- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: システムソフトウェアの更新
システムソフトウェアの更新
シスコは、ルールの更新や地理情報データベース(GeoDB)の更新、脆弱性データベース(VDB)の更新だけでなく、システム ソフトウェア本体のメジャーおよびマイナーの更新など、さまざまなタイプの更新を電子的に配布しています。
リリース ノートまたはアドバイザリ テキストに特に記載されていない限り、アプライアンスを更新しても設定は変更されず、アプライアンスの設定はそのまま保持されます。
更新のタイプについて
シスコは、侵入ルールの更新や VDB の更新だけでなく、システム ソフトウェア本体のメジャーおよびマイナーの更新など、さまざまなタイプの更新を電子的に配布しています。
次の表で、シスコが提供している更新のタイプについて説明します。ほとんどのタイプの更新では、ダウンロードとインストールをスケジュールすることができます。「タスクのスケジュール」および「再帰的なルール更新の使用」を参照してください。
FireSIGHT システムに対するパッチおよび他のマイナーな更新はアンインストールできますが、VDB、GeoDB、または侵入ルールに対するメジャーな更新をアンインストールしたり、前のバージョンに戻したりすることはできないことに注意してください。自分のアプライアンスを、FireSIGHT システムの新しいメジャー バージョンに更新した場合、および古いバージョンに戻す必要がある場合は、サポートに連絡してください。
ソフトウェア更新の実行
FireSIGHT システムの展開を更新するには、いくつかの基本的な手順があります。最初に、リリース ノートを参照し、必要な更新前のタスクを完了するなど、更新の準備をする必要があります。これで更新を開始することができます。まず防御センターを更新し、次にこれらが管理するデバイスを更新します。更新が完了し、更新が正常に終了したことを確認するまで、更新の進捗状況を監視する必要があります。最後に、更新後の必要な手順を完了させます。
•
「更新の計画」
更新の計画
更新を開始する前に、リリース ノートをよく読んで理解する必要があります。リリース ノートはサポート サイトからダウンロードすることができます。リリース ノートには、サポートされているプラットフォーム、新しい機能、既知および解決済みの問題、製品の互換性について記載されています。また、リリース ノートには前提条件、警告、および特別なのインストールおよびアンインストールの手順についての重要な情報が含まれています。
以降の項では、更新の計画で検討しなければならない要素の概要を提供します。
アプライアンス(ソフトウェアベースのデバイスを含む)が、FireSIGHT システムの正しいバージョンを実行していることを確認する必要があります。リリース ノートには必要なバージョンが示されています。古いバージョンを実行している場合は、サポート サイトから更新を取得することができます。
ソフトウェアベースのデバイスをインストールしたコンピュータが、オペレーティング システムの正しいバージョンを実行していることを確認します。リリース ノートには必要なバージョンが示されています。仮想デバイスでサポートされるオペレーティング システムの詳細については、『 FireSIGHT System Virtual Installation Guide 』を参照してください。Sourcefire Software for X-Series でサポートされるオペレーティング システムの詳細については、『 Sourcefire Software for X-Series Installation Guide 』を参照してください。
十分な空きディスク領域があることを確認し、更新のために十分な時間を確保しておく必要があります。管理対象デバイスを更新する場合には、防御センターで追加のディスク領域が必要になります。リリース ノートには、領域と時間の要件が示されています。
シスコでは、メジャーの更新を開始する前に、外部の場所へコピーした後にアプライアンス上に残っているバックアップをすべて削除することを推奨しています。更新のタイプに関係なく、現行のイベントおよび設定データを外部の場所にバックアップしておく必要もあります。イベント データは、更新プロセスの一部としてバックアップされ ません 。
防御センターを使用して、それ自身、および管理対象のイベントと設定データをバックアップすることができます。「バックアップと復元の使用」を参照してください。
更新プロセスはトラフィックの調査、トラフィック フロー、およびリンク ステートに影響を与えることがあること、および更新を行っている間は Data Correlator が無効になっていることにより、シスコでは、保守を行っている間、または中断が展開に及ぼす影響が最も少ない時間に更新を行うことを推奨しています。
更新プロセスについて
管理対象のデバイスを更新するには、その前に、防御センターを更新 する必要があります 。
シスコは、防御センターの Web インターフェイスを使用して、それ自身だけでなく、管理対象のデバイスも更新することを推奨しています。仮想デバイスや Sourcefire Software for X-Series など、Web インターフェイスを持たない管理対象デバイスを更新するには、防御センター を使用する 必要があります 。Sourcefire Software for X-Series に対するメジャーな更新では、前のバージョンをアンインストールして新しいバージョンをインストールしなければならないことがあります。詳細については、『 Sourcefire Software for X-Series Installation Guide 』を参照してください。
[Product Updates] ページ([System] > [Updates])には、それぞれの更新のバージョン、およびその更新が生成された日時が表示されます。また、更新の一環としてリブートが必要かどうかも示されます。
サポートから取得した更新をアプライアンスへアップロードすると、更新がページに示されます。パッチ機能および機能の更新のアンインストーラも表示されます。「ソフトウェア更新のアンインストール」を参照してください。防御センターで、ページに VDB 更新を表示できます。
ヒント パッチおよび機能の更新では、自動更新機能を利用することができます。「ソフトウェア更新の自動化」を参照してください。
高可用性ペアの 1 つの防御センターの更新を開始すると、防御センターのペアの一方が(まだプライマリになっていない場合は)プライマリになります。また、ペアの防御センターが設定情報の共有を停止すると、ペアの防御センターは、通常の同期プロセスの一環としてのソフトウェア更新は受信しません。
操作の継続性を保証するには、ペアの防御センターを同時に更新 しないでください 。まず、セカンダリ防御センターの更新手順を完了してからプライマリを更新してください。
クラスタ デバイスまたはクラスタ スタック上で更新をインストールすると、システムは、複数のデバイスまたはスタック上で同時に更新を実行します。更新を開始すると、システムは最初にバックアップ デバイスまたはスタックに更新を適用し、必要なプロセスが再開され、デバイスまたはスタックがトラフィックを再処理するまでメンテナンス モードになります。システムは、アクティブなデバイスまたはスタックに更新を適用し、同じプロセスを行います。
クラスタ スタックのデバイスを更新するには、クラスタのすべてのメンバ上で同時に、管理している防御センターから更新を実行する必要があります。デバイスから直接更新を実行することはできません。
スタック デバイスに更新をインストールすると、システムは更新を同時に実行します。各デバイスは、更新が完了すると通常の動作を再開します。次の点に注意してください。
• すべてのセカンダリ デバイスの更新が完了する 前に プライマリ デバイスが更新を完了した場合、すべてのデバイスが更新を完了するまでスタックは、バージョンが混在した制限付きの状態で作動します。
• すべてのセカンダリ デバイスの更新が完了した 後で プライマリ デバイスの更新が完了した場合は、プライマリ デバイスで更新が完了したときに、スタックは通常の動作を再開します。
管理対象デバイスから更新をインストールまたはアンインストールすると、次の機能に影響を及ぼすことがあります。
• トラフィックのインスペクション(アプリケーションおよびユーザの認識とコントロール、URL フィルタリング、セキュリティ インテリジェンス フィルタリング、侵入検出と防御、接続のロギングなど)
• トラフィック フロー(スイッチング、ルーティング、関連する機能など)
Data Correlator は、システムの更新中は動作しません。更新が完了すると再開します。
ネットワーク トラフィックの中断の方法と期間は、更新が影響を及ぼす FireSIGHT システムのコンポーネント、デバイスがどのように設定および展開されているか、更新によりデバイスがリブートされるかどうか、によって異なります。特定の更新に対してネットワーク トラフィックがいつ、どのように影響を受けるかについての情報は、リリース ノートを参照してください。
ヒント クラスタ デバイスを更新する場合、システムは、トラフィックの中断を回避するために、一度に 1 つずつ更新を実行します。
