- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: FireSIGHT システムのライセンス
FireSIGHT システムのライセンス
組織に合わせて最適な FireSIGHT システム導入環境を作成するため、さまざまな機能のライセンスを取得できます。防御センターを使用して、防御センター自体および防御センターが管理するデバイスを管理できます。
ライセンスについて
組織に合わせて最適な FireSIGHT システム導入環境を作成するため、さまざまな機能のライセンスを取得できます。FireSIGHT ライセンスは防御センターに含まれており、ホスト、アプリケーション、およびユーザのディスカバリを実行するために必要です。
追加のモデル固有ライセンスにより、管理対象デバイスは次のようなさまざまな機能を実行できます。
•
Security Intelligence フィルタリング
• バーチャル プライベート ネットワーク(VPN)導入環境
FireSIGHT システムのライセンス付き機能にアクセスできなくなる状況がいくつかあります。防御センターからライセンスを削除できますが、これはこの防御センターにより管理されているすべてのデバイスに影響します。特定の管理対象デバイスでライセンス付き機能を無効にすることもできます。最後に、一部のライセンスには有効期限が設定されています。いくつかの例外がありますが、期限切れライセンスまたは削除済みライセンスに関連付けられている機能は使用できません。
• 「スタック構成デバイスおよびクラスタ構成デバイスのライセンス」
• 「FireSIGHTホストおよびユーザ ライセンスの制限について」
ライセンスのタイプと制約事項
ここでは、FireSIGHT システム導入環境で使用可能なライセンスのタイプについて説明します。アプライアンスで有効にできるライセンスは、アプライアンスのモデル、バージョン、および(一部の管理対象デバイスの場合)他の有効なライセンスに応じて異なります。
仮想デバイスおよび シリーズ 3 デバイスの場合、ライセンスはモデルによって異なります。管理対象デバイスのライセンスは、ライセンスがデバイスのモデルと正確に一致しない場合は有効にできません。たとえば、3D8140 デバイスで Protection 機能を有効にする場合に 3D8250 Protection ライセンスは使用できません。組織と導入環境の拡大に伴い、管理対象デバイスを追加し、その追加ライセンスを購入できます。
シリーズ 2 デバイスには Protection 機能(Security Intelligence フィルタリングを除く)が自動的に組み込まれます。デバイスで Protectionシリーズ 2 を明示的に有効化する必要はありませんが、その他のライセンスを有効にすることもできません。
また、ユーザ制御とアプリケーション制御を実行するために仮想デバイス、Sourcefire Software for X-Series、または ASA FirePOWER デバイスで Control を有効にできますが、これらのデバイスではスイッチング、ルーティング、スタック構成、またはクラスタ構成がサポートされないことに注意してください。
次の表に、FireSIGHT システム ライセンスの要約を示します。
|
|
|
|
|
|---|---|---|---|
DC500 防御センターでは URL Filtering または Malware ライセンスにより提供される機能はサポートされず、また シリーズ 2 デバイスでは Protection の機能しか有効にできないことに注意してください。
• 「VPN」
FireSIGHT
FireSIGHT ライセンスは防御センターに含まれており、このライセンスによりホスト、アプリケーション、およびユーザのディスカバリを実行できます。ディスカバリ データにより、システムは完全かつ最新のネットワーク プロファイルを作成し、脅威、エンドポイント、およびネットワーク インテリジェンスをユーザ識別情報に関連付けることができます。ディスカバリ データを使用して、トラフィック プロファイリングを実行し、ネットワーク コンプライアンスを評価し、および相関ポリシーを実装することができます。
FireSIGHT ライセンスは、防御センターとその管理対象デバイスで監視できる個々のホストおよびユーザの数も決定します。ユーザ制限が次の項目に 単独で 適用されることに注意してください。
• Users データベース(FireSIGHT システムで検出された各ユーザのレコードを格納)
• ユーザ制御を実行するためアクセス制御ルールで使用できるユーザ( アクセス制御ユーザ とも呼ばれる)の数
ライセンス制限に達した場合の結果の詳細については、「FireSIGHTホストおよびユーザ ライセンスの制限について」を参照してください。
