アイデンティティ ポリシーを使用してネットワーク上のユーザ活動をモニタできます。これにより、脅威、エンドポイント、およびネットワーク インテリジェンスをユーザ ID 情報に関連付けることができます。ネットワーク動作、トラフィック、およびイベントを個別のユーザに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。たとえば、以下について決定できます。
脆弱(レベル 1:赤)影響レベルの侵入イベントの対象になっているホストの所有者
内部攻撃またはポートスキャンを開始した人物
ホスト重要度の高いサーバの不正アクセスを試みている人物
不合理な容量の帯域幅を使用している人物
重要なオペレーティング システム更新を適用しなかった人物
会社の IT ポリシーに違反してインスタント メッセージング ソフトウェアまたはピアツーピア ファイル共有アプリケーションを使用している人物
この情報を利用して ASA FirePOWER モジュールの他の機能を使用すると、リスクを軽減し、アクセス コントロールを実行し、その他の機能を中断から保護するアクションを実行できます。これらの機能により、監査制御が大幅に改善され、規制の順守が促進されます。
ユーザ アイデンティティ ソースを設定したら、ユーザ対応とユーザ制御を実行できます。
ユーザ対応
ユーザ データの表示や分析ができます。
ユーザ制御
ユーザ アクセス コントロール ルール条件を設定して、ユーザ対応から引き出した結論に基づいて、ネットワーク上のトラフィックでユーザやユーザ アクティビティをブロックできます。
ユーザ データは、正規のアイデンティティ ソース(アイデンティティ ポリシーにより参照される)から取得できます。
アイデンティティ ソースは、信頼できるサーバによりユーザ ログインが検証済みであれば、正規のものになります。正規のログインから取得されるデータを使用して、ユーザ対応とユーザ制御を実行できます。正規のユーザ ログインは、パッシブ認証とアクティブ認証から取得されます。
パッシブ認証 は、ユーザが外部サーバで認証するときに実行されます。ASA FirePOWER モジュールでサポートされているパッシブ認証方式は、ユーザ エージェントと ISE/ISE-PIC だけです。
アクティブ認証 は、ユーザが FirePOWER デバイスにより認証するときに実行されます。ASA FirePOWER モジュールでサポートされているアクティブ認証方式は、キャプティブ ポータルだけです。
次の表に、ASA FirePOWER モジュールでサポートされているユーザ アイデンティティ ソースの概要を示します。
展開するアイデンティティ ソースを選択するには、以下を考慮します。
ユーザ アイデンティティの展開
システムが任意のアイデンティティ ソースからのユーザ データをユーザ ログイン時に検出すると、そのログインのユーザは、ユーザ データベース内のユーザのリストに照らして確認されます。ログイン ユーザが既存のユーザと一致した場合は、ログインからのデータがそのユーザに割り当てられます。ログインが
SMTP トラフィック内に存在しない場合は、既存のユーザと一致しないログインによって新しいユーザが作成されます。SMTP トラフィック内の一致しないログインは破棄されます。
現在のユーザ アイデンティティ
異なる複数のユーザによる同じホストへの複数のログインがシステムにより検出されると、特定のホストに同時にログインできるのは 1 ユーザのみであり、ホストの現在のユーザが最新の正式なユーザ ログインであると見なされます。複数のユーザがリモート セッション経由でログインしている場合は、サーバによって報告された最後のユーザが
ASA FirePOWER モジュールに報告されるユーザです。
同じユーザによる同じホストへの複数のログインがシステムにより検出されると、システムは指定のホストへのユーザの最初のログインを記録し、それ以降のログインは無視します。あるユーザが特定のホストにログインしている唯一の人物の場合は、システムが記録する唯一のログインがオリジナルのログインです。
ただし、そのホストに別のユーザがログインした時点で、システムは新しいログインを記録します。その後で、オリジナルのユーザが再度ログインすると、その人物の新しいログインが記録されます。