更新のタイプに関係なく、更新中のアプライアンスの Web インターフェイスを使用して、更新の監視以外のタスクを実行 しないで ください。
メジャーな更新中にユーザがアプライアンスを使用しないようにし、メジャーな更新の進捗をユーザが簡単に監視できるようにするために、アプライアンスの Web インターフェイスが合理化されています。タスク キュー([System] > [Monitoring] > [Task Status])でマイナーな更新の進捗を監視することができます。マイナーな更新中に Web インターフェイスを使用することは禁止されていませんが、シスコでは推奨していません。
ヒント 管理対象デバイスの更新を監視するには、防御センターでタスク キューを使用します。
マイナーな更新であっても、更新プロセス中は、更新しているアプライアンスの Web インターフェイスは使用できないか、またはアプライアンスでユーザがログアウトされることがあります。これは想定されている動作です。この場合は、もう一度ログインしタスク キューを表示します。まだ更新が実行中の場合は、更新が完了するまで Web インターフェイスを使用 しないで ください。更新中は、管理対象デバイスが 2 回リブートされることがありますが、これは予想される動作です。
リリース ノートに記載されている更新後のすべてのタスクを完了し、展開が正常に実行されていることを確認する 必要があります 。
更新後のタスクで最も重要なことは、防御センターを更新した後と、管理対象デバイスを更新した後の両方で、アクセス コントロール ポリシーを再適用することです。アクセス コントロール ポリシーを適用すると、トラフィック フローと処理が一時的に停止することがあります。また、いくつかのパケットが検査されない場合があります。「アクセス コントロール ポリシーの適用」を参照してください。
• 展開のすべてのアプライアンスが正常に通信していることを確認する
防御センターの更新
更新のタイプ、および防御センターがインターネットへアクセスできるかどうかによって、防御センターを次のいずれかの方法で更新します。
• 防御センターがインターネットにアクセスできる場合は、防御センターを使用して、サポート サイトから直接更新を取得します。このオプションは、メジャーな更新ではサポート されていません 。
• サポート サイトから更新を手動でダウンロードして、防御センターへアップロードすることもできます。防御センターがインターネットへアクセスできない場合、またはメジャーな更新を実行している場合は、このオプションを選択します。
メジャーな更新の場合は、防御センターを更新すると、以前の更新のアンインストーラが削除されます。
ステップ 1 リリース ノートを読んで、更新前の必要なタスクを完了します。
更新前のタスクには、防御センターがシスコ ソフトウェアの正しいバージョンを実行している、更新を実行するための十分な空きディスク領域がある、更新を実行するために十分な時間を確保している、イベントおよび設定データをバックアップした、などの確認が含まれています。
ステップ 2 更新を防御センターへアップロードします。ここで、更新のタイプによって、および防御センターがインターネットにアクセスできるかどうかによって、2 つのオプションがあります。
• メジャーな更新を除くすべての更新で、防御センターがインターネットにアクセスできる場合は、[System] > [Updates] を選択し、[Download Updates] をクリックして、次のいずれかのサポート サイトで最新の更新をチェックします。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
• メジャーな更新の場合、または防御センターがインターネットにアクセスできない場合は、最初に次のいずれかのサポート サイトから更新を手動でダウンロードする必要があります。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
• [System] > [Updates] を選択して [Upload Update] をクリックします。更新を参照して、[Upload] をクリックします。
注 サポート サイトから、手動でまたは [Product Updates] タブで [Download Updates] をクリックして、更新を直接ダウンロードします。電子メールで更新ファイルを転送すると、ファイルが破損することがあります。
ステップ 3 展開内でアプライアンスが正常に通信していること、およびヘルス モニタによって問題が報告されていないことを確認します。
ステップ 4 [System] > [Monitoring] > [Task Status] を選択してタスク キューを表示し、進行中のジョブがないことを確認します。
更新を開始したときに実行されているタスクは停止され、再開できません。更新が完了した後で、タスク キューから手動で削除する必要があります。タスク キューは 10 秒ごとに自動的にリフレッシュされます。更新を始める前に、長時間実行しているタスクが完了するまで待機する必要があります。
ステップ 5 [System] > [Updates] を選択します。
ステップ 6 ユーザがアップロードする更新の隣にあるインストール アイコンをクリックします。
ステップ 7 防御センターを選択し、[Install] をクリックします。プロンプトが表示されたら、更新をインストールすることを確認して防御センターをリブートします。
更新プロセスが開始されます。更新を監視する方法は、更新がメジャーかマイナーかによって異なります。更新のタイプを判断するには、 「FireSIGHT システム更新のタイプ」 の表およびリリース ノートを参照してください。
• マイナーな更新については、タスク キュー([System] > [Monitoring] > [Task Status])で更新の進捗を監視することができます。
• メジャーな更新については、タスク キューで更新の進捗の監視を開始できます。ただし、防御センターが更新前の必要なチェックを完了したら、ユーザはログアウトされます。もう一度ログインすると、[Upgrade Status] ページが表示されます。詳細については、「メジャーな更新のステータスの監視」を参照してください。
ステップ 8 更新が完了したら、必要に応じて防御センターにログインします。
メジャーな更新の後に最初にログインするユーザには、エンド ユーザ ライセンス契約(EULA)が表示されることがあります。EULA を確認して承認し、処理を続行します。
ステップ 9 ブラウザのキャッシュを消去し、ブラウザを強制的にリロードします。このようにしない場合は、ユーザ インターフェイスが予期せぬ動作をすることがあります。
ステップ 10 [Help] > [About] を選択し、ソフトウェアのバージョンが正しく示されていることを確認します。また、防御センターでルール更新および VDB のバージョンをメモしておいてください。この情報は後で必要になります。
ステップ 11 すべての管理対象デバイスが、防御センターと正常に通信していることを確認します。
ステップ 12 サポート サイトで利用できるルール更新が、自身の防御センター上のルールよりも新しい場合は、新しいルールをインポートします。
詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。
ステップ 13 アクセス コントロール ポリシーを再適用します。
アクセス コントロール ポリシーを適用すると、トラフィック フローと処理が一時的に停止することがあります。また、いくつかのパケットが検査されない場合があります。詳細については、「アクセス コントロール ポリシーの適用」を参照してください。
ステップ 14 サポート サイトで入手できる VDB が、自身の防御センター上の VDB よりも新しい場合は、最新の VDB をインポートします。
VDB の更新をインストールすると、トラフィック フローと処理が一時的に停止することがあります。また、いくつかのパケットが検査されない場合があります。詳細については、「脆弱性データベースの更新」を参照してください。
ステップ 15 次の項、 管理対象デバイスの更新へ進んで、防御センターが管理するデバイス上でシスコ ソフトウェアを更新します。
管理対象デバイスの更新
シスコでは、防御センターの更新が終わったあとでこれを使用して、管理対象のデバイスを更新することを推奨しています。仮想デバイスや Sourcefire Software for X-Series など、Web インターフェイスを持たない管理対象デバイスを更新するには、防御センターを使用する 必要があります 。Sourcefire Software for X-Series に対するメジャーな更新では、前のバージョンをアンインストールして新しいバージョンをインストールしなければならないことがあります。
管理対象デバイスの更新は、次の 2 段階のプロセスです。最初に、以下のいずれかのサポート サイトから更新をダウンロードし、それを管理元の 防御センター へアップロードします。
• Sourcefire: (https://support.sourcefire.com/)
• シスコ: (http://www.cisco.com/cisco/web/support/index.html)
