Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: 再利用可能なオブジェクト
再利用可能なオブジェクト
以下のトピックでは、Firepower システムで再利用可能オブジェクトを管理する方法について説明します。
- 再利用可能オブジェクトの概要
- オブジェクト マネージャ
- ネットワーク オブジェクト
- ポート オブジェクト
- アプリケーション フィルタ
- VLAN タグ オブジェクト
- URL オブジェクト
- 地理位置情報オブジェクト
- 変数セット
- セキュリティ インテリジェンスのリストとフィード
- シンクホール オブジェクト
- ファイル リスト
- 暗号スイート リスト
- 識別名オブジェクト
- PKI オブジェクト
再利用可能オブジェクトの概要
柔軟性と Web インターフェイスの使いやすさを向上させるために、Firepower システムでは、名前を値に関連付ける再利用可能な構成である名前付きオブジェクトを使用します。その値を使用する場合は、代わりに名前付きオブジェクトを使用します。多くのポリシーとルール、イベント検索、レポート、ダッシュボードなど、Web インターフェイスのさまざまな場所でのオブジェクトの使用がサポートされています。よく使用される構成を表す多くの事前定義されたオブジェクトが提供されています。
オブジェクトを作成および管理するには、オブジェクト マネージャを使用します。オブジェクトを使用する多くの構成では、必要に応じて、その場でオブジェクトを作成することもできます。オブジェクト マネージャを使用して、次の操作も実行できます。
-
単一の構成で複数のオブジェクトを参照するための、オブジェクトのグループ化。オブジェクト グループを参照してください。
-
選択したデバイス、またはマルチドメイン展開の場合は選択したドメインのオブジェクト値のオーバーライド。オブジェクトのオーバーライドを参照してください。
アクティブなポリシーで使用されるオブジェクトを編集した後に、変更を有効にするには、変更した構成を再展開する必要があります。アクティブなポリシーで使用されているオブジェクトは削除できません。
オブジェクト タイプ
次の表に、Firepower システムで作成できるオブジェクト、各オブジェクト タイプがグループ化可能かどうか、およびオーバーライドを許可するように構成できるかどうかを示します。
オブジェクトおよびマルチテナンシー
マルチドメイン展開では、グローバルおよび子孫ドメインでオブジェクトを作成できます。現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。また、編集できない先祖ドメインで作成されたオブジェクトも表示されますが、セキュリティ ゾーンを除きます。
 (注) | セキュリティ ゾーンは、リーフ レベルで設定したデバイス インターフェイスに関連するため、子孫ドメイン内の管理者は、先祖ドメインで作成されたセキュリティ ゾーンを表示および編集できます。サブドメインのユーザは、先祖ゾーンからインターフェイスを追加および削除できますが、ゾーンを削除または名前変更することはできません。 |
オブジェクト名は、ドメイン階層内で一意である必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。
グループ化をサポートするオブジェクトの場合、現在のドメインのオブジェクトを先祖ドメインから継承されたオブジェクトとグループ化できます。
オブジェクトのオーバーライドにより、ネットワーク、ポート、VLAN タグ、URL などの特定のオブジェクト タイプのデバイス固有またはドメイン固有の値を定義できます。マルチドメイン展開では、先祖ドメイン内のオブジェクトのデフォルト値を定義できますが、子孫ドメイン内の管理者は、そのオブジェクトのオーバーライドの値を追加できます。
オブジェクト マネージャ
オブジェクト マネージャを使用すると、オブジェクトおよびオブジェクト グループを作成、管理することができます。
オブジェクト マネージャには、ページあたり 20 のオブジェクトまたはグループが表示されます。オブジェクトまたはグループのタイプが 20 を超える場合は、ページ下部のナビゲーション リンクを使用して追加ページを表示します。特定のページにアクセスしたり、更新アイコン(
)にアクセスしてビューを更新したりすることもできます。
デフォルトでは、オブジェクトとグループはページで、アルファベット順に名前でリストされます。ただし、表示されている任意の列でオブジェクトまたはグループの各タイプをソートできます。ページのオブジェクトは、名前または値でフィルタすることもできます。
オブジェクトの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | リストからオブジェクト タイプを選択します(再利用可能オブジェクトの概要を参照)。 |
| ステップ 3 | 編集するオブジェクトの横にある編集アイコン( )をクリックします。
代わりに表示アイコン( |
| ステップ 4 | 必要に応じてオブジェクト設定を変更します。 |
| ステップ 5 | 変数セットを編集する場合は、セット内の変数を管理します(変数の管理を参照)。 |
| ステップ 6 | オーバーライドを許可するように設定できるオブジェクトの場合、次の操作をします。
|
| ステップ 7 | [保存(Save)] をクリックします。 |
| ステップ 8 | 変数セットを編集するときにそのセットがアクセス コントロール ポリシーで使用されている場合、[はい(Yes)] をクリックして変更の保存を確認します。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
オブジェクトまたはオブジェクト グループのフィルタ処理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの導入環境では、現在ドメインと親ドメインで作成されたオブジェクトが表示され、それらをフィルタ処理できます。
オブジェクトのソート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
オブジェクト グループ
オブジェクトをグループ化すると、複数のオブジェクトを 1 つの設定で参照できます。システムでは、Web インターフェイスでオブジェクトおよびオブジェクト グループを交互に使用することができます。たとえば、ポート オブジェクトを使用する場合はいつでも、ポート オブジェクト グループも使用できます。