FireSIGHT ライセンスがない状態でも、基本的なシステム設定、監視、ネットワークベースのアクセス制御(ゾーン、ネットワーク、VLAN、およびポート ルール条件)、接続のロギングおよびレポートを実行できます。また、FireSIGHT ライセンスがない状態でも Collective Security Intelligence クラウド からエンドポイントに基づくマルウェア イベントを受信できますが、組織に FireAMP サブスクリプションが必要です。
ヒント このマニュアルのライセンスに関する説明では、防御センターに FireSIGHT ライセンスがあることを前提としています。ただし、防御センター バージョン 4.10.x が以前稼働していた場合は、FireSIGHT ライセンスの代わりに RNA Host および RUA User ライセンス(レガシー)を使用できる場合があります。詳細については、「RNA Host および RUA User」を参照してください。
RNA Host および RUA User
バージョン 4.10.x の FireSIGHT システム では、RNA Host ライセンスにより監視対象ホストの制限が決定され、 RUA User ライセンスにより監視対象ユーザの制限が決定されていました。防御センター バージョン 4.10.x が以前稼働していた場合は、FireSIGHTライセンスの代わりにレガシー ホスト ライセンスとレガシー ユーザ ライセンスを使用できる場合があります。
レガシー ライセンスを使用する バージョン 5.3.1 防御センターは、RNA Host 制限を FireSIGHT ホスト制限として使用し、RUA User 制限を FireSIGHT ユーザおよびアクセス制御ユーザの両方の制限として使用します。FireSIGHT Host License Limit ヘルス モジュールは、ライセンス制限について適切にアラートを出します。「FireSIGHTホストおよびユーザ ライセンスの制限について」を参照してください。
RNA Host および RUA User の制限は累積的であることに注意してください。つまり、防御センターの各タイプのライセンスを複数追加すると、これらのライセンスで許可されているホストまたはユーザの合計数を監視できます。
後で FireSIGHT ライセンスを追加すると、防御センターは大きい方の制限値を使用します。たとえば、DC1500 の FireSIGHT ライセンスでは 最大 50,000 のホストおよびユーザがサポートされます。バージョン 4.10.x DC1500 の RNA Host 制限が 50,000 よりも大きい場合は、バージョン 5.3.1 が稼働する同じ 防御センターでレガシー ホスト ライセンスを使用すると、いずれか大きい方の制限が適用されます。便宜上、Web インターフェイスには制限値が大きい方のライセンスのみが表示されます。
注 FireSIGHT ライセンス制限が防御センターのハードウェア機能に一致しているため、シスコはこの制限を超えることを推奨しません。ガイダンスについては、サポートまでご連絡ください。
バージョン 4.10.x からバージョン 5.3.1 への更新パスがないため、物理防御センターを「復元」するには ISO ファイルを使用する必要があります。同様に、レガシー ライセンスで使用する仮想防御センターの新しいバージョンをインストールする必要があります。バージョン 5.3.1 防御センターではバージョン 4.10.x デバイスを管理できないことに注意してください。ただし、バージョン 4.10.x デバイスを最新バージョンに復元および更新することはできます。
物理防御センターの復元プロセスで、ライセンスとネットワーク設定を削除するように促されます。これらの設定を維持してください。ただし誤って削除した場合は、後で再度追加できます。仮想防御センターを復元ではなく再インストールするため、これらの設定を維持できません。
アプライアンスを FireSIGHT システムのメジャー バージョンに復元するかまたは再インストールすることに注意してください。このプロセスの完了後に利用可能なすべてのパッチまたは機能更新もインストールすることをシスコは推奨します。復元プロセスと再インストール プロセスの詳細については、『 FireSIGHT System Installation Guide 』および『 FireSIGHT System Virtual Installation Guide 』を参照してください。
Protection
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
Protection ライセンスでは、侵入検知および防御、ファイル制御、および Security Intelligence フィルタリングを実行できます。