注 トラフィックのインスペクション、トラフィック フロー、およびリンク状態は、デバイスがどのように設定および展開されているか、更新がどのコンポーネントに影響を及ぼすか、更新によってデバイスがリブートされるかどうかよって、更新中に影響を受けることがあります。特定の更新に対してネットワーク トラフィックがいつ、どのように影響を受けるかについての具体的な情報は、対象の更新のリリース ノートを参照してください。
ステップ 1 リリース ノートを読んで、更新前の必要なタスクを完了します。
更新前のタスクには、管理元の防御センターを更新する、イベントおよび設定データをバックアップする、およびデバイスがシスコ ソフトウェアの正しいバージョンを実行していること、ソフトウェアベースのデバイスをインストールしたコンピュータがオペレーティング システムの正しいバージョンを実行していること、更新を実行するのに十分な空きディスク領域があること、更新を実行するのに十分な時間を確保していることを確認する、といったことが含まれています。
ステップ 2 デバイスを管理している防御センター上で FireSIGHT システム ソフトウェアを更新します。「防御センターの更新」を参照してください。
ステップ 3 次のサポート サイトのいずれかから更新をダウンロードします。
• Sourcefire: (https://support.sourcefire.com/)
• シスコ: (http://www.cisco.com/cisco/web/support/index.html)
デバイス モデルごとに異なる更新を使用できます。ダウンロードできる更新については、リリース ノートを参照してください。
注 サポート サイトから更新を直接ダウンロードします。電子メールで更新ファイルを転送すると、ファイルが破損することがあります。
ステップ 4 展開内でアプライアンスが正常に通信していること、およびヘルス モニタによって問題が報告されていないことを確認します。
ステップ 5 管理元の防御センターで、[System] > [Update] を選択します。
ステップ 6 [Upload Update] をクリックして、ダウンロードした更新を参照し、[Upload] をクリックします。
更新が 防御センター へアップロードされます。[Product Updates] タブに、アップロードした更新のタイプ、バージョン番号、および生成された日付と時刻が示されます。このページには、更新の一環としてリブートが必要かどうかも示されます。
ステップ 7 ユーザがインストールする更新の隣にあるインストール アイコンをクリックします。
ステップ 8 更新をインストールするデバイスを選択して [Install] をクリックします。同じ更新を使用する場合は、複数のデバイスを一度に更新できます。プロンプトが表示されたら、更新をインストールすることを確認してデバイスをリブートします。
更新プロセスが開始されます。ファイルのサイズによっては、すべてのデバイスで更新をインストールするのに時間がかかることがあります。防御センターのタスク キュー([System] > [Monitoring] > [Task Status])で更新の進捗を監視することができます。更新中に、管理対象デバイスが 2 回リブートされることがありますが、これは正常な動作です。
ステップ 9 オプションとして、メジャーな更新の後でデバイスのローカル Web インターフェイスにログインします。
メジャーな更新の後に最初にログインするユーザには、エンド ユーザ ライセンス契約(EULA)が表示されることがあります。EULA を確認して承認し、処理を続行します。Web インターフェイスではなくコマンドライン インターフェイスを介して最初にログインした場合も EULA が表示されるので、必ず承認してください。
ステップ 10 防御センターで、[Devices] > [Device Management] を選択し、更新したデバイスのバージョンが記載されている正しいものであることを確認します。
ステップ 11 更新したデバイスが、防御センターと正常に通信していることを確認します。
ステップ 12 アクセス コントロール ポリシーを再適用します。
アクセス コントロール ポリシーを適用すると、トラフィック フローと処理が一時的に停止することがあります。また、いくつかのパケットが検査されない場合があります。詳細については、「アクセス コントロール ポリシーの適用」を参照してください。
メジャーな更新のステータスの監視
メジャーな更新では、FireSIGHT システムは、更新プロセスを簡単に監視できるような、簡潔な Web インターフェイスを提供します。インターフェイスが簡潔であるため、更新の監視以外のタスクを実行するために Web インターフェイスが使用されることもなくなります。
タスク キュー([System] > [Monitoring] > [Task Queue])で更新の進捗の監視を開始できます。ただし、アプライアンスが更新前の必要なチェックを完了したら、自分を含めたすべてのユーザが Web インターフェイスからログアウトされます。Administrator または Maintenance User 以外の場合は、更新が完了するまでログインし直すことはできません。
Administrator の場合は、ログインし直すと、簡潔な更新ページが表示されます。
防御センターを使用して管理対象デバイスを更新する場合、シスコでは、防御センターのタスク キューから更新の進捗を監視することを推奨しています。ただし、アプライアンスが更新前のチェックを終了した後で、ユーザがデバイスのローカル Web インターフェイスにログインしようとすると、簡潔な更新ページが表示され、これを使用して更新の進捗を監視することができます。
このページには、更新前の FireSIGHT システムのバージョン、更新後のバージョン、および更新を開始してからの経過時間が表示されます。また進捗バーが表示され、実行中のスクリプトに関する詳細が示されます。
ヒント 更新ログを表示するには、[show log for current script] をクリックします。ログをもう一度非表示にするには、[hide log for current script] をクリックします。
何らかの理由で更新が失敗すると、ページにはエラー メッセージが表示され、失敗した日時、更新が失敗したときに実行していたスクリプト、およびサポートへ連絡するための方法が示されます。更新を再開 しないで ください。
更新が完了すると、アプライアンスで正常終了のメッセージが表示され、リブートが行われます。アプライアンスのリブートが完了した後で、ページを更新してログインし、更新後の必要な手順を完了します。
ソフトウェア更新のアンインストール
シスコ アプライアンスへパッチまたは機能の更新を適用すると、更新プロセスによってアンインストーラが作成されます。これにより、Web インターフェイスを使用してアプライアンスから更新を削除することができます。
更新をアンインストールした場合、結果として保持されるシスコ ソフトウェアのバージョンは、アプライアンスをどのような経路で更新したかによって異なります。たとえば、アプライアンスをバージョン 5.0 からバージョン 5.0.0.2 へ直接更新した場合のシナリオについて考えてみます。バージョン 5.0.0.2 のパッチをアンインストールすると、バージョン 5.0.0.1 の更新をインストールしたことがなくても、バージョン 5.0.0.1 を実行するアプライアンスが結果として生成されます。更新をアンインストールしたときに結果として生成されるシスコ ソフトウェアのバージョンの詳細については、リリース ノートを参照してください。
注 メジャーな更新では、Web インターフェイスからのアンインストールはサポートされていません。アプライアンスを FireSIGHT システムの新しいメジャー バージョンに更新して、古いバージョンに戻す必要がある場合は、サポートに連絡してください。
インストールした順序と逆の順序で更新をアンインストールします。つまり、最初に管理対象デバイスから更新をアンインストールし、次に防御センターからアンインストールします。
ローカル Web インターフェイスを使用した更新のアンインストール
更新をアンインストールするにはローカル Web インターフェイスを使用する必要があります。防御センターを使用して、管理対象デバイスから更新をアンインストールすることはできません。ローカル Web インターフェイスを持たないデバイス(仮想デバイスや Sourcefire Software for X-Series など)からパッチをアンインストールする場合の詳細については、リリース ノートを参照してください。
このプロセスを使用して、Sourcefire Software for X-Series のマイナーな更新をアンインストールできますが、このプロセスを使用して、X-Series プラットフォームから Sourcefire Software for X-Series アプリケーションをアンインストールすることはできないことに注意してください。詳細は、『 Sourcefire Software for X-Series Installation Guide 』を参照してください。
クラスタまたはペア アプリケーションからの更新のアンインストール
