これはヘルプのローカルのオフラインコピーであるため、最新ではない場合があります。最新のドキュメントを確認するには、Deep Securityヘルプセンター (https://help.deepsecurity.trendmicro.com/ja-jp/) にオンラインでアクセスしてください。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
Cisco Identity Services Engine (ISE) と統合する
Deep SecurityのCisco Identity Services Engine (ISE) は、特定のホストで脅威が検出されるとすぐに、ターゲットMACアドレスに適応型ネットワーク制御 (ANC) ポリシーを割り当てることでネットワーク封じ込めを実行します。
この機能により、Deep Security Managerは不正プログラム対策や侵入防御システムの保護モジュールからのものなど、脅威の検出イベントを継続的にモニタできます。検出イベントが特定の設定可能な基準を満たすと、マネージャはCisco ISEに対し、検出イベントが発生したホストに関連付けられたすべてのMACアドレスにANCポリシーを迅速に適用するよう指示します。ANCポリシーにより、Cisco ISEは、対象のMACアドレスを隔離VLANに移動したり、MACが接続されているネットワークデバイスポートをシャットダウンしたりするなどのセキュリティ対策を実施できます。
統合フローは以下の図に示されています。
統合フローは次のように機能します。
- Deep Security Agentは検出ログをDeep Security Managerに送信します。
- 検出ログがCVSSスコアやランサムウェア不正プログラムの種類などの設定された基準を満たす場合、マネージャは影響を受けたエンドポイントに関連付けられたすべてのMACアドレスに対して、Cisco ISEにAdaptive Network Control (ANC) ポリシーを適用するよう指示します。
- Cisco ISEは、認証サーバとしてCisco ISEを使用するように設定されたネットワークスイッチに対して、ANCポリシーに関連付けられたネットワークアクセス制御リスト (ACL) を適用します。
- エンドポイントのネットワークセッションがネットワークスイッチによって再認証され、アクセスが拒否されました。
- エンドポイントは隔離VLANに移動される可能性があり、脅威の診断と修復はそのVLAN内にあるマネージャノードによって管理されます。
この記事では、Cisco Identity Services Engine (ISE) 接続の設定と、Deep Securityとの統合の利用に関するガイドラインを提供します。Cisco ISE、Adaptive Network Control (ANC) ポリシー、およびアクセス制御リスト (ACL) の詳細については、公式のCisco ISE ドキュメントを参照してください。
前提条件Cisco ISE接続設定
Deep Security ManagerはCisco Platform Exchange Grid (pxGrid) を通じてCisco ISEに接続します。pxGridはクライアントが情報を交換し、REST APIとWebsocketを介して通信することを可能にします。pxGridは安全な通信を保証し、信頼されたクライアントのみが制御されたpxGrid接続を通じて共有データにアクセスできます。
Deep Security Managerに接続する前に、Cisco ISE Webコンソールで次の設定を行う必要があります。
- 管理 > pxGridサービス > クライアント管理 > 証明書に移動し、作成をクリックして、pxGridクライアント証明書、秘密鍵、およびルート証明書をPEM形式で生成します。
ブラウザは、ルート証明書 (名前にRootCAが含まれるファイル)、クライアント証明書 (pxGridクライアント証明書作成時に指定されたコモンネームを含むファイル)、および秘密鍵を含むZIPバンドルをダウンロードします。ZIPファイルには複数の証明書が含まれており、以下の命名規則が使用されています。
- RootCAを名前に含むファイルは通常、自己署名証明書用のCisco ISEルート証明書を表します。
- pxGridクライアント証明書の作成時に指定されたCommon Nameを含むファイルは、一般的にクライアント証明書と関連するクライアント秘密鍵に対応しています。
以下の画像は、ZIPバンドル内に含まれるファイルの例を示しています。
Cisco ISEが公開認証局によって署名された証明書を使用して展開された場合、ZIPバンドルからルート証明書を抽出し、Deep Security ManagerでCisco ISE接続を構成する際に提出する必要があります。
- Operations > Adaptive Network Control > ポリシーリストに移動し、Deep Security Managerで使用するためのAdaptive Network Control (ANC) ポリシーを作成または提供してください。Deep Security ManagerのpxGrid接続を構成するためにANCポリシー名が必要になるので、メモしておいてください。
- すべてのDeep Security Managerノードをシャットダウンして、マネージャノード間でキャッシュデータが残るのを防ぎます。
- IoT/MQTTを介して高速パスイベント取得を有効にし、次のコマンドを使用してイベント取得をほぼリアルタイムに高速化します。
dsm_c -action iotevent -configuration enable -ciscortc1つのマネージャに対してこのコマンドを実行すると、すべてのマネージャノードに変更が適用されます。これは、Cisco ISEをDeep Security Managerと統合するために必要なほぼリアルタイムのイベント送信を提供するために必要です。
- すべてのマネージャノードを手動で開始します。
Deep Security ManagerでCisco ISE接続を構成する
Cisco ISEをDeep Security Managerに接続するには:
- 管理 > システム設定 > Cisco脅威封じ込め に移動します。
- Cisco脅威封じ込めを有効にするを選択し、pxGrid接続を構成するをクリックします。
Cisco ISE脅威封じ込めウィンドウが表示されます。
- Cisco pxGridクライアントに必要な情報を追加し、ファイルをアップロードしてください。詳細は以下の表を参照してください。
- すべてのフィールドが完了したら、次へをクリックします。Deep Security Managerは、提供された情報を使用してpxGridへの接続を試みます。
- 接続が成功すると、マネージャはクライアント登録要求をpxGridサーバに送信し、Cisco ISE管理者の承認が必要になります。