• 侵入検知および防御 により、侵入とエクスプロイトを検出するためネットワーク トラフィックを分析できます。またオプションで違反パケットをドロップできます。
• ファイル制御 により、特定のアプリケーション プロトコルを介した特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。Malware ライセンス(「Malware」を参照)では、マルウェアの性質に基づいて限られたファイル タイプを検査およびブロックすることもできます。
• Security Intelligence フィルタリング により、トラフィックをアクセス制御ルールによる分析対象にする前に、特定の IP アドレスをブラックリストに追加(その IP アドレスとの間のトラフィックを拒否)できます。ダイナミック フィードにより、最新の情報に基づいて接続を直ちにブラックリストに追加できます。オプションで、Security Intelligence フィルタリングに「監視のみ」設定を使用できます。
ライセンスがない状態で Protection 関連の検査を実行するようにアクセス制御ポリシーを設定できますが、Protection ライセンスを最初に防御センターに追加し、ポリシー適用対象デバイスでこのライセンスを有効にするまではポリシーを適用できません。
Protection ライセンスを 防御センターから削除するか、または管理対象デバイスで Protection を無効にすると、防御センターは対象デバイスからの侵入イベントとファイル イベントを認識しなくなります。結果として、トリガー条件としてこれらのイベントを使用する相関ルールがトリガーしなくなります。また、防御センターはシスコ提供またはサードパーティの Security Intelligence 情報を取得するためにインターネットに接続しなくなります。Protection を再度有効にするまでは、既存のポリシーを再適用できません。
Protection ライセンスは URL Filtering、Malware、およびControl ライセンスに必要であるため、Protection ライセンスを削除または無効にすると、URL Filtering、Malware、または Control ライセンスを削除または無効にすることと同じ効果があります。
注 シリーズ 2 デバイスにはほとんどの Protection 機能が自動的に組み込まれるため、これらのデバイスの Protection ライセンスを購入または有効にする必要はありません。ただし シリーズ 2 デバイスは Security Intelligence フィルタリングを実行できません。
Control
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
Control ライセンスでは、アクセス制御ルールにユーザとアプリケーションの条件を追加することで、ユーザとアプリケーションの制御を実装できます。また、スイッチングおよびルーティング(DHCP リレーおよび NAT を含む)を実行するように シリーズ 3 管理対象デバイスを設定し、クラスタ管理対象デバイスを設定することができます。管理対象デバイス上で Control 有効にするには、Protection も有効にする必要があります。
注 仮想デバイス、Sourcefire Software for X-Series、または ASA FirePOWER デバイスで Control ライセンスを有効にできますが、これらのデバイスではスイッチング、ルーティング、スタック構成、またはクラスタ構成がサポートされないことに注意してください。
Control ライセンスがない状態でアクセス制御ルールにユーザ条件とアプリケーション条件を追加できますが、ポリシーを適用するには、最初に Control ライセンスを防御センターに追加し、ポリシー適用対象デバイスで有効にする必要があります。
DC500 防御センターではアクセス制御ルールへのユーザ条件の追加がサポートされていないことに注意してください。
Control ライセンスがない場合、管理対象デバイスでのスイッチド インターフェイス、ルーテッド インターフェイス、ハイブリッド インターフェイスの作成、NAT 項目の作成、および仮想ルータの DHCP リレーの設定はできません。仮想スイッチおよびルータを作成できますが、データを取り込むスイッチド インターフェイスおよびルーテッド インターフェイスがない状態ではこれらのスイッチとルータは有用ではありません。さらに、Control を有効にしていない管理対象デバイスにスイッチングまたはルーティングを組み込むデバイス設定を適用することはできません。また、管理対象デバイス間でクラスタ構成を確立するには、デバイスが Control に対して有効になっている必要があります。