クラスタ デバイスと高可用性ペアの防御センターは、FireSIGHT システムの同じバージョンを実行する必要があります。アンインストール プロセスによりフェールオーバーが自動でトリガーされますが、非対応のペアまたはクラスタ内のアプライアンスは設定情報を共有しません。また、同期の一環としては更新をインストールまたはアンインストールすることもありません。冗長なアプライアンスから更新をアンインストールしなければならない場合は、アンインストールを連続して実行するよう計画します。
アンインストールによって、これらのデバイスが、クラスタ スタックがサポートされないバージョンに戻される場合は、クラスタ スタックのデバイスから更新をアンインストールできません。
運用の継続性を保証するために、クラスタ デバイスおよびペアの防御センターから一度に 1 つずつ更新をアンインストールします。最初に、セカンダリ アプライアンスから更新をアンインストールします。アンインストールのプロセスが完了するまで待機して、プライマリ アプライアンスからすぐに更新をアンインストールします。
スタック内のすべてのデバイスは、FireSIGHT システムの同じバージョンを実行する必要があります。いずれかのスタック デバイスから更新をアンインストールすると、そのスタック内のデバイスは、バージョンが混在した制限付きの状態になります。
展開における影響を最小限にするために、シスコでは、スタック デバイスから更新を同時にアンインストールすることを推奨しています。スタック内のすべてのデバイスで更新が完了すると、スタックは通常の動作を再開します。
アンインストールによって、これらのデバイスが、クラスタ スタックがサポートされないバージョンに戻される場合は、クラスタ スタックのデバイスから更新をアンインストールできません。
管理対象デバイスから更新をアンインストールすると、トラフィックのインスペクション、トラフィック フロー、およびリンク ステートに影響を及ぼすことがあります。特定の更新に対してネットワーク トラフィックがいつ、どのように影響を受けるかについての情報は、リリース ノートを参照してください。
更新をアンインストールした後で、展開が正しく機能していることを確認するために、いくつかの手順を実行する必要があります。これらの手順には、アンインストールが正常に終了したことの確認、および展開内のすべてのアプライアンスが正常に通信していることの確認が含まれます。それぞれの更新に特定の情報については、リリース ノートを参照してください。
ローカル Web インターフェイスを使用してパッチまたは機能の更新をアンインストールする方法:
ステップ 1 [System] > [Updates] を選択します。
ステップ 2 削除する更新のアンインストーラの隣にあるインストール アイコンをクリックします。
• 防御センターで、[Install Update] ページが表示されます。防御センターを選択し、[Install] をクリックします。
いずれの場合も、プロンプトが表示されたら、更新をアンインストールすることを確認してアプライアンスをリブートします。
アンインストール プロセスが開始されます。タスク キュー([System] > [Monitoring] > [Task Status])で進捗を監視することができます。
ステップ 3 アンインストールが完了したら、必要に応じてアプライアンスにログインします。
ステップ 4 ブラウザのキャッシュを消去し、ブラウザを強制的にリロードします。このようにしない場合は、ユーザ インターフェイスが予期せぬ動作をすることがあります。
ステップ 5 [Help] > [About] を選択し、ソフトウェアのバージョンが正しく示されていることを確認します。
ステップ 6 パッチをアンインストールしたアプライアンスが正常に管理対象デバイスと通信していること(防御センターの場合)、または管理元の防御センターと通信していること(管理対象デバイスの場合)を確認します。
脆弱性データベースの更新
シスコ脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性のある既知の脆弱性のデータベースです。FireSIGHT システムはフィンガープリントと脆弱性を関連付けて、特定のホストがネットワークの侵害のリスクを増大させているかどうかを判断するのをサポートします。シスコ脆弱性調査チーム(VRT)は、VDB を定期的に更新します。
VDB を更新するには、防御センターで [Product Updates] ページを使用します。サポートから取得した VDB の更新をアプライアンスへアップロードすると、このページに、アップロードした更新と FireSIGHT システムの更新およびそのアンインストーラの更新が示されます。
脆弱性のマッピングを更新するのにかかる時間は、ネットワーク マップ内のホストの数によって異なります。システムのダウンタイムの影響を最小にするために、システムの使用率が低い時間帯に更新をスケジュールすることをお勧めします。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ネットワーク上のホストの数を 1000 で割ります。
注 アプリケーション ディテクタまたはオペレーティング システム フィンガープリントに対する変更とともに VDB の更新をインストールする場合、シスコでは、いずれかの管理対象デバイスが有効期限を経過していないか、および再適用が必要でないかをチェックすることを推奨しています。検出の更新とともに VDB の更新をインストールすると、管理対象デバイス上でトラフィック フローと処理が一時的に停止することがあります。また、いくつかのパケットが検査されない場合があります。
この項では、手動による VDB 更新を計画および実行する方法について説明します。自動更新機能を利用して VDB の更新をスケジュールすることもできます。「脆弱性データベースの更新の自動化」を参照してください。
ステップ 1 更新用の VDB 更新アドバイザリ テキストを読みます。
このアドバイザリ テキストには、更新で作成された VDB に対する変更、および製品の互換性情報が含まれています。
ステップ 2 [System] > [Updates] を選択します。
• 防御センターがインターネットにアクセスできる場合は、[Download Updates] をクリックして、次のいずれかのサポート サイトで最新の更新を確認します。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
• 防御センターがインターネットにアクセスできない場合は、次のいずれかのサポート サイトから更新を手動でダウンロードして [Upload Update] をクリックします。更新を参照して、[Upload] をクリックします。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
注 サポート サイトから、手動でまたは [Download Updates] をクリックして、更新を直接ダウンロードします。電子メールで更新ファイルを転送すると、ファイルが破損することがあります。
ステップ 4 VDB 更新の隣にあるインストール アイコンをクリックします。
ステップ 5 防御センターを選択し、[Install] をクリックします。
更新プロセスが開始されます。ネットワーク マップ内のホストの数によっては、更新のインストールに時間がかかることがあります。タスク キュー([System] > [Monitoring] > [Task Status])で更新の進捗を監視することができます。
ステップ 6 更新が終了したら、[Help] > [About] を選択して、VDB のビルド番号が、インストールした更新と一致していることを確認します。
ルールの更新とローカル ルール ファイルのインポート
新しい脆弱性が見つかると、シスコ脆弱性調査チーム(VRT)はルールの更新をリリースします。ルールの更新では、新しいおよび更新された侵入ルールおよびプリプロッセサ ルール、既存のルールの変更された状態、および変更されたデフォルトの侵入ポリシーの設定が提供されます。ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたりすることもあります。
注 ルールの更新には、新しいバイナリが含まれることがあります。ルールの更新をダウンロードおよびインストールするプロセスが、セキュリティ ポリシーに適合していることを確認します。また、ルールの更新は大規模になることがあるため、ネットワークの使用率が低いときにルールをインポートするようにします。
次に、ルールをインポートするときに考慮すべき重要なポイントを示します。
• ルールの更新での新しいルールについては、ルールの状態がそれぞれのデフォルト ポリシーで異なる場合があります。たとえば、Security over Connectivity のデフォルト ポリシーでは新しいルールが有効になっており、Connectivity over Security のデフォルト ポリシーでは無効になっていることがあります。詳細については、「デフォルト侵入ポリシーの使用」を参照してください。
ルールの更新では、既存のルールのデフォルト状態が変更されることもあります。ルールの更新で、作成する侵入ポリシーにおける既存ルールのデフォルト状態を変更できるようにするかどうかの選択については、「ルール更新による基本ポリシーの変更の許可」を参照してください。
