WSA に対する AnyConnect テレメトリの設定

Size: px

Start display at page:

Download "WSA に対する AnyConnect テレメトリの設定"

まなそや
4 years ago
Views:

CHAPTER 7 AnyConnect Secure Mobility Client 用の AnyConnect テレメトリモジュールでは悪意のあるコンテンツの発信元に関する情報を Cisco IronPort Web セキュリティアプライアンス (WSA) の Web フィルタリングインフラストラクチャに送信しますこの Web フィルタリングインフラストラクチャでは Web

1 CHAPTER 7 AnyConnect Secure Mobility Client 用の AnyConnect テレメトリモジュールでは悪意のあるコンテンツの発信元に関する情報を Cisco IronPort Web セキュリティアプライアンス (WSA) の Web フィルタリングインフラストラクチャに送信しますこの Web フィルタリングインフラストラクチャでは Web セキュリティスキャニングアルゴリズムの強化 URL カテゴリと Web レピュテーションデータベースの精度の向上最終的な URL フィルタリングルールの改良のためにこのデータを使用します AnyConnect テレメトリモジュールは次の機能を実行しますエンドポイントでコンテンツの到着を監視します可能であればエンドポイントで受信する任意のコンテンツの発信元を識別および記録します悪意のあるコンテンツの検出およびその発信元をシスコの Threat Operations Center にレポートします 24 時間ごとに ASA を調べて更新されたホストスキャンイメージを確認します更新されたホストスキャンイメージが提供されている場合はイメージをエンドポイントにダウンロードします ( 注 ) カスタマーエクスペリエンスフィードバックモジュールがインストールされイネーブルになっている場合フィードバックモジュールがカスタマーフィードバックデータとともにテレメトリレポートを弊社のカスタマーフィードバックセンターに送信しますフィードバックモジュールがイネーブルになっていない場合テレメトリモジュールは Cisco IronPort Web セキュリティアプライアンス (WSA) にそのレポートを送信しますここでは次の項目について説明しますシステム要件 AnyConnect テレメトリモジュールのインストール AnyConnect テレメトリモジュールの相互運用性テレメトリアクティビティ履歴リポジトリテレメトリのレポートテレメトリクライアントプロファイルの設定設定プロファイルの階層 7-1

2 システム要件システム要件 AnyConnect テレメトリモジュール ( 以降テレメトリモジュール ) は以下のプラットフォームで実行されているこのリリースの AnyConnect Secure Mobility Client で使用可能です Windows 7(x86(32 ビット ) および x64(64 ビット )) Windows Vista SP2(x86(32 ビット ) および x64(64 ビット )) Windows XP SP3(x86(32 ビット ) および x64(64 ビット )) テレメトリモジュールでは Internet Explorer 7 Internet Explorer 8 など wininit.dll を使用するブラウザについてのみ URL 発信元のトレースを実行できます Firefox Chrome など wininit.dll を使用しないブラウザを使用してファイルをダウンロードした場合ファイルのダウンロードに使用されたブラウザは識別できますがファイルのダウンロード元の URL は識別できませんテレメトリモジュールを使用するには AnyConnect ポスチャモジュールでサポートしているアンチウイルスアプリケーションをエンドポイントにインストールする必要があります ( 注 ) AnyConnect ポスチャモジュールは CSD に付属しているイメージと同じホストスキャンイメージを含みますホストスキャンでサポートされるアンチウイルスアンチスパイウェアファイアウォールアプリケーションのリストは AnyConnect と CSD で同一です ASA と ASDM に関する要件 AnyConnect Secure Mobility Client をテレメトリモジュールととも使用するには最低でも次のような ASA コンポーネントが必要です ASA 8.4 ASDM が AnyConnect Secure Mobility Client モジュールに関する要件テレメトリモジュールは AnyConnect Secure Mobility Client のアドオンであり以下のモジュールを以下の順序でエンドポイントにインストールする必要があります 1. AnyConnect VPN モジュール 2. AnyConnect ポスチャモジュール 3. AnyConnect テレメトリモジュール Cisco IronPort Web セキュリティアプライアンスの相互運用性に関する要件テレメトリ機能は Cisco IronPort Web セキュリティアプライアンス (WSA) と組み合わせて AnyConnect セキュアモビリティソリューションを使用している場合のみイネーブルにできます WSA を使用するには WSA セキュアモビリティソリューションライセンスが必要です必要な WSA の最小バージョンは 7.1 です 7-2

