
  • エンドポイントのCSVリストを生成するには、エンドポイントを選択して[Export (エクスポート)]をクリックします。

グローバルルール設定を指定する

ルールはデフォルトで6時間ごとに評価され、1つのルールに対して100を超えるエンドポイントが返されるとイベントが生成されます。Network Quarantineホームページでこれらのグローバル設定を変更するには、設定 をクリックしてから[Automated Rules (自動化ルール)]タブをクリックします。

個別のMACまたはIPアドレスを隔離する

  1. Network Quarantineメニューから、[Quarantined (隔離済)] > [Create Quarantine (隔離の作成)]をクリックします。
  2. 以下のような利用可能なオプションを使用してエンドポイントを隔離します。 
    • Palo Alto Dynamic Address Group (DAG) NACを使用してエンドポイントを隔離するには、隔離を適用するIPアドレスのリストを入力して、適用するDAGタグを選択します。
    • Cisco Identity Services Engine (ISE) pxGrid NACを使用して、エンドポイントを隔離するには、MACアドレスのリストを入力して隔離を適用し、使用するANCポリシーを選択します。適応型ネットワーク制御(ANC) ポリシーはISEで設定されています。
  3. [Save (保存)]をクリックします。
  4. 指定したIPアドレスまたはMACアドレスは、[Quarantined (隔離済)]ページに一覧されます。エンドポイントで検疫を無効にするには、IPアドレスまたはMACアドレスを選択して、[Remove Quarantine (隔離を削除)]をクリックします。

Discoverでの隔離

Tanium Discoverがインストールされている場合、IPアドレスまたはMACアドレスごとに隔離し、隔離を解除できます。[Interfaces (インターフェイス)]ページに移動して、隔離するエンドポイントに関連する行を選択し、[Quarantine (隔離)]をクリックして、エンドポイントを隔離するのに使用するNACを選択します。

隔離されたMACアドレスまたはIPアドレスは「Blocked (ブロック済)」とマークが付きます。

詳細については、Tanium Discoverユーザーガイドをご覧ください。

最終更新:2019/06/0510:24| フィードバック

Powered by Translations.com GlobalLink OneLink Software