• ルールの更新は累積的であるため、最新のルールの更新には、それまでのすべての更新の侵入ルールが含まれています。現在インストールされているルールのバージョンに一致するルール更新、またはそれより前のバージョンのルール更新をインポートすることはできません。
• シスコにより提供されるデフォルト ポリシーをベース ポリシーとして使用する場合は、ルールの更新でベース ポリシーを変更して、侵入ルール、プリプロセッサ ルール、および詳細な設定の変更を可能にするかどうかを選択することができます。詳細については、「基本ポリシーについて」および「ルール更新による基本ポリシーの変更の許可」を参照してください。
• ルールの更新には、新しいデフォルト変数、および既存のデフォルト変数の変更された値が含まれることがあります。新しい変数は常にシステムに追加されます。既存の変数値は、変更されていない場合にのみ更新されます。詳細については、「変数セットの操作」を参照してください。
• ルールの更新には、新しいルール カテゴリが含まれることがあります。ルールの更新の新しいルール カテゴリは常にシステムに追加されます。詳細については、「ルール カテゴリについて」を参照してください。
• [Rule Updates] ページには、侵入ポリシーとキャッシュされた変更、および変更を行ったユーザが表示されます。ルールの更新をインポートすると、キャッシュされていた変更がすべて廃棄されます。詳細については、「侵入ポリシー変更のコミット」を参照してください。
• ルールの更新に共有オブジェクト ルールが含まれている場合に、ルールのインポートの後でアクセス コントロール ポリシーを初めて適用すると、トラフィック フローと処理が一時的に停止し、いくつかのパケットが検査されなくなる場合があります。
• FireSIGHT システムの展開に、高可用性ペアとして 2 つの 防御センター が設定されている場合は、一方の 防御センター でルールを更新するだけで済みます。2 番目の防御センターは、通常の同期プロセスの一環としてルールの更新を受け取ります。
• オプションで、インポートが完了したときに、ルールの更新をインポートしたアプライアンスが所有している侵入ポリシーを自動的に再適用できます。
• 「ワンタイム ルール更新の使用」では、サポート サイトから 1 つのルール更新をインポートする方法について説明しています。
• 「再帰的なルール更新の使用」では、Web インターフェイスで自動機能を使用して、サポート サイトからルールの更新をダウンロードおよびインストールする方法について説明しています。
• 「ローカル ルール ファイルのインポート」では、ローカル マシンで作成した標準テキスト ルール ファイルのコピーをインポートする方法について説明しています。
• 「ルール更新ログの表示」では、ルール更新のログについて説明しています。
ワンタイム ルール更新の使用
ワンタイム ルール更新では次の 2 つの方法を使用することができます。
• 「手動によるワンタイム ルール更新の使用」では、サポート サイトからローカル マシンへ手動でルール更新をダウンロードし、それを手動でインストールする方法について説明しています。
• 「自動のワンタイム ルール更新の使用」では、Web インターフェイスで自動機能を使用し、サポート サイトで新しいルール更新を検索し、それをアップロードする方法について説明しています。
手動によるワンタイム ルール更新の使用
次の手順では、新しいルール更新を手動でインポートする方法について説明します。この手順は、防御センターがインターネットにアクセスできない場合に特に有用です。
ステップ 1 インターネットにアクセスできるコンピュータから、次のサポート サイトのいずれかへアクセスします。
• Sourcefire: (https://support.sourcefire.com/)
• シスコ: (http://www.cisco.com/cisco/web/support/index.html)
ステップ 2 [Download] をクリックし、[Rules] をクリックします。
ヒント ルールの更新は累積的であるため、最新のルールの更新には、それまでのすべてのルール更新の侵入ルールおよび新しい機能が含まれています。現在インストールされている更新のバージョンよりも低いバージョン番号のルール更新をインポートすることはできません。
ステップ 4 ダウンロードするルール更新ファイルをクリックし、そのファイルをコンピュータに保存します。
ステップ 5 アプライアンスの Web インターフェイスにログインします。
ステップ 6 [System] > [Updates] を選択し、[Rule Updates] タブを選択します。
ヒント または [Rule Editor] ページで [Import Rules] をクリックします。ここには、[Policies] > [Intrusion] > [Rule Editor] を選択してアクセスすることができます。
ステップ 7 オプションで [Delete All Local Rules] をクリックし、[OK] をクリックして、作成した、または削除されたフォルダにインポートしたすべてのユーザ定義ルールを移動します。詳細については、「カスタム ルールの削除」を参照してください。
ステップ 8 [Rule Update or text rule file to upload and install] を選択し、[Browse] をクリックしてナビゲートし、ルール更新ファイルを選択します。
ステップ 9 オプションで [Reapply intrusion policies after the Rule Update import completes] を選択し、ルール更新のインポートが完了したときに、適用されている侵入ポリシーをこのアプライアンスから自動的に再適用します。
FireSIGHT システムの複数のバージョンを実行しているスタック デバイスに対しては(デバイスの 1 つがアップグレードに失敗した場合など)、アクセス コントロール ポリシーを適用できないことに注意してください。詳細については、「スタックに含まれるデバイスの管理」を参照してください。
ルールの更新がインストールされ、[Rule Update Log] 詳細ビューが表示されます。詳細については、「[Rule Update Import Log] 詳細ビューについて」を参照してください。
手順 9 で [Reapply intrusion policies after the Rule Update import completes] を選択すると、システムは、現在適用されているアクセス コントロール ポリシーの侵入ポリシーのみを適用し、アクセス コントロール ポリシーは適用しません。詳細については、「アクセス コントロール ポリシーの適用」を参照してください。
[Reapply intrusion policies after the Rule Update import completes] を選択しない場合は、影響を受ける侵入ポリシーを次に適用するまで、ルール更新の変更点は有効になりません。詳細については、「侵入ポリシーの再適用」を参照してください。
注 ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。
自動のワンタイム ルール更新の使用
次の手順では、サポート サイトに自動で接続して、新しいルール更新をインポートする方法について説明します。この手順は、アプライアンスがインターネットにアクセスできる場合のみ使用できます。
ステップ 1 [System] > [Updates] を選択し、[Rule Updates] タブを選択します。
ヒント または [Rule Editor] ページで [Import Rules] をクリックします。ここには、[Policies] > [Intrusion] > [Rule Editor] を選択してアクセスすることができます。
ステップ 2 オプションで [Delete All Local Rules] をクリックし、[OK] をクリックして、作成した、または削除されたフォルダにインポートしたすべてのユーザ定義ルールを移動します。詳細については、「カスタム ルールの削除」を参照してください。
ステップ 3 [Download new Rule Update from the Support Site] を選択します。
ステップ 4 オプションで [Reapply intrusion policies after the Rule Update import completes] を選択し、ルール更新が完了したときに、適用されている侵入ポリシーをこのアプライアンスから自動的に再適用します。
FireSIGHT システムの複数のバージョンを実行しているスタック デバイスに対しては(デバイスの 1 つがアップグレードに失敗した場合など)、侵入ポリシーを適用できないことに注意してください。詳細については、「スタックに含まれるデバイスの管理」および「侵入ポリシーの再適用」を参照してください。
ルールの更新がインストールされ、[Rule Update Log] 詳細ビューのワークフローが表示されます。詳細については、「[Rule Update Import Log] 詳細ビューのフィールド」を参照してください。