3 AnyConnect テレメトリモジュールのインストール AnyConnect テレメトリ機能を使用するにはセキュアモビリティソリューションを適切に設定しておく必要がありますまだ設定していない場合は Cisco AnyConnect Secure Mobility Solution Guide を参照し説明に従って WSA と適切に連携するように ASA を設定してください Cisco IronPort Web セキュリティアプライアンス上での SenderBase のイネーブル化テレメトリモジュールでは Threat Operations Center に転送したり他の脅威情報と集約したりできるようにウイルス攻撃のインシデント情報およびアクティビティ情報を WSA に送信しますこれを行うには WSA で標準モードの SenderBase ネットワーク参加がイネーブルになっている必要があります以下は SenderBase セキュリティサービスをイネーブルにする手順の概略です SenderBase セキュリティサービスの詳細な説明については WSA のマニュアルを参照してください 1. Web ブラウザを使用して WSA 管理者 GUI にログインします 2. [Security Services] > [SenderBase] を選択します 3. SenderBase ネットワーク参加がディセーブルの場合は [Enable] をクリックしてから [Edit Global Settings] をクリックして参加レベルを設定します標準 ( フル ) 参加をお勧めします ( 注 ) 制限付き参加レベルと標準参加レベルの違いの詳細については IronPort AsyncOS for Web User Guide を参照してください 4. 変更を送信し保存します AnyConnect テレメトリモジュールのインストールテレメトリモジュールをインストールする前にエンドポイントに AnyConnect Secure Mobility Client および AnyConnect ポスチャモジュールをインストールする必要があります Web 展開方式および事前展開方式を使用してテレメトリモジュールをインストールする手順については第 2 章 AnyConnect Secure Mobility Client の展開を参照してくださいテレメトリモジュールを展開する基本手順のみを知りたい場合は AnyConnect テレメトリモジュールの高速展開を参照してくださいテレメトリモジュールをインストールすると開始されるすべての新規プロセスについてアクションの記録が即座に開始されますただしテレメトリモジュールではモジュールをインストールする前からコンピュータ上で実行されていたプロセスのアクションは記録できませんテレメトリモジュールのインストール後ユーザがログアウトしてログインし直すまではファイルのコピーや名前変更など Windows エクスプローラ (explorer.exe) のプロセスはテレメトリモジュールによって追跡されませんさらにテレメトリモジュールではユーザがコンピュータをリブートしないうちはユーザログインの前に開始された他のプロセスのアクションを記録できません ( 注 ) 要件ではありませんがテレメトリモジュールのインストール後にエンドポイントをリブートすることを強くお勧めします 7-3

4 AnyConnect テレメトリモジュールのインストール AnyConnect テレメトリモジュールの高速展開 AnyConnect とともにテレメトリモジュールを展開する場合に実行する必要のある手順の概略を以下に示しますこの手順はグループポリシーおよび AnyConnect VPN ユーザ用の接続プロファイルをすでに設定してあることを前提としています AnyConnect テレメトリモジュールを展開するには次の手順を実行しますステップ 1 ステップ 2 ステップ 3 Cisco.com から AnyConnect Windows パッケージをダウンロードしますこのファイルは anyconnect-win-<version>-k9.pkg の命名規則に従っています AnyConnect Windows パッケージを ASA にアップロードします a. ASDM を起動し [Configuration] > [Remote Access VPN] > [Network(Client) Access] > [AnyConnect Client Settings] を選択します b. [Add] をクリックします c. AnyConnect Windows パッケージを ASDM にアップロードしますプロンプトが表示されたら AnyConnect パッケージを現在の新しいイメージとして使用するために [OK] をクリックします d. [OK] をクリックします [Apply] をクリックします e. ASDM を再起動します AnyConnect パッケージをホストスキャンパッケージに指定しホストスキャンをイネーブルにします a. ASDM で [Configuration] > [Remote Access VPN] > [Host Scan Image] の順に選択します b. [Browse Flash] をクリックし前のステップでホストスキャンイメージとしてアップロードした anyconnect-win-<version>-k9.pkg を選択します c. [Enable Host Scan/CSD] をオンにします d. [Apply] をクリックします e. ASDM を再起動します ( 注 ) このステップを実行するとクライアントレス SSL VPN アクセスのホストスキャンもイネーブルになりますステップ 4 ステップ 5 テレメトリをオプションモジュールとして展開するようにグループポリシーを設定します a. ASDM で [Configuration] > [Remote Access VPN] > [Network(Client) Access] > [Group Policies] を選択し編集するグループポリシーを選択して [Edit] をクリックします b. [Advanced] > [AnyConnect Client] の順に選択します c. [Optional Client Modules to Download Inherit] チェックボックスをオフにしますドロップダウンボックスから [AnyConnect Telemetry] および [AnyConnect Posture] を選択します d. [OK] をクリックします [Apply] をクリックします [Save] をクリックしますここで設定したグループポリシーを指定する接続プロファイルを設定します a. ASDM で [Configuration] > [Remote Access VPN] > [Network(Client) Access] > [AnyConnect Connection Profiles] を選択しテレメトリ用に設定する接続プロファイルを選択します [Edit] をクリックします [Basic] 設定パネルが自動的に開きます b. [Default Group Policy] エリアで前のステップでテレメトリの展開用に設定したグループポリシーを選択します c. [OK] をクリックします [Apply] をクリックします [Save] をクリックします 7-4