- 接続に失敗した場合、情報入力ページにリダイレクトされます。上記の手順3に戻り、入力した情報とアップロードしたファイルが正確で完全であることを確認してください。
- クライアント登録要求を承認するには、Cisco ISE管理者はCisco ISEの管理 > pxGridサービス > クライアント管理 > クライアント > pxGridクライアントに移動します。そこから、適切な名前を選択し、承認をクリックします。
- 管理者が登録リクエストを承認したら、Deep Security ManagerのCisco Threat Containmentタブに戻り、接続ステータスを更新をクリックしてください。接続ステータスラベルが有効に変わり、ANCポリシー名とネットワーク封じ込め基準のフィールドが有効になります。
- ANCポリシー名を選択し、適切なアラート基準のチェックボックスを選択してから、保存をクリックします。これで構成が完了し、Deep Security Managerは指定されたアラート基準に一致するセキュリティイベントを積極的に監視し、イベントに関与する元のホストのMACアドレスにANCポリシーを適用します。
| フィールド名 | 説明 |
| Cisco ISE pxGridサーバ | pxGridサーバアドレスをhttps://<fqdn>:<port>形式で入力してください。例えば、URL内に複数のサーバアドレスを入力することができます。API呼び出しはラウンドロビン方式でこれらのアドレスを巡回します。 |
| Cisco pxGridクライアント名 | これはpxGridクライアントを登録するために使用される名前です。クライアント登録リクエストが送信されると、この名前は組織ISE内のpxGridクライアントリストに表示されます。 |
| Cisco pxGridルート証明書 | これは、pxGridサーバ証明書の公開鍵基盤 (PKI) 署名パスのルート証明書です。このファイルの取得方法については、上記の前提条件Cisco ISE接続設定を参照してください。 |
| Cisco pxGridクライアント証明書 | pxGridクライアント証明書。 このファイルの取得方法については、上記の前提条件Cisco ISE接続設定を参照してください。 |
| Cisco pxGridクライアント秘密鍵 | pxGridクライアント証明書の秘密鍵。ファイルの取得方法については、上記の前提条件Cisco ISE接続設定を参照してください。 |
| Cisco pxGridクライアントプライベートキーパスワード | これはpxGridクライアント証明書の生成時に使用されるパスフレーズです。 |
Cisco ISE接続ステータスリスト
| ステータス | 説明 |
| Cisco pxGrid接続情報が設定されていません。 | DSMにCisco pxGrid接続情報が設定されていません。 |
| Cisco pxGridクライアント登録が送信されました。 | Cisco pxGrid接続情報が構成され、DSMはすでにクライアントアカウント登録要求を送信しました。DSMはISE管理者がクライアント要求を承認するのを待っています。 |
| Cisco pxGridが接続され、クライアントステータスが有効です。 | Cisco pxGrid接続情報が構成され、クライアントアカウントが承認 (有効化) されました。DSMのpxGridへの接続は正常に動作しています。ただし、ユーザはANCポリシー名を提供する必要があります。 |
| Cisco pxGridが接続され、ANCポリシーが設定されました。 | DSMはpxGridへの接続が正常に動作しており、ANCポリシー名がDSMに設定されています。さらに、DSMはANCポリシーがCisco ISEに存在することをすでに検証しています。注: これは完全に機能している接続状態です。 |
| Cisco pxGridクライアントのステータスは無効です。 | Cisco ISEでpxGridクライアントアカウントが無効になっています。ISE管理者はpxGridクライアントアカウントを有効にする必要があります。 |
| Cisco ISE pxGridサーバに接続できません。 | DSMがCisco pxGridサーバに接続できません。エラーの詳細についてはDSMログを参照してください。考えられる原因:
|
モニタとトラブルシューティング
コンピュータまたはホストにANCポリシーが割り当てられた場合、または割り当てに失敗した場合、さらにCisco pxGrid接続が失敗した場合やCisco pxGridクライアント証明書が期限切れになった場合に、システムイベントが生成されます。
- イベントID: 9210
- イベント名: Cisco ANCポリシーが割り当てられました
- イベントID: 9211
- イベント名: Cisco ANCポリシー割り当て失敗
- イベントID: 9212
- イベント名: Cisco pxGrid接続失敗
- イベントID: 9213
- イベント名: Cisco pxGridクライアント証明書の有効期限が切れました
システムイベントの説明には、ANCポリシーの名前と、正常に割り当てられたMACアドレスが含まれます。
詳細については、システムイベントを参照してください。
MACアドレスがANC割り当てリストに存在するかどうかは、Cisco ISE Operations > Adaptive Network Control > Endpoint Assignmentに移動して確認できます。
Deep Security Managerは、使用されているMACアドレスがCisco ISEで既に割り当てられている場合、ANCポリシーを再割り当てしません。ホストによって不正プログラムやランサムウェアイベントが生成されるが、MACアドレスにANCポリシーが割り当てられていない場合、イベントを生成する代わりに、マネージャは次のメッセージをログに記録します。
Jun 04, 2025 2:29:42.268000000 PM [+0800] com.trendmicro.manager.core.cisco.RapidThreatContainmentHandler assignAncPolicy INFO: ThID:258|TID:0|TNAME:Primary|UID:-1|UNAME:|Skipping assign ANC policy ANC_QUARANTINE to MAC 00:50:56:75:**:** as it has been already assigned in Cisco ISE. Jun 04, 2025 2:29:42.271000000 PM [+0800] com.trendmicro.manager.core.cisco.RapidThreatContainmentHandler assignAncPolicy INFO: ThID:258|TID:0|TNAME:Primary|UID:-1|UNAME:|Skipping assign ANC policy ANC_QUARANTINE to HostID 1 as all MACs already assigned in Cisco ISE