Control ライセンスを防御センターから削除するか、または個別のデバイスで Control を無効にしても、対象デバイスでのスイッチングとルーティングの実行しなくなったり、デバイス クラスタが破損したりは しません 。既存の設定を編集または削除できますが、対象デバイスに変更を適用することはできません。新しいスイッチド インターフェイス、ルーテッド インターフェイス、またはハイブリッド インターフェイスを追加することも、新しい NAT 項目の追加、DHCP リレーの設定、デバイスのクラスタ構成の確立もできません。既存のアクセス制御ポリシーに、ユーザ条件またはアプリケーション条件を含むルールが含まれている場合は、それらのポリシーを再適用することができません。
URL Filtering
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
URL フィルタリングにより、監視対象ホストにより要求される URL に基づいてネットワークを移動可能なトラフィックを判別するアクセス制御ルールを作成し、防御センターが シスコ クラウドから取得する URL に関する情報に関連付けることができます。URL Filtering を有効にするには、Protection ライセンスも有効にする必要があります。
ヒント URL Filtering ライセンスがない状態で、許可またはブロックする個別 URL または URL グループを指定できます。これにより、Web トラフィックをカスタムできめ細かく制御できますが、URL カテゴリおよびレピュテーション データをネットワーク トラフィックのフィルタリングに使用することはできません。
URL フィルタリングにはサブスクリプション ベースの URL Filtering ライセンスが必要です。URL Filtering ライセンスがない状態でも、アクセス制御ルールにカテゴリ ベース URL 条件およびレピュテーション ベース URL 条件を追加できますが、防御センターは URL 情報を取得するためにクラウドに接続しません。最初に URL Filtering ライセンスを防御センターに追加し、ポリシー適用対象デバイスで有効にするまでは、アクセス制御ポリシーを適用できません。
防御センターからライセンスを削除するか、または管理対象デバイスで URL Filtering を無効にすると、URL フィルタリングにアクセスできなくなることがあります。また、URL Filtering ライセンスが期限切れになることがあります。ライセンスが期限切れになるか、ライセンスを削除または無効にすると、URL 条件が含まれているアクセス制御ルールは URL フィルタリングを直ちに停止し、防御センターはクラウドにアクセスできなくなります。既存のアクセス制御ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再適用することができません。
Malware
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
Malware ライセンスでは、拡張マルウェア防御を実行できます。つまり、管理対象デバイスを使用して、ネットワーク上で送信されるファイルからマルウェアを検出してブロックできます。管理対象デバイス上で Malware 有効にするには、Protection も有効にする必要があります。
ファイル ポリシーの一部としてマルウェア検出を設定し、その後 1 つ以上のアクセス制御ルールを関連付けます。ファイル ポリシーは、特定のアプリケーション プロトコルを使用して特定のファイルをアップロードまたはダウンロードするユーザを検出できます。Malware ライセンスでは、限られたファイル タイプ を調べてマルウェアが存在するかどうかを確認し、特定のファイル タイプをダウンロードし、シスコ クラウドに送信し、ダイナミック分析および Spero 分析を実行してこれらのファイルにマルウェアが含まれているかを判断することができます。Malware ライセンスでは、ファイル リストに特定のファイルを追加し、そのファイル リストをファイル ポリシー内で有効にすることもできます。これにより、検出時にこれらのファイルを自動的に許可またはブロックできます。
Malware ライセンスがなくてもアクセス制御ルールにマルウェア検出ファイル ポリシーを追加できますが、アクセス制御ルール エディタでこのファイル ポリシーに警告アイコン(
)が付きます。ファイル ポリシー内でも、マルウェア クラウド検索ルールに警告アイコンが付きます。マルウェア検出ファイル ポリシーを含むアクセス制御ポリシーを適用する前に、Malware ライセンスを追加してから、そのポリシー適用対象デバイスで有効にする 必要があります 。後でデバイス上でライセンスを無効にすると、マルウェア検出を実行するファイル ポリシーが含まれている既存のアクセス制御ポリシーをこれらのデバイスに対して再適用することはできません。