手順 4 で [Reapply intrusion policies after the Rule Update import completes] を選択すると、システムは、現在適用されているアクセス コントロール ポリシーの侵入ポリシーのみを適用し、アクセス コントロール ポリシーは適用しません。詳細については、「アクセス コントロール ポリシーの適用」を参照してください。
[Reapply intrusion policies after the Rule Update import completes] を選択しない場合は、影響を受ける侵入ポリシーを次に適用するまで、ルール更新の変更点は有効になりません。詳細については、「侵入ポリシーの再適用」を参照してください。
注 ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。
再帰的なルール更新の使用
[Rule Updates] ページを使用して、ルール更新を日次、週次、または月次ベースでインポートすることができます。FireSIGHT システムの展開に、高可用性ペアとして 2 つの防御センターが設定されている場合は、一方の防御センターでルールを更新するだけで済みます。2 番目の防御センターは、通常の同期プロセスの一環としてルールの更新を受け取ります。
ステップ 1 [System] > [Updates] を選択し、[Rule Updates] タブを選択します。
ヒント または [Rule Editor] ページで [Import Rules] をクリックします。ここには、[Policies] > [Intrusion] > [Rule Editor] を選択してアクセスすることができます。
ステップ 2 オプションで [Delete All Local Rules] をクリックし、[OK] をクリックして、作成した、または削除されたフォルダにインポートしたすべてのユーザ定義ルールを移動します。詳細については、「カスタム ルールの削除」を参照してください。
ステップ 3 [Enable Recurring Rule Update Imports] を選択します。
ページが拡張され、再帰的なインポートを設定するためのオプションが表示されます。
[Recurring Rule Update Imports] セクション見出しの下に、インポート ステータスのメッセージが表示されます。設定を保存すると、再帰的なインポートが有効になります。
ヒント 再帰的なインポートを無効にするには、[Enable Recurring Rule Update Imports] チェック ボックスをオフにして [Save] をクリックします。
ステップ 4 [Import Frequency] フィールドで、ドロップダウン リストから [Daily]、[Weekly]、または [Monthly] を選択します。
ヒント 選択する内容をクリックするか、または選択する内容の最初の文字または数字を 1 回以上入力して、Enter キーを押すことで、再帰タスクのドロップダウン リストから選択できます。
ステップ 5 [Import Frequency] フィールドで [Weekly] を選択した場合は、表示されるドロップダウン リストを使用して、ルールの更新をインポートする曜日を選択します。
ステップ 6 [Import Frequency] フィールドで [Monthly] を選択した場合は、表示されるドロップダウン リストを使用して、ルールの更新をインポートする月の日を選択します。
ステップ 7 [Import Frequency] フィールドで、再帰的なルール更新のインポートを開始するタイミングを指定します。
ステップ 8 オプションで [Reapply intrusion policies after the Rule Update import completes] を選択し、ルール更新のインポートが完了したときに、適用されている侵入ポリシーをこのアプライアンスから自動的に再適用します。
FireSIGHT システムの複数のバージョンを実行しているスタック デバイスに対しては(デバイスの 1 つがアップグレードに失敗した場合など)、侵入ポリシーを適用できないことに注意してください。詳細については、「スタックに含まれるデバイスの管理」を参照してください。
ステップ 9 [Save] をクリックし、設定を使用した再帰的なルール更新のインポートを有効にします。
[Recurring Rule Update Imports] セクションの見出しの下のステータス メッセージが変わり、ルールの更新がまだ実行されていないことが示されます。
スケジュールされた時間にルールの更新がインストールされ、ルールが更新されます。インポートの前、またはインポート中にログオフすることも、Web インターフェイスを使用して他のタスクを実行することもできます。インポート中にアクセスした場合は、[Rule Update Log] に赤いステータスのアイコン(
)が表示されます。詳細については、「ルール更新ログの表示」を参照してください。インポート中に、[Rule Update Log] 詳細ビューに表示されるメッセージを表示することもできます。詳細については、「[Rule Update Import Log] 詳細ビューのフィールド」を参照してください。
注 ルールの更新のサイズと内容によっては、[Rule Update Log] または [Rule Update Log] 詳細ビューにステータス メッセージが表示されるまでに数分かかることがあります。
手順 8 で [Reapply intrusion policies after the Rule Update import completes] を選択すると、システムは、現在適用されているアクセス コントロール ポリシーの侵入ポリシーのみを適用し、アクセス コントロール ポリシーは適用しません。詳細については、「アクセス コントロール ポリシーの適用」を参照してください。
[Reapply intrusion policies after the Rule Update import completes] を選択しない場合は、影響を受ける侵入ポリシーを次に適用するまで、ルール更新の変更点は有効になりません。詳細については、「侵入ポリシーの再適用」を参照してください。
ルール更新のインポートにおける適用可能なサブタスクは、ダウンロード、インストール、ベース ポリシーの更新、およびポリシーの再適用の順序で生じます。1 つのサブタスクが完了すると、次のサブタスクが開始されます。適用できるのは、再帰的なインポートが設定されているアプライアンスで以前に適用されたポリシーのみであることに注意してください。
注 ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。
ローカル ルール ファイルのインポート
ローカル ルールはカスタム標準テキスト ルールで、ユーザがローカル マシンから ASCII テキスト ファイルとしてインポートします。Snort ユーザ マニュアル(http://www.snort.org で入手可能)の指示に従って、ローカル ルールを作成することができます。
ローカル ルールのインポートについて、次の点に注意してください。
• テキスト ファイル名には英数字とスペースを使用できますが、下線( _ )、ピリオド( . )、ダッシュ( - )以外の特殊記号は使用できません。
• ジェネレータ ID(GID)を指定する必要はありません。GID を指定する場合は、標準テキスト ルールに対しては GID 1、機密データ ルールに対しては 138 のみ指定できます。
• 初めてルールをインポートするときには、Snort ID(SID)またはリビジョン番号を指定 しないで ください。これにより、削除されたルールを含む、他のルールの SID との競合が回避されます。
システムはルールに対して、1000000 以上の次に使用できるカスタム ルール SID 、およびリビジョン番号 の 1 を自動的に割り当てます。
• 以前にインポートしたローカル ルールの更新バージョンをインポートする場合には、システムによって割り当てられた SID、および現在のリビジョン番号よりも大きいリビジョン番号を 含める必要があります 。
現行のローカル ルールのリビジョン番号を表示するには、[Rule Editor] ページ([Policies] > [Intrusion] > [Rule Editor])を表示し、ローカル ルールのカテゴリをクリックしてフォルダを展開し、ルールの隣にある [Edit] をクリックします。
• システムによって割り当てられた SID、および現行のリビジョン番号よりも大きいリビジョン番号を使用してルールをインポートして削除したローカル ルールは、元に戻すことができます。ローカル ルールを削除すると、システムは自動的にリビジョン番号を増やすことに注意してください。これは、ローカル ルールを元に戻すための方法です。
削除されたローカル ルールのリビジョン番号を表示するには、[Rule Editor] ページ([Policies] > [Intrusion] > [Rule Editor])を表示し、削除されたルール カテゴリをクリックしてフォルダを展開し、ルールの隣にある [Edit] をクリックします。