5 AnyConnect テレメトリモジュールの相互運用性ステップ 6 ステップ 7 テレメトリクライアントプロファイルを作成しテレメトリをイネーブルにします a. ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profiles] を選択します b. [Add] をクリックしてテレメトリプロファイルを作成しますプロファイルに名前を付け [Profile Usage] フィールドで [Telemetry] を選択します c. [Group Policy] フィールドでテレメトリの展開用に作成したグループポリシーをオプションモジュールとして選択します [OK] をクリックします d. [Profile Names] リストからここで作成したテレメトリクライアントプロファイルを選択し [Edit] をクリックします e. [Telemetry Policy] パネルの [Enable Service] をクリックしテレメトリクライアントプロファイルに対するすべてのデフォルト値を受け入れます f. [OK] をクリックします [Apply] をクリックします [Save] をクリックしますセキュアモビリティソリューションをイネーブルにします a. ASDM で [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Secure Mobility Solution] を選択します b. [Service Setup] エリアで [Enable Mobile User Security Service] をオンにします c. [Apply] をクリックします [Save] をクリックします AnyConnect テレメトリモジュールの相互運用性この項ではテレメトリモジュールと他の AnyConnect Secure Mobility Client コンポーネントの対話について説明します AnyConnect VPN モジュール AnyConnect ポスチャモジュールサードパーティ製アンチウイルスソフトウェア AnyConnect VPN モジュール AnyConnect VPN モジュールでは次の方法でテレメトリモジュールと対話します AnyConnect の VPN サービスプロセスはサービスの開始時に他のすべてのプラグインモジュールとともにテレメトリモジュールのロードと初期化を行います AnyConnect VPN モジュールでは状態が変化したときにセッション状態情報および AnyConnect Secure Mobility(ACSM) 状態情報を提供します AnyConnect VPN モジュールでは WSA からテレメトリ設定を取得するための WSA からのセキュアモビリティサービスステータス応答の XML を用意しますこれ以外にテレメトリモジュールと VPN モジュールとの対話はほとんどなく VPN モジュールがテレメトリモジュールをシャットダウンするか VPN プロセスが終了するまでテレメトリモジュールは独立してを実行されます 7-5