Malware ライセンスをすべて削除するか、それらがすべて期限切れになると、防御センターはマルウェア クラウド検索の実行と、シスコ クラウドから送信される遡及的イベントの認識を停止します。既存のアクセス制御ポリシーにマルウェア検出を実行するファイル ポリシーが含まれている場合、このアクセス制御ポリシーを再適用することはできません。Malware ライセンスの期限切れまたは削除後のごく短い時間内は、マルウェア クラウド検索ファイル ルールで検出されたファイルのキャッシュされた性質を、システムが使用できることに注意してください。この時間枠の経過後は、システムは検索を実行せず Unavailable という性質をこれらのファイルに割り当てます。
Malware ライセンスが必要であるのは、システムでネットワーク トラフィックのマルウェアを検出する必要がある場合だけであることに注意してください。Malware ライセンスがない状態でも、組織に FireAMP サブスクリプションがある場合は、防御センターはシスコ クラウドからエンドポイント ベースのマルウェア イベントを受信できます。詳細については、「マルウェア対策とファイル制御について」を参照してください。
VPN
VPN を使用すると、インターネットやその他のネットワークなどの公共ソースを経由してエンドポイント間にセキュア トンネルを確立できます。シスコ管理対象デバイスの仮想ルータ間にセキュア VPN トンネルを確立するように FireSIGHT システムを設定できます。VPN を有効にするには、Protection および Control ライセンスも有効にする必要があります。
VPN ライセンスがないと、管理対象デバイスで VPN 導入環境を設定できません。導入環境の作成はできますが、データを取り込むための 1 つ以上の VPN 対応スイッチド インターフェイスおよびルーテッド インターフェイスがない状態では、導入環境は有用ではありません。
VPN ライセンスを防御センターから削除するか、または個別のデバイスで VPN を無効にすると、対象デバイスは現在の VPN 導入環境をブレイク しません 。既存の導入環境を編集または削除できますが、対象デバイスに変更を適用することはできません。
高可用性ペアのライセンス
サポート対象防御センター:DC1000、DC1500、DC3000、DC3500
高可用性ペアの防御センターは、ライセンスを共有 しません 。ペアの各メンバに同等のライセンスを適用する必要があります。シスコは各防御センターの固有ライセンス キーに基づいてライセンスが生成するため、異なる防御センターで同じキーを使用することはできません。
スタック構成デバイスおよびクラスタ構成デバイスのライセンス
個々のデバイスをスタック構成またはクラスタ構成する前に、これらの各デバイスに同等のライセンスがインストールされている必要があります。デバイスのスタック構成後に、スタック全体のライセンスを変更できます。ただし、デバイス クラスタでは有効なライセンスを変更することはできません。
「スタックに含まれるデバイスの管理」で説明する要件に準拠する同一モデルの 3D8140、3D8200 ファミリ、3D8300 ファミリ、および 3D9900 デバイスをスタック構成にできます。「デバイスのクラスタリング」で説明する要件に準拠する同一 シリーズ 3 モデルの 2 つのデバイスをクラスタ構成にできます。
シリーズ 2 アプライアンスのライセンス付与
DC500 を除き、シリーズ 2、および シリーズ 3防御センターのライセンス付与方法は同一です。DC500 は URL フィルタリングまたはネットワークベースのマルウェア検出をサポートしないため、URL Filtering または Malware ライセンスのメリットを活用できません。
シリーズ 2 デバイスには、Protection ライセンスにより有効になる Security Intelligence 以外の機能を自動的に組み込まれています。シリーズ 2 デバイスでは Protection ライセンスを無効にできません。また、その他のライセンスを有効にできません。
• 「ライセンスのタイプと制約事項」では、FireSIGHT システム導入環境で使用可能なライセンスのタイプについて説明します。
• 「管理対象デバイスの各モデルでサポートされる機能」では、シリーズ 2 アプライアンスでサポートされている機能とサポートされていない機能の要約を示します。
FireSIGHTホストおよびユーザ ライセンスの制限について
防御センターの FireSIGHT ライセンスにより、防御センターとその管理対象デバイスで監視できる個々のホストとユーザの数、およびユーザ制御を実行するときに使用できるユーザの数が決定します。FireSIGHT ホストおよびユーザのライセンス制限は、次の表に示すようにモデルに応じて異なります。
