User-IDエージェント設定のヒント(Tips)

User-IDエージェント設定のヒント(Tips)

※この記事は以下の記事の日本語訳です。

User-ID Agent Setup Tips

https://live.paloaltonetworks.com/t5/Configuration-Articles/User-ID-Agent-Setup-Tips/ta-p/54755

 

User-IDエージェントの要件:

  • 問い合わせ対象のドメインに所属するWindows 2008/2003 Server上で動作させること。User-IDエージェントはADサーバー上で直接動作させられますが、この構成は推奨しておりません。
  • 該当サービスは、User-IDエージェントサーバーに対しローカル管理者権限を持つドメインアカウントとして起動する必要があります。
  • 該当サービスアカウントはセキュリティログを読める権限が必要です。Windows 2008またはそれ以降のドメインでは、“Event Log Readers”の作成済みのグループが有り、エージェントに適用するのに十分な権限が有ります。それ以前のWindowsバージョンでは、該当アカウントにグループポリシーから “Audit and manage security log”権限を付与しなければなりません。アガウントをDomain Administratorsグループのメンバーにすることで、すべての操作に必要な権限が付与できます。
  • WMIプローブを使用する場合、該当サービスアカウントはクライアントワークステーションのCIMV2名前空間を読む権限が必要です。Domain adminはデフォルトでこの権限を持ちます。
  • 1つのUser-IDエージェントのみ使用する場合、すべてのドメインコントローラーがDiscoveryのリストに含まれていることを確認してください。
  • ドメインコントローラー(DC)は“successful login”の情報をログに記録していなければなりません。

 

User-IDエージェントはドメインコントローラの以下のイベントを監視します。

  • Windows 2003
    • 672 (Authentication Ticket Granted, which occurs on the logon moment),
    • 673 (Service Ticket Granted)
    • 674 (Ticket Granted Renewed which may happen several times during the logon session)
  • Windows 2008
    • 4768 (Authentication Ticket Granted)
    • 4769 (Service Ticket Granted)
    • 4770 (Ticket Granted Renewed)
    • 4624 (Logon Success)
  • アカウントのログオンについて、DCはイベントID 672を認証チケット要求の最初のログオンとして記録します。
  • 関連するログオフのイベントは記録されません。
  • NetBIOSプローブが有効な場合、監視対象サーバーのファイルサービスやプリントサービスへの接続もエージェントは読み込みます。これらの接続はユーザーとIPのマッピング情報の更新に使用されます。常に新しいイベントが古いイベントによるマッピングを上書きします。
  • WMIプローブが有効な場合、プローブの間隔はワークステーションの数量を考慮の上、合理的な値となっていることを確認してください。例えば、5000のプローブ対象のホストがある場合、プローブ間隔を10分には設定しないでください。これらの設定はUser-IDエージェント上のUser Identification > Setup > [Edit]ボタン > Client Probingにあります。doc-1052-01.png

 

  • ワークステーションがローカルでファイアウォール機能を動作させていたり、ドメインのメンバーでない場合など、WMIプローブが失敗するケースが有ります。その場合、該当ワークステーションが起動していて通信を行っていたとしても、キャッシュがタイムアウトすると該当するマッピングは削除されます。確認するにはUser-IDエージェントにて下記のコマンドを実行します。
    • wmic /node:workstationIPaddress computersystem get username
    • これにより該当するコンピューターに現在ログインしているユーザーが確認できます。
    • もしワークステーションがWMIプローブに応答しているか確信が持てない場合、マッピングはユーザーのログインによって行われることを考慮し、User-IDキャッシュのタイムアウトを大きめに設定するようにします。この場合、最初のログインイベントからキャッシュのタイムアウト値を超過すると、マッピングはユーサーがログインしていても消去されます。この設定はUser-IDエージェント上のUser Identification > Setup > [Edit]ボタン > Cacheにあります。

 

  • ドメインコントローラーがモニター対象のサーバーの一覧にあることを確認してください。どのドメインコントローラもユーザーの認証が可能なため、もし一覧にないものがある場合、すべてのユーザーとIPのマッピングができていないことになります。
  • ドメインコントローラー上で下記のコマンドを実施して、ドメインコントローラーの一覧が正確であることを確認してください。dsquery server –o rdn 

(DCの一覧を表示します). 既に存在しないDCが一覧にあった場合は、削除してください。

  • User-IDがトラフィックの送信元となるゾーンで有効になっていることを確認してください。この設定はNetwork > ゾーンにあります。
    doc-1052-03.png

 

ファイアウォールにて有用なコマンド

  • エージェントと接続の統計情報のステータス

    show user user-id-agent state all

  • IPマッピングの表示

    show user ip-user-mapping all

  • 特定のIPマッピングと所属グループを含む詳細情報の表示

    show user ip-user-mapping ip IPaddress

  • ファイアウォール上にて解析しているグループの表示

    show user group list

  • ファイアウォール上にあるグループのメンバーの表示

    show user group name “group name” (DN表記)

  • グループマッピングの削除と再構築

    debug user-id clear group “group name”

    debug user-id refresh group-mapping all

 

参考

Getting Started: User-ID(英文)

How to Configure Agentless User-ID(英文)

 

 

 

著者:jteetsel

ラベル(2)