6 テレメトリアクティビティ履歴リポジトリ AnyConnect ポスチャモジュール AnyConect ポスチャモジュール ( 以降ポスチャモジュール ) はホストスキャンイメージを含みますホストスキャンイメージはホストスキャン互換のアンチウイルスソフトウェアからのウイルス検出情報をテレメトリモジュールに渡しますホストスキャンではテレメトリレポートで必要な場合システムポスチャ情報を AnyConnect テレメトリモジュールに渡すこともできますテレメトリモジュールでは 24 時間ごとに ASA を調べて更新されたホストスキャンイメージを確認します更新されたホストスキャンイメージが ASA にインストールされている場合テレメトリモジュールはイメージを取得して更新をエンドポイントに自動的にインストールしますサードパーティ製アンチウイルスソフトウェア AnyConnect テレメトリモジュールを使用するにはウイルスおよびマルウェアを検出するホストスキャン準拠のアンチウイルスアプリケーションが必要ですホストスキャンではアンチウイルスアプリケーションの脅威ログを定期的に確認しウイルス検出インシデントをテレメトリモジュールに転送しますアンチウイルスアプリケーションの脅威ログは常にイネーブルにされている必要がありますそうでない場合ホストスキャンではテレメトリレポートをトリガーできませんテレメトリアクティビティ履歴リポジトリテレメトリアクティビティ履歴リポジトリはテレメトリモジュールでアクティビティファイルを保存するエンドポイント上のディレクトリですアクティビティ履歴リポジトリは次の場所にあります %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Telemetry\data\ テレメトリモジュールではシステム操作ユーザ操作 API 関数呼び出しを代行受信しますテレメトリモジュールではこれらの情報を使用してエンドポイントに着信するコンテンツの発信元を識別できますテレメトリモジュールでは Internet Explorer(iexplorer.exe) による URL からのファイルのダウンロード Windows エクスプローラ (explorer.exe) によるリムーバブルデバイスからのファイルのコピーなどアプリケーションアクティビティにこの情報を集約しますテレメトリモジュールはこのアクティビティを収集し activity.dat ファイルに記録します activity.dat ファイルがアクティビティ履歴ファイルです activity.dat ファイルのサイズがほぼ 1 MB になるとテレメトリモジュールは保存時点のタイムスタンプを名前とする新しいファイルたとえば dat として現在の activity.dat ファイルを保存しますテレメトリモジュールは次に引き続き最新のアクティビティ履歴を保存する新しい activity.dat ファイルを作成しますアクティビティ履歴リポジトリが一定のサイズに達するとテレメトリモジュールは一番古いアクティビティ履歴ファイルを削除しますアクティビティ履歴リポジトリのサイズはテレメトリプロファイルに設定されている [Maximum History Log] 変数によって管理されます一定期間が経過したアクティビティ履歴ファイルはテレメトリモジュールによってアクティビティ履歴リポジトリから削除されますアクティビティ履歴ファイルの存続期間はテレメトリプロファイルに設定されている [Maximum History (Days)] 変数によって定義されますこれらの変数の設定手順についてはテレメトリクライアントプロファイルの設定 (P.7-10) を参照してください 7-6

7 テレメトリのレポート ( 注 ) テレメトリモジュールでは winnit.dll Kerel32.dll などの Windows 関数からアクティビティ情報を受信しますこれらの関数を使用していないブラウザまたは電子メールアプリケーションの場合テレメトリモジュールではいずれのアクティビティデータも受信しませんしたがってテレメトリモジュールでは Firefox Chrome などのブラウザからアクティビティ履歴を受信しません ( 注 ) アクティビティ履歴リポジトリに保存されている URL は機密情報であると見なされますテレメトリモジュールはこれらの URL を暗号化して不正アクセスを防止します詳細については URL の暗号化 (P.7-9) を参照してください ( 注 ) カスタマーエクスペリエンスフィードバックモジュールがインストールされイネーブルになっている場合フィードバックモジュールがカスタマーフィードバックデータとともにテレメトリレポートを弊社のカスタマーフィードバックセンターに送信しますフィードバックモジュールがイネーブルになっていない場合テレメトリモジュールは Cisco IronPort Web セキュリティアプライアンス (WSA) にそのレポートを送信しますテレメトリのレポートテレメトリレポートはローカルアンチウイルスソフトウェアによって識別されたウイルスに関する情報およびエンドポイントをウイルスから保護するためにアンチウイルスソフトウェアが実行したアクションに関する情報を含みますテレメトリモジュールはレポートを暗号化して WSA に送信します WSA はこのレポートを Cisco Threat Operations Center(TOC) に転送します TOC ではこのレポートを他のレポートと組み合わせて新しい URL フィルタとマルウェアフィルタエンジンの更新を生成しすべての WSA に配布します各テレメトリレポートはインシデントセクション 1 つとそれに続く 1 つ以上のアクティビティセクションを持ちますインシデントセクションはマルウェアローカルアンチウイルスアプリケーションマルウェアから防御するために実行されたアクションエンドポイントのシステム情報に関する情報を含みますアクティビティセクションはインシデントにつながったアクティビティおよびウイルスの発信元の候補に関する情報を含みますエンドポイントがバーチャルプライベートネットワークを介して ASA に接続されている場合テレメトリモジュールでは ASA を介して WSA に即座にレポートを送信します WSA へのレポートの送信を終えたテレメトリモジュールはローカルコピーを削除しますエンドポイントが VPN を介して ASA に接続されていない場合テレメトリモジュールではエンドポイント上の次の場所にレポートを保存します %ALLUSERSPROFILE%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Telemetry\reports\ テレメトリレポートファイル名にはレポートの作成時刻の年月日時間分秒を反映する YYYYMMDDHHSSmmm.trt という命名規則が使用されます ( 注 ) テレメトリレポートに保存されている URL は機密情報であると見なされますテレメトリモジュールはこれらの URL を暗号化して不正アクセスを防止します詳細については URL の暗号化 (P.7-9) を参照してください 7-7