• 2147483647 よりも大きい SID を持つルールが含まれているルール ファイルはインポートできません。この場合、インポートが失敗します。
• 64 文字を超える送信元または宛先のポートのリストが含まれているルールをインポートすると、そのインポートは失敗します。
• システムは常に、ユーザがインポートするローカル ルールを無効なルール状態に設定します。これらを侵入ポリシーで使用するには、その前に手動でローカル ルールの状態を設定する必要があります。詳細については、「ルール状態の設定」を参照してください。
• ファイル内のルールに、エスケープ文字が含まれていないことを確認する必要があります。
• ルール インポータでは、すべてのカスタム ルールを ASCII または UTF-8 エンコードでインポートする必要があります。
• インポートされたすべてのローカル ルールは、ローカル ルール カテゴリに自動的に保存されます。
• 削除されたすべてのローカル ルールは、ローカル ルール カテゴリから、削除されたルール カテゴリへ移動されます。
• システムは、単一のポンド文字(#)で始まるローカル ルールをインポートします。
• また、二重のポンド文字(##)で始まるローカル ルールは無視し、インポートしません。
• シスコでは、SID の番号付けの問題を回避するために、高可用性ペアのプライマリ防御センターにローカル ルールをインポートすることを強くお勧めしています。
• 侵入ポリシーで、侵入イベントのしきい値機能と組み合わせて非推奨の threshold キーワードを使用しているローカル ルールをインポートして有効にすると、ポリシーの検証は失敗します。詳細については、「イベントしきい値の設定」を参照してください。
ステップ 1 [Policies] > [Intrusion] > [Rule Editor] の順に選択します。
ステップ 2 [Import Rules] をクリックします。
ヒント [System] > [Updates] を選択して、[Rule Updates] タブを選択することもできます。
ステップ 3 [Rule Update or text rule file to upload and install] を選択して [Browse] をクリックすると、ルール ファイルにナビゲートできます。この方法でアップロードされたすべてのルールは、ローカル ルール カテゴリに保存されることに注意してください。
ルール ファイルがインポートされます。侵入ポリシーで、適切なルールが有効になっていることを確認してください。影響を受けるポリシーが次に適用されるまで、ルールはアクティブにはなりません。
注 管理対象デバイスは、侵入ポリシーを適用するまで、インスペクションに対して新しいルール セットを使用しません。手順については、「アクセス コントロール ポリシーの適用」を参照してください。
ルール更新ログの表示
防御センターは、ユーザがインポートする各ルール更新およびローカル ルール ファイルごとに 1 つのレコードを生成します。
各レコードにはタイム スタンプ、ファイルをインポートしたユーザ名、およびインポートが正常に終了したか失敗したかを示すステータス アイコンが含まれています。ユーザは、自分がインポートするすべてのルール更新およびローカル ルール ファイルのリストを管理する、リストからレコードを削除する、インポートしたすべてのルールおよびルール更新のコンポーネントについての詳細レコードにアクセスする、といったことができます。以下の表で、[Rule Update Log] のフィールドについて説明します。
|
|
|
|---|---|
詳細については、「[Rule Update Log] 表について」を参照してください。 |
|
インポート ログからインポート ファイル レコード(ファイルに含まれているすべてのオブジェクトについて削除されたレコードも含めて)を削除する |
インポート ファイルでファイル名の隣にある削除アイコン( |
• 「[Rule Update Log] 表について」では、インポートするルール更新およびローカル ルール ファイルのリスト内のフィールドについて説明します。
• 「[Rule Update Import Log] の詳細の表示」では、ルール更新またはローカル ルール ファイルにインポートされた各オブジェクトの詳細レコードについて説明します。
• 「[Rule Update Import Log] 詳細ビューについて」では、[Rule Update Log] 詳細ビューの各フィールドについて説明します。
• 「[Rule Update Import Log] の検索」では、インポート ログで検索基準と一致する特定のレコード、またはすべてのレコードを検索する方法について説明します。
ステップ 1 [System] > [Updates] を選択し、[Rule Updates] タブを選択します。
ヒント または [Rule Editor] ページで [Import Rules] をクリックします。ここには、[Policies] > [Intrusion] > [Rule Editor] を選択してアクセスすることができます。
ステップ 2 [Rule Update Log] をクリックします。
[Rule Update Log] ページが表示されます。このページには、インポートされた各ルール更新とローカル ルール ファイルが示されています。
[Rule Update Log] 表について
次の表で、ユーザがインポートするルール更新およびローカル ルール ファイルのリストのフィールドについて説明します。
|
|
|
|---|---|
| ヒント インポート中には [Rule Update Log] ページで、正常終了しなかった、または完了していないことを示す赤いステータス アイコンが表示され、インポートが正常終了した場合のみこれが緑色のアイコンに変わります。 |
) ルール更新またはファイル名の隣にある表示アイコン(
)をクリックして、ルール更新またはローカル ルール ファイルの [Rule Update Log] 詳細ページを表示するか、または削除アイコン(
)をクリックして、ファイル レコード、およびファイルと一緒にインポートされたすべての詳細オブジェクト レコードを削除します。
[Rule Update Import Log] の詳細の表示
[Rule Update Import Log] 詳細ビューには、ルール更新またはローカル ルール ファイルにインポートされた各オブジェクトの詳細レコードが表示されます。表示されるレコードのうち、自分のニーズに合う情報のみを含むカスタム ワークフローまたはレポートを作成することもできます。
次の表は、[Rule Update Import Log] 詳細ビューのワークフロー ページで実行できる特定のアクションについて説明します。
|
|
|
|---|---|
詳細については、「[Rule Update Import Log] 詳細ビューについて」を参照してください。 |
|
詳細については、「ドリルダウン ワークフロー ページのソート」を参照してください。 |
|
[(switch workflows)] をクリックします。 ワークフローの選択については、「ワークフローの選択」を参照してください。カスタム ワークフローの作成については、「カスタム ワークフローの作成」を参照してください。 |
|
[Bookmark This Page] をクリックします。詳細については、「ブックマークの使用」を参照してください。 |
|
[View Bookmarks] をクリックします。詳細については、「ブックマークの使用」を参照してください。 |
|
[Report Designer] をクリックします。詳細については、「イベント ビューからのレポート テンプレートの作成」を参照してください。 |
|
[Search] をクリックします。詳細については、「[Rule Update Import Log] の検索」を参照してください。 |
|
[Search Constraints] の隣にある [Edit Search] または [Save Search] を選択します。詳細については、 「テーブル ビューおよびドリルダウン ページの機能」 の表を参照してください。 |
[Rule Update Import Log] 詳細ビューを表示する方法:
ステップ 1 [System] > [Updates] を選択し、[Rule Updates] タブを選択します。
ヒント または [Rule Editor] ページで [Import Rules] をクリックします。ここには、[Policies] > [Intrusion] > [Rule Editor] を選択してアクセスすることができます。
ステップ 2 [Rule Update Log] をクリックします。
ステップ 3 表示する詳細レコードが含まれているファイルの隣にある表示アイコン( )をクリックします。
[Rule Update Import Log] 詳細ビューについて
ルール更新またはローカル ルール ファイルにインポートされた各オブジェクトの詳細レコードを表示することができます。以下の表で、[Rule Update Log] 詳細ビューのフィールドについて説明します。
|
|
|
|---|---|