|
|
|
|---|---|
たとえば、DC500 では 1000 ホストおよび 1000 ユーザを監視できます。
以前に 防御センターで FireSIGHT システム バージョン 4.10.x が稼働しており、ISO ファイルを使用してアプライアンスをバージョン 5.x の出荷時デフォルトに「復元」した場合、FireSIGHT ライセンスの代わりにレガシー RNA Host および RUA User ライセンスを使用できる場合があります。
FireSIGHTホスト制限について
防御センターの FireSIGHT ライセンスにより、防御センターおよびその管理対象デバイスで監視できる個々のホストの数、およネットワーク マップに保管できるホストの数が決定します。
システムでは MAC 専用ホストが、IP アドレスおよび MAC アドレスの両方で識別されるホストとは別にカウントされることに注意してください。1 つのホストに関連付けられているすべての IP アドレスは、まとめて 1 つのホストとしてカウントされます。
システムが(ネットワーク検出ポリシーで定義されている)監視対象ネットワークの IP アドレスを持つホストに関連するアクティビティを検出すると、そのホストがネットワーク マップに追加されます。
ホスト制限に達した後でシステムにより新しいホストが検出される場合、新しいホストがネットワーク マップに追加されるかどうかは、ネットワーク検出ポリシーの [When Host Limit Reached] 設定に基づきます。データベースへの新しいホストの追加を停止するか、または最も長い期間にわたり非アクティブなホストを置き換えるようにシステムを設定できます。
注 ネットワーク マップに新しいホストを追加できない場合でも、システムはそのホストのネットワーク トラフィックに対してアクセス 制御を実行します。ライセンス制限に達した後でも、FireSIGHT ホストの制限に達したために検出されたホストに対してアクセス制御を実行できなくなることはありませんが、ホスト プロファイル データを使用してこれらのホストの分析を実行または表示することはできません。たとえば、コンプライアンス ホワイトリストを使用してこれらのホストのネットワーク コンプライアンスを監視したり、ホスト プロファイル認定にこれらのホストを使用したりすることはできません。
ホスト、サブネット全体、またはすべてのホストをネットワーク マップから手動で削除することもできます。ただしシステムは、削除されたホストに関連するアクティビティを検出すると、そのホストをネットワーク マップに再度追加することに注意してください。
ネットワーク検出ポリシーで指定された最後の [Host Timeout] 期間内に、ホストからのネットワーク トラフィックが検出されない場合、ホストはネットワーク マップから削除されることにも注意してください。デフォルト設定は 10080 分(7 日)です。
ホスト ライセンスの使用状況を追跡できるようにするため、残りの設定可能なホスト ライセンスの数よりも少ない場合には、FireSIGHT Host License Limit ヘルス モジュールにより警告が出されます。
FireSIGHTユーザ制限について
防御センターの FireSIGHT ライセンスにより、監視できる個々のユーザの数が決定します。システムが新しいユーザのアクティビティを検出すると、そのユーザは Users データベースに追加されます。ユーザは次の方法で検出できます。
• ネットワーク検出ポリシーを使用して、LDAP、AIM、POP3、IMAP、Oracle、SIP (VoIP)、および SMTP ユーザのログインを受動的に検出するように管理対象デバイスを設定することができます。
• Active Directory 資格情報に対する認証を検出するため、Microsoft Active Directory LDAP サーバに User Agent をインストールできます。
ライセンス制限に達すると、ほとんどの場合、システムはデータベースへの新しいユーザの追加を停止します。新しいユーザを追加するには、データベースからユーザを手動で削除するか、またはデータベースからすべてのユーザを消去する必要があります。
ただしシステムは、信頼できるユーザのログインを優先します。ライセンス制限に達した後で、システムが以前は検出されなかった信頼できるユーザのログインを検出した場合、最も長い期間にわたって非アクティブな信頼できないユーザを削除し、このユーザを新しい信頼できるユーザに置き換えます。
ヒント 管理対象デバイスを使用してユーザ アクティビティを検出する場合、ユーザ名が複雑になることを最小限に抑え、FireSIGHT ユーザ ライセンスを保持するため、ユーザ ロギングをプロトコルにより制限できることに注意してください。たとえば、AIM、POP3、および IMAP で検出されるユーザを監視すると、契約業者、訪問者、およびその他のゲストからのネットワーク アクセスが原因で、組織に関係のないユーザが追加されることがあります。詳細については、「ユーザ ロギングの制限」を参照してください。