8 テレメトリのレポートテレメトリモジュールによる個人情報の移動の可能性テレメトリインシデントレポートはマルウェアの名前に加えローカルシステム上でマルウェアが検出された場所も含みますこの場所であるディレクトリパスは多くの場合マルウェアをダウンロードしたユーザのユーザ ID を含みますたとえば Jonathan Doe が malware.txt をダウンロードした場合テレメトリレポートに含まれるディレクトリ名は C:\Documents and Settings\jdoe\Local のようになります ( 注 ) シスコのエンドユーザライセンス契約書に同意してテレメトリモジュールをインストールするとシスコによる個人情報および非個人情報の収集使用処理保管に同意することになりますこの個人情報と非個人情報はユーザによるシスコ製品との対話方法をシスコが知るためやネットワーク処理の技術サポートの提供とシスコの製品とサービスの改良を目的としてシスコに転送されますこれには米国や欧州経済領域外のその他の国に対するこれらの情報の転送を含みますシスコは選ばれた第三者と匿名化して集約された形式でこの情報を共有することがありますこの個人情報および非個人情報を使用して個人の特定や問い合わせを行うことはありませんこれらの個人情報および非個人情報の使用にはシスコのプライバシーポリシー ( が適用されます個人情報および非個人情報の収集使用処理保管に関するこの同意はテレメトリモジュールをオフにするかテレメトリモジュールをアンインストールすることにより随時撤回できますテレメトリのワークフロー以下の手順はテレメトリモジュールによる情報の収集方法と WSA へのレポート方法の一例を示します 1. ユーザが Web サイトを開き圧縮ファイル myriad_evils.zip をダウンロードしますテレメトリモジュールは両方のアクティビティを記録し activity.dat に保存します 2. 少し経ってからユーザが圧縮ファイルから内容の evil_virus.exe を解凍しますテレメトリモジュールはこのアクティビティを記録し activity.dat に保存します 3. ホストスキャン準拠のアンチウイルスアプリケーションが evil_virus.exe に含まれているウイルスを識別しファイルを削除しますアンチウイルスアプリケーションのアクティビティを契機としてテレメトリモジュールはこのインシデントに関するレポートを作成します 4. テレメトリモジュールはこの時点で activity.dat ファイル内の情報をさかのぼりながら処理してウイルスの発信元を判別しますテレメトリモジュールではアンチウイルスアプリケーションインシデントから evil_virus.exe がウイルスであったことおよびアンチウイルスアプリケーションによって削除されたことを確認しますテレメトリモジュールは activity.dat ファイルから evil_virus.exe が myriad_evils.zip から解凍されたことおよびこの圧縮ファイルはからダウンロードされたことを確認しますこのすべての情報が 1 つのレポートに結合されます 5. テレメトリモジュールはテレメトリレポートを WSA に転送しますエンドポイントがバーチャルプライベートネットワークを介して ASA に接続されている場合テレメトリモジュールではレポートを即座に WSA に送信しレポートのローカルコピーを削除しますエンドポイントが VPN を介して ASA に接続されていない場合テレメトリモジュールはレポートリポジトリにレポートを保存し次回チャンスのあるときに WSA に送信しますエンドポイントにカスタマーエクスペリエンスフィードバックモジュールがインストールされそれがイネーブルの場合テレメトリレポートはそのモジュールによって送信されます 7-8