ネットワーク、ポート、VLAN タグ、URL、および PKI オブジェクトをグループ化できます。
同じタイプのオブジェクトおよびオブジェクト グループには、同じ名前を付けることはできません。マルチドメイン展開では、オブジェクト グループの名前をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。
ポリシーで使用されるオブジェクト グループ(たとえば、アクセス コントロール ポリシーで使用されるネットワーク オブジェクト グループ)を編集する場合、変更を適用するためには、変更後の設定を再展開する必要があります。
グループを削除しても、グループ内のオブジェクトは削除されず、相互の関連性だけが削除されます。さらに、アクティブ ポリシーで使用中のグループは削除できません。たとえば、保存されたアクセス コントロール ポリシーの VLAN 条件で使用している VLAN タグのグループは削除できません。
再利用可能オブジェクトのグループ化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
先祖ドメインから継承したオブジェクトを持つ現在のドメイン内のオブジェクトをグループ化できます。
| ステップ 1 | を選択します。 |
| ステップ 2 | グループ化するオブジェクト タイプが、[ネットワーク(Network)]、[ポート(Port)]、[URL]、[VLAN タグ(VLAN Tag)] の場合は、次のように操作します。 |
| ステップ 3 | グループ化するオブジェクト タイプが [識別名(Distinguished Name)] の場合は、次のように操作します。 |
| ステップ 4 | グループ化するオブジェクト タイプが [PKI] の場合は、次のように操作します。 |
| ステップ 5 | 一意の [名前(Name)] を入力します。 |
| ステップ 6 | リストから 1 つ以上のオブジェクトを選択して、[追加(Add)] をクリックします。
次のことも実行できます。 |
| ステップ 7 | 必要に応じて、[ネットワーク(Network)]、[ポート(Port)]、[URL]、および [VLAN タグ(VLAN Tag)] グループに対し、次の操作を実行します。
|
| ステップ 8 | [保存(Save)] をクリックします。 |
)をクリックするか、検索フィールド内のクリア アイコン(
)をクリックします。
)をクリックします。次の作業
-
アクティブなポリシーがオブジェクト グループを参照する場合は、設定の変更を展開します。設定変更の導入を参照してください。
オブジェクトのオーバーライド
オブジェクトをオーバーライドすることにより、オブジェクトの代替値を定義できます。指定したデバイスに対して、システムはこの代替値を使用します。
ほとんどのデバイスに有効な定義を設定したオブジェクトを作成した後、異なる定義を必要とする少数のデバイスについて、オーバーライドを使用してオブジェクトに対する変更内容を指定できます。また、すべてのデバイスに対してオーバーライドする必要があるオブジェクトを作成し、そのオブジェクトを使用してすべてのデバイスに適用する単一のポリシーを作成することもできます。オブジェクト オーバーライドでは、デバイス全体で使用する共有ポリシーの小さなセットを作成し、個々のデバイスの必要に応じてポリシーを変更できます。
たとえば、社内のさまざまな部門への ICMP トラフィックを拒否する場合があります。それぞれの部門は、異なるネットワークに接続されています。これを実行するには、Departmental Network という名前のネットワーク オブジェクトを含むルールを使用して、アクセス コントロール ポリシーを定義します。このオブジェクトのオーバーライドを許可することによって、関連する各デバイスで、デバイスが接続されている実際のネットワークを指定するオーバーライドを作成できます。
マルチドメイン展開では、先祖ドメインのオブジェクトのデフォルト値を定義して、子孫ドメインの管理者がそのオブジェクトのオーバーライド値を追加できるようにすることができます。たとえば、マネージド セキュリティ サービス プロバイダー(MSSP)では、単一の Firepower Management Center を使用して複数の顧客のネットワーク セキュリティを管理する場合があります。この場合、MSSP の管理者は、すべての顧客の導入で使用するオブジェクトをグローバル ドメインに定義できます。各顧客の管理者は子孫ドメインにログインして、それぞれの組織に応じてそのオブジェクトをオーバーライドできます。これらのローカル管理者が MSSP の他の顧客のオーバーライド値を表示したり、影響を与えたりすることはできません。
オブジェクト オーバーライドのターゲットを特定のドメインに絞ることもできます。その場合、ユーザがデバイス レベルで値をオーバーライドしない限り、システムはターゲット ドメインのすべてのデバイスにオブジェクト オーバーライド値を使用します。
オブジェクト マネージャで、オーバーライド可能なオブジェクトを選択し、そのオブジェクトに対するデバイスレベルまたはドメインレベルのオーバーライドのリストを定義できます。
オブジェクト オーバーライドを使用できるオブジェクト タイプは以下に限られます。
オブジェクト マネージャでは、オーバーライド可能なオブジェクトのオブジェクト タイプには [オーバーライド(Override)] 列が表示されます。この列の有効な値は以下のとおりです。
オブジェクト オーバーライドの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから選択します(再利用可能オブジェクトの概要を参照)。 |
| ステップ 3 | 編集するオブジェクトの横にある編集アイコン()をクリックします。
代わりに表示アイコン( |
| ステップ 4 | オブジェクト オーバーライドを管理します。
|
オブジェクトのオーバーライドの許可
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
次の作業
-
オブジェクトのオーバーライド値を追加します(オブジェクトのオーバーライドの追加 を参照)。
オブジェクトのオーバーライドの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
-
オブジェクトのオーバーライドを許可します(オブジェクトのオーバーライドの