インポートされたオブジェクトの名前。ルールの場合はルールの [Message] フィールドに対応した名前で、ルール更新コンポーネントの場合はコンポーネント名です。 |
|
インポートされたオブジェクトのタイプで、有効な値は次のいずれかです。 • • • |
|
オブジェクト タイプについて、次のいずれかが発生していることを示します。 • • • • • • • • • |
|
ルールの更新によって定義されているデフォルトのアクション。インポートされたオブジェクトのタイプが [rule] |
|
ルールのジェネレータ ID。例: |
|
インポートされたルールの場合、このフィールドには [All] |
|
コンポーネントまたはルールに対する一意の文字列。ルール、GID、SID、および変更されたルールの以前のリビジョン番号については、 |
|
各レコードのカウント( |
[Rule Update Import Log] の検索
インポート ログで検索基準と一致する特定のレコード、またはすべてのレコードを検索することができます。カスタマイズされた検索を作成し、後で再利用できるように保存しておくこともできます。
ヒント 1 つのインポート ファイルのレコードのみが表示されている [Rule Update Import Log] 詳細ビューからツールバーの [Search] をクリックして検索を開始した場合でも、[Rule Update Import Log] データベースの全体が検索されます。検索の対象とするすべてのオブジェクトが含まれるように、時間制限が設定されていることを確認します。詳細については、「検索での時間制約の指定」を参照してください。
次の表で、ユーザが使用できる検索条件について説明します。レコード検索では大文字/小文字が区別されないことに注意してください。たとえば、 RULE または rule の検索では同じ結果が得られます。
|
|
|
|
|---|---|---|
レコードが生成された日時を指定します。時間入力の構文については、「検索での時間制約の指定」を参照してください。 |
|
|
ルールの [Message] フィールドのすべてまたは一部の内容を指定します。このフィールドでは、ワイルドカード文字としてアスタリスク(*)を使用できます。 |
|
|
レコードのタイプを指定します。[rule バージョン 5.0.1 より前にインポートされたルールの検索では、検索で [update] |
[update] |
|
表示するオブジェクトに対するアクションを指定します。指定できるアクションについては、 「[Rule Update Import Log] 詳細ビューのフィールド」 の表を参照してください。 |
||
保存されている検索をロードおよび削除する方法など、検索の詳細については、「イベントの検索」を参照してください。
[Rule Update Import Log] を検索する方法:
ステップ 1 [Analysis] > [Search] を選択します。
ステップ 2 [Table] ドロップダウン リストから、[Rule Update Import Log] を選択します。
ヒント [Rule Update Log] 詳細ビューで [Search] をクリックすることもできます。「[Rule Update Import Log] の詳細の表示」を参照してください。
ステップ 3 オプションで、検索を保存するには、[Name] フィールドに検索の名前を入力します。
名前を入力しない場合は、検索が保存されるときに Web インターフェイスで自動的に名前が生成されます。
ステップ 4 表 「[Rule Update Import Log] の検索基準」 に記載されているように、該当するフィールドに検索基準を入力します。複数の条件を入力すると、検索によって、すべての基準に一致するレコードが返されます。
ステップ 5 他のユーザがアクセスできるように検索を保存する場合、[Save As Private] チェック ボックスをクリアします。そうしない場合は、検索をプライベートとして保存するために、チェック ボックスを選択したままにします。
検索をカスタム ユーザ ロールのデータ制限として使用する場合は、 必ず プライベート検索として保存してください。
• 検索を開始するには、[Search] をクリックします。
デフォルトの [Rule Update Import Log] 詳細ビューのワークフローに検索結果が示されます。カスタム ワークフローなどの別のワークフローを使用するには、[(switch workflows)] をクリックします。別のデフォルト ワークフローの指定方法については、「イベント ビュー設定の設定」を参照してください。
• 既存の検索を変更し、その変更を保存したい場合は、[Save] をクリックします。
• 検索基準を保存する場合は、[Save as New Search] をクリックします。検索が保存され([Save As Private] を選択した場合はユーザ アカウントに関連付けられ)、後で実行できます。
地理情報データベースについて
シスコ Geolocation Database(GeoDB)は、ルート可能な IP アドレスに関連する地理情報データ(国、都市、緯度と経度の座標など)、および接続関係のデータ(インターネット サービス プロバイダ、ドメイン ネーム、接続タイプなど)のデータベースです。システムで、検出された IP アドレスと一致する GeoDB 情報が検出された場合は、その IP アドレスに関連付けられている地理情報を表示することができます。国や大陸以外の地理情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。シスコでは、GeoDB の定期的な更新を提供しています。
GeoDB を更新するには、防御センターで [Geolocation Updates] ページ([System] > [Updates] > [Geolocation Updates])を使用します。サポートまたは自身のアプライアンスから取得した GeoDB の更新をアップロードすると、このページに表示されます。
GeoDB の更新にかかる時間はアプライアンスによって異なります。インストールには通常、30~40 分かかります。GeoDB の更新は他のシステムの機能(実行中の地理情報の収集など)を中断することはありませんが、更新が完了するまでシステムのリソースを消費します。更新を計画する場合には、この点について考慮してください。
この項では、手動による GeoDB 更新を計画および実行する方法について説明します。自動更新機能を利用して GeoDB の更新をスケジュールすることもできます。詳細については、「位置情報データベースの更新の自動化」を参照してください。地理情報の詳細については、「地理情報の使用」を参照してください。
ステップ 1 [System] > [Updates] を選択します。
ステップ 2 [Geolocation Updates] タブをクリックします。
[Geolocation Updates] ページが表示されます。
• 防御センターがインターネットにアクセスできる場合は、[Download and install geolocation update from the Support Site] をクリックして、以下のサポート サイトのいずれかで最新の更新を確認します。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
• 防御センターがインターネットにアクセスできない場合は、以下のサポート サイトのいずれかから更新を手動でダウンロードして、[Upload and install geolocation update] をクリックします。更新を参照して、[Import] をクリックします。
–Sourcefire: (https://support.sourcefire.com/)
–シスコ: (http://www.cisco.com/cisco/web/support/index.html)
注 手動で、または [Geolocation Updates] ページで [Download and install geolocation update from the Support Site] をクリックして、サポート サイトから更新を直接ダウンロードします。 電子メールで更新ファイルを転送すると、ファイルが破損することがあります。
更新プロセスが開始されます。更新のインストールには、平均で 30~40 分かかります。これは、アプライアンスのハードウェアによって異なります。タスク キュー([System] > [Monitoring] > [Task Status])で更新の進捗を監視することができます。
ステップ 4 更新が終了したら、[Geolocation Updates] ページに戻るか、[Help] > [About] を選択して、GeoDB のビルド番号が、インストールした更新と一致していることを確認します。
GeoDB を更新すると、GeoDB の以前のバージョンが上書きされ、すぐに有効になります。GeoDB を更新すると、防御センターにより、管理対象デバイスが自動的に更新されます。展開全体で GeoDB の更新が有効になるには数分かかることがありますが、更新した後にアクセス コントロール ポリシーを再適用する必要はありません。
フィードバック