Cisco Identity Services Engine (ISE) は、有線および無線ネットワークに包括的かつスケーラブルなアクセス ポリシー適用を提供する製品です。ISE はデバイス管理用に TACACS+ をサポートしており、ネットワーク管理者がネットワーク デバイスに対して実行できるコマンドとアクションをきめ細かく制御できます。また、ISE はネットワーク アクセス用に 802.1X、MAB、WebAuth もサポートしており、ID、デバイス タイプ、ポスチャ、場所、時間などのさまざまな属性に基づいて、ユーザとエンドポイントの認証と許可を行うことができます。ISE は、Cisco Stealthwatch や Cisco AMP for Endpoints などの他のシスコ セキュリティ製品と統合して、可視性と脅威検出を強化することもできます。したがって、ISE は質問で述べられているすべての要件を満たす製品です。参考資料 := 参考資料として考えられるものは次のとおりです。
* Cisco Security Core Technologies (SCOR) v1.0 の実装と運用、モジュール 4: セキュア ネットワーク アクセス、アイデンティティ管理、セキュア アクセス
* TACACS+ 構成ガイド、TACACS の構成
* Cisco Identity Services Engine 管理者ガイド、リリース 2.7、デバイス管理
* Cisco Identity Services Engine 管理者ガイド、リリース 2.7、ネットワーク アクセス デバイス
* Cisco Identity Services Engine 管理者ガイド、リリース 2.7、ポリシー セット

説明 説明 送信メッセージで DLP 違反の可能性があるとアプライアンスが検出した場合にアプライアンスが実行するプライマリ アクションとセカンダリ アクションを指定します。 違反の種類と重大度に応じて異なるアクションを割り当てることができます。 プライマリ アクションには次のものが含まれます。 - 配信 - ドロップ - 隔離 セカンダリ アクションには次のものが含まれます。 - メッセージを配信することを選択した場合、ポリシー隔離エリアにコピーを送信します。 コピーは、メッセージ ID を含め、元のメッセージの完全なクローンです。 コピーを隔離すると、DLP 違反を監視する別の方法を提供できるだけでなく、導入前に DLP システムをテストできます。 コピーを隔離エリアから解放すると、アプライアンスは、元のメッセージを既に受信している受信者にコピーを配信します。 - メッセージの暗号化。アプライアンスは、メッセージ本文のみを暗号化します。 メッセージ ヘッダーは暗号化しません。 - DLP 違反を含むメッセージの件名ヘッダーを変更します。 - メッセージに免責事項テキストを追加します。 - 代替の送信先メールホストにメッセージを送信します。 - メッセージのコピー (bcc) を他の受信者に送信します。 (たとえば、重大な DLP 違反のあるメッセージを、調査のためにコンプライアンス担当者のメールボックスにコピーできます。) - 送信者またはマネージャや DLP コンプライアンス担当者などの他の連絡先に DLP 違反通知メッセージを送信します。 参照: https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/ b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_010001.html 説明 送信メッセージで DLP 違反の可能性を検出したときにアプライアンスが実行するプライマリ アクションとセカンダリ アクションを指定します。 違反のタイプと重大度に応じて、異なるアクションを割り当てることができます。
主なアクションは次のとおりです。
- 届ける
- 落とす
- 検疫
二次アクションには次のものが含まれます。
- メッセージを配信することを選択した場合、コピーをポリシー隔離エリアに送信します。コピーは、メッセージ ID を含め、元のメッセージの完全な複製です。コピーを隔離すると、DLP 違反を監視する別の方法を提供できるだけでなく、展開前に DLP システムをテストできます。コピーを隔離エリアから解放すると、アプライアンスは、元のメッセージを既に受信している受信者にコピーを配信します。
- メッセージの暗号化。アプライアンスはメッセージ本文のみを暗号化します。メッセージ ヘッダーは暗号化しません。
- DLP 違反を含むメッセージの件名ヘッダーを変更する。
- メッセージに免責事項のテキストを追加します。