アクセス制御ユーザ制限について
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
防御センターの FireSIGHT ライセンスにより、監視できる個々のユーザの数ばかりでなく、ユーザ制御を実行するためにアクセス制御ルールで使用できるユーザの数も決まります。これらのユーザは アクセス制御ユーザ と呼ばれます。
注 ユーザ制御を実行するには、組織で Microsoft Active Directory が使用されている必要があります。システムは Active Directory サーバで稼働している User Agent を使用してアクセス制御ユーザに IP アドレスを関連付けます。これにより、アクセス制御ルールがトリガー可能になります。
アクセス制御ユーザが属している必要があるグループを指定するため、防御センターと Active Directory サーバ間の接続( ユーザ認識認証オブジェクト と呼ばれる)を設定します。次に、防御センターは定期的にサーバに対してクエリを実行し、認証オブジェクトで指定したグループのユーザのリストを取得します。これらのユーザを使用してアクセス制御を実行できます。
認証オブジェクトに指定したグループのユーザの総数が、FireSIGHT ユーザ ライセンスよりも少ないことを確認する 必要があります 。パラメータが一般的でありすぎると、防御センターは可能な限り多くのユーザを取得し、タスク キューで取得できなかったユーザの数を報告します。パフォーマンスとライセンスの理由から、シスコはアクセス制御に使用するユーザを表すグループだけを指定することを推奨します。
ライセンスの表示
[Licenses] ページで、防御センターとその管理対象デバイスのライセンスを表示します。導入環境内のアプライアンスのタイプごとに、所有しているライセンスの総数と、使用中のライセンスの割合がこのページにリストされます。
このページでは、使用中の FireSIGHT User ライセンスの数は、FireSIGHT システムにより検出されるユーザの数、つまり Users データベース内のユーザの数を表すことに注意してください。これは、アクセス制御に使用するアクセス制御ユーザの数ではありません。詳細については、「FireSIGHTホストおよびユーザ ライセンスの制限について」を参照してください。
[Licenses] ページには、各ライセンスの詳細も表示されます。モデルごとに、各タイプの所有ライセンス数、各タイプのライセンスでライセンス付与できる管理対象デバイスの数が表示されます。有効期限のあるライセンスの場合、このページに有効期限が表示されます。
[Licenses] ページ以外にも、ライセンスとライセンス制限を確認できる方法がいくつかあります。
• [Product Licensing] ダッシュボード ウィジェットはライセンスの概要を示します。
• [Device Management] ページ([Devices] > [Device Management])は、各管理対象デバイスに適用されているライセンスをリストします。
• 2 つの ヘルス モジュール(License Monitor および FireSIGHT Host License Limit)をヘルス ポリシーで使用すると、ライセンス ステータスが通知されます。
ステップ 1 [System] > [Licenses] を選択します。
防御センターへのライセンスの追加
防御センターにライセンスを追加する前に、ライセンスの購入時にシスコから提供されたアクティベーション キーがあることを確認してください。
FireSIGHT を除き、ライセンス付き機能を使用する前に、管理対象デバイスでライセンスを有効にする 必要があります 。デバイスを防御センターに追加するとき、またはデバイスの追加後にデバイスの一般プロパティを編集することで、ライセンスを有効にできます。シリーズ 2 デバイスには Protection の機能(Security Intelligence フィルタリングを除く)が自動的に組み込まれるため、これらの機能を無効にできず、また他のライセンスを シリーズ 2 デバイスに適用できないことに注意してください。「デバイスのライセンス付き機能の変更」を参照してください。
注 バックアップの完了後に追加したライセンスは、このバックアップを復元しても削除または上書きされません。復元時の競合を防ぐため、バックアップの復元前にこれらのライセンスを削除し、ライセンスの使用先を書きとめます。バックアップの復元後にこれらのライセンスを追加して再設定できます。競合が発生した場合は、サポートに連絡してください。