9 テレメトリのレポート 6. SenderBase ネットワークへの参加がイネーブルの場合 WSA では Threat Operations Center にレポートを転送しますそこで他の情報源からのデータと合わせてこの情報が分析されます WSA はテレメトリデータなど複数情報源からの情報を組み込んだ URL カテゴリおよび Web レピュテーションデータベースに対するシグニチャ更新を受信しますこの新規シグニチャ更新および WSA に設定されているさまざまなポリシーに応じてユーザによるへのアクセスがブロックされ myriad_evils.zip のダウンロードが禁止されます URL の暗号化アクティビティ履歴リポジトリおよびテレメトリレポートリポジトリに保存されている URL は機密情報であると見なされますテレメトリモジュールはこれらの URL を暗号化して不正アクセスを防止しますテレメトリモジュールでは URL を内部または外部のいずれかとして扱います内部 URL の例としては会社のイントラネットホームページがあります外部 URL の例としてはインターネット上でアクセスできる任意の URL があります SenderBase ネットワークへの参加から除外するように WSA 上に設定されているすべてのドメインおよび IP アドレスはテレメトリモジュールでは内部 URL として定義されますいずれのドメインおよび IP アドレスも Senderbase ネットワークへの参加から除外しない場合テレメトリモジュールではすべての URL を外部として扱います内部と外部の両方の URL が暗号化された形式でテレメトリレポートに組み込まれ WSA に送信されますテレメトリレポートおよびアクティビティ履歴リポジトリに指定されるすべての内部 URL は内部 URL 用の対称 AES キーを使用して暗号化されますテレメトリレポートおよびアクティビティ履歴リポジトリに指定されるすべての外部 URL は外部 URL 用の対称 AES キーを使用して暗号化されますこれらの対称 AES キーは各 VPN セッションの開始時またはテレメトリサービスの開始時にランダムに生成されます内部 URL の暗号化に使用された AES キーは自社の公開キーで暗号化されて AES 暗号化された内部 URL とともにテレメトリレポートに含めて送信されますテレメトリプロファイル内の公開キーは [Custom Certificates] エリアで指定できます自社で用意した PEM 形式の任意の X.509 公開キー証明書を公開キーとして使用できます外部 URL の暗号化に使用された AES キーはシスコの公開キーおよび自社の公開キーによって暗号化されます両方の暗号化バージョンの AES キーが AES 暗号化された外部 URL とともにテレメトリレポートに含めて送信されますシスコの公開キーはシスコの公開証明書の 1 つでありテレメトリモジュールと一緒に配布されます ASDM または ASA を使用してシスコの公開キーを変更することはできませんしたがって内部 URL は会社の秘密キーを使用して復号化できます外部 URL はシスコの秘密キーまたは自社の秘密キーを使用して復号化できますこれによりシスコの秘密キーを持ち他の会社の秘密キーを持たない Cisco Threat Operations Center では外部 URL を調査できる一方で内部 URL は復号化できません最後に WSA の SenderBase 参加レベルによって暗号化およびレポートされる URL の量が決まります [Standard] URL 全体がシスコの公開キーで暗号化されてレポートされます [Limited] URL の URI 部分が各社の秘密キーで暗号化されて結果の URL 全体がシスコの公開キーで暗号化されます 7-9

10 テレメトリクライアントプロファイルの設定たとえば URL に関するテレメトリレポートの場合は Doc?docid=a1b2c3d4e5f6g7h8=en の部分が各社の秘密キーで暗号化されます使用する秘密キーに応じて結果の URL は次のような文字列になりますこの文字列がシスコの公開キーで暗号化されてレポートされますこの結果シスコの Threat Operations Center では URL に含まれているドメイン名のみを復号化できますテレメトリレポートの暗号化新規テレメトリレポートを WSA に送信する準備のできたテレメトリモジュールではエンドポイント ASA WSA 間に設定されている共有秘密に基づいてレポートを暗号化しますテレメトリモジュールでは次に HTTP POST 要求を WSA に送信することにより暗号化されたレポートを送信します WSA ではデータを集約し SenderBase ネットワークへの参加を使用して Threat Operations Center に送信しますこの POST 要求が正常に完了した場合テレメトリモジュールではローカルレポートリポジトリからレポートを削除しますテレメトリクライアントプロファイルの設定ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ステップ 11 ASDM を開き [Configuration] > [Remote Access VPN] > [Configuration] > [Network (Client) Access] > [AnyConnect Client Profile] を選択します [Add] をクリックしてクライアントプロファイルを作成しますクライアントプロファイルの名前を指定します [Profile Usage] フィールドをクリックし [Telemetry] を選択しますデフォルトのプロファイルの場所を使用するか [Browse] をクリックして代わりのファイルの場所を指定します ( 任意 )[Group Policy] を選択してクライアントプロファイルを添付するかクライアントプロファイルを <Unassigned> のままにします [AnyConnect Client Profile] ページで作成したばかりのテレメトリプロファイルを選択し [Edit] をクリックしますこれでテレメトリプロファイルエディタ画面でテレメトリプロファイルを編集できるようになりましたテレメトリをイネーブルにするために [Enable Service] チェックボックスをオンにします [Maximum History Log (MB)] フィールドでアクティビティ履歴リポジトリの最大サイズを指定します値の範囲 :2 ~ 1,000 MB デフォルト値 :100 MB [Maximum History (Days)] フィールドでアクティビティ履歴を保持する最大日数を指定します値の範囲 :1 ~ 1,000( 日間 ) デフォルト値 :180 日間 [Antivirus Check Interval (secs)] フィールドでテレメトリモジュールが新しいアンチウイルス脅威ログ情報を確認するようにポスチャモジュールに促す間隔を指定します値の範囲 :5 ~ 300 秒デフォルト値 :60 秒 7-10

11 設定プロファイルの階層ステップ 12 ステップ 13 ステップ 14 ステップ 15 ステップ 16 [Retry Send Attempts] フィールドで最初の試行が失敗した場合にテレメトリモジュールで WSA へのテレメトリレポートの送信を試行する回数を指定します値の範囲 :0 ~ 10 デフォルト値 :2 [Administrator Defined Exceptions] フィールドでそのアプリケーションの動作についての情報をテレメトリレポートから除外するアプリケーションの実行ファイルを指定します実行ファイルは 2 通りの方法で追加できます [Administration Defined Exceptions] テキストボックスにテレメトリレポートから除外するファイルの名前またはファイルのフルパスを入力し [Add] をクリックします次に例を示します trusted.exe C:\Program Files\trusted.exe ファイル名だけを指定した場合はファイルのあるディレクトリにかかわらずそのファイルの動作は追跡されませんフルディレクトリパスおよびファイル名を追加した場合は指定したディレクトリにある場合にそのファイルの動作は追跡されません [Browse] ボタンをクリックしテレメトリレポートから除外するローカルファイルを選択します追加するファイルを参照して選択するとテレメトリプロファイルエディタによりファイルのフルパスが入力されますテレメトリモジュールではこのテレメトリプロファイルを使用するすべてのエンドポイント上でこのパスの終端にあるこのファイルを探しますこのパスおよびファイル名は管理者だけでなくこのテレメトリプロファイルのすべてのユーザにとって正しい必要がありますいずれの場合もファイルは [Administration Defined Exceptions] リストボックスにリストされます [Custom Certificate Select from file] フィールドで [Browse] をクリックして XML 形式で証明書を含むプロファイルを生成するためにプライバシーエンハンストメール (.pem) タイプの証明書を見つけます [OK] をクリックします [Apply] をクリックします設定プロファイルの階層テレメトリ動作を制御するクライアントプロファイルリソースは 3 種類ありますこれらのファイルは優先順序に従って作用します 7-11

12 設定プロファイルの階層表 7-1 テレメトリクライアントプロファイルファイルファイル名場所説明および優先順位 actsettings.xml Installed on the endpoint here: テレメトリ用の基本設定を含むファイル %ALLUSERSPROFILE%\Application Data Cisco AnyConnect Secure Mobility Client \Telemetry telemetry_profile.tsp ASA 上に保存されますこのファイルの場所は次の画面で指定しますこのファイル名前は ASA 管理者によって指定されます WSA によって送信されるテレメトリプロファイルメッセージ [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile] なしこれはファイルではありませんテレメトリクライアントプロファイルファイル作成されて ASA 上に保存されますこのメッセージに定義されている要素はいずれも actsettings.xml ファイル内の要素を上書きします WSA 上に XML ファイルはありませんがステータスクエリー要求に応答するとき WSA では XML 形式のメッセージを送信しますこのメッセージに定義されている要素はいずれも telemetry_profile.tsp ファイル内の要素を上書きします 7-12

WSA に対する AnyConnect テレメトリの設定

WSA に対する AnyConnect テレメトリの設定 CHAPTER 7 AnyConnect Secure Mobility Client 用の AnyConnect テレメトリモジュールでは悪意のあるコンテンツの発信元に関する情報を Cisco IronPort Web セキュリティアプライアンス (WSA) の Web フィルタリングインフラストラクチャに送信しますこの Web フィルタリングインフラストラクチャでは Web セキュリティスキャニングアルゴリズムの強化