- 代替の宛先メールホストにメッセージを送信します。
- メッセージのコピー (bcc) を他の受信者に送信する (たとえば、重大な DLP 違反を含むメッセージをコンプライアンス担当者のメールボックスにコピーして調査することができます)。
- DLP 違反通知メッセージを送信者または他の連絡先 (マネージャーや DLP コンプライアンス担当者など) に送信します。
参照：
説明 説明 送信メッセージで DLP 違反の可能性があるとアプライアンスが検出した場合にアプライアンスが実行するプライマリ アクションとセカンダリ アクションを指定します。 違反の種類と重大度に応じて異なるアクションを割り当てることができます。 プライマリ アクションには次のものが含まれます。 - 配信 - ドロップ - 隔離 セカンダリ アクションには次のものが含まれます。 - メッセージを配信することを選択した場合、ポリシー隔離エリアにコピーを送信します。 コピーは、メッセージ ID を含め、元のメッセージの完全なクローンです。 コピーを隔離すると、DLP 違反を監視する別の方法を提供できるだけでなく、導入前に DLP システムをテストできます。 コピーを隔離エリアから解放すると、アプライアンスは、元のメッセージを既に受信している受信者にコピーを配信します。 - メッセージの暗号化。アプライアンスは、メッセージ本文のみを暗号化します。 メッセージ ヘッダーは暗号化しません。 - DLP 違反を含むメッセージの件名ヘッダーを変更します。 - メッセージに免責事項テキストを追加します。 - 代替の送信先メールホストにメッセージを送信します。 - メッセージのコピー (bcc) を他の受信者に送信します。 (たとえば、重大な DLP 違反を含むメッセージをコンプライアンス担当者のメールボックスにコピーして調査することができます。) - 送信者またはマネージャや DLP コンプライアンス担当者などの他の連絡先に DLP 違反通知メッセージを送信します。参照: https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/ b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_010001.html

当然ながら、これらのリスクの高いドメインへのトラフィックをすべて許可すると、ユーザーが悪意のあるコンテンツにアクセスし、感染やデータ漏洩が発生する可能性があります。しかし、トラフィックをブロックすると、誤検知やサポート問い合わせの増加が予想され、さらに面倒なことが発生します。リスクの高いドメインのみをプロキシすることで、インテリジェント プロキシはよりきめ細かい可視性と制御を実現します。インテリジェント プロキシは、プロキシされることなくほとんどの既知の安全なサイトへのアクセスを許可し、潜在的なリスクをもたらすサイトのみをプロキシすることで、このギャップを埋めます。次に、プロキシはマルウェアをホストしている特定の URL をフィルタリングしてブロックしながら、その他すべてへのアクセスを許可します。参照: https://docs.umbrella.com/deployment-umbrella/docs/what-is-the-intelligent-proxy インテリジェント プロキシは、プロキシされることなくほとんどの既知の安全なサイトへのアクセスを許可し、潜在的なリスクをもたらすサイトのみをプロキシすることで、このギャップを埋めます。次に、プロキシはマルウェアをホストしている特定の URL をフィルタリングしてブロックしながら、その他すべてへのアクセスを許可します。
当然のことながら、これらのリスクの高いドメインへのトラフィックをすべて許可すると、ユーザーが悪意のあるコンテンツにアクセスし、感染やデータ漏洩が発生する可能性があります。しかし、トラフィックをブロックすると、誤検知やサポート問い合わせの増加が予想され、さらに面倒な問題が起こります。リスクの高いドメインのみをプロキシすることで、インテリジェント プロキシはよりきめ細かな可視性と制御を実現します。インテリジェント プロキシは、プロキシなしで既知のほとんどの良質なサイトへのアクセスを許可し、潜在的なリスクをもたらすサイトのみをプロキシすることで、このギャップを埋めます。次に、プロキシはマルウェアをホストしている特定の URL をフィルタリングしてブロックし、それ以外のすべてのサイトへのアクセスを許可します。参照: https://docs.umbrella.com/deployment-umbrella/docs/what-is-the-intelligent-proxy