ステップ 1 [System] > [Licenses] を選択します。
ステップ 2 [Add New License] をクリックします。
• 電子メールで受信した場合は電子メールからライセンスをコピーし、[License] フィールドに貼り付け、[Submit License] をクリックします。
ライセンスが正しい場合、ライセンスが追加されます。残りの手順は省略します。
• 電子メールで受信していない場合は、[Get License] をクリックします。
Licensing Center Web サイトが表示されます。インターネットにアクセスできない場合は、インターネットにアクセスできるコンピュータに切り替えてください。ページ下部に表示されるライセンス キーを書きとめ、https://keyserver.sourcefire.com/ を参照します。
ステップ 4 画面の指示に従ってライセンスを取得します。ライセンスは電子メールで送信されます。
ヒント サポート サイトにログインした後で、[Licenses] タブでライセンスを要求することもできます。
ステップ 5 電子メールからライセンスをコピーし、防御センターの Web インターフェイスの [License] フィールドに貼り付け、[Submit License] をクリックします。
ライセンスが有効な場合、ライセンスが追加されます。これで、「デバイスのライセンス付き機能の変更」の説明に従って管理対象デバイスでライセンスの機能を有効にできます。
ライセンスの削除
何らかの理由でライセンスを削除する必要がある場合は、次の手順を使用します。シスコは各防御センターの固有ライセンス キーに基づいてライセンスを生成するため、ある防御センターからライセンスを削除し、この削除したライセンスを別の防御センターで再利用することはできないことに注意してください。
ほとんどの場合、ライセンスを削除すると、そのライセンスによって有効になる機能を使用することができなくなります。詳細については、「ライセンスのタイプと制約事項」を参照してください。
ステップ 1 [System] > [Licenses] を選択します。
ステップ 2 削除するライセンスの横にある削除アイコン(
)をクリックします。
ライセンスを削除すると、そのライセンスを使用するすべてのデバイスからライセンス付き機能が削除されます。たとえば、Protection ライセンスが 100 台の管理対象デバイスで有効である場合、このライセンスを削除すると、100 台のデバイスすべてから Protection の機能が削除されます。
デバイスのライセンス付き機能の変更
サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER
シリーズ 3 デバイス、仮想デバイス、Sourcefire Software for X-Series、またはASA FirePOWERのライセンス付き機能を変更するには、[Device Management] ページでデバイスの全般プロパティを編集します。一部の例外はありますが、管理対象デバイスでライセンスを無効にすると、そのライセンスに関連づけられている機能は使用できなくなります。
シリーズ 2 デバイスには Protection 機能(Security Intelligence フィルタリングを除く)が自動的に組み込まれています。これらの機能を無効にすること、および シリーズ 2 デバイスに他のライセンスを適用することはできません。DC500 防御センターでは Malware または URL Filtering ライセンスを使用できませんが、DC500 を使用して、シリーズ 3 デバイス、仮想デバイス、Sourcefire Software for X-Series、または ASA FirePOWER デバイスのこれらのライセンス付き機能およびその他のライセンス付き機能を有効にしたり変更したりすることはできます。
有効にできるライセンスの詳細(バージョン、モデル、およびその他の要件を含む)については、「ライセンスのタイプと制約事項」を参照してください。
デバイスのライセンス付き機能を有効または無効にするには、次の手順を実行します。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 ライセンスを有効または無効にするデバイスの横にある編集アイコン(
)をクリックします。
ステップ 4 [License] セクションの横にある編集アイコン(
)をクリックします。
[License] ポップアップ ウィンドウが表示されます。
ステップ 5 該当するチェック ボックスをオンまたはオフにして、デバイスのライセンス機能を有効または無効にします。
変更は保存されますが、デバイス設定を適用するまでは反映されません。「デバイスへの変更の適用」を参照してください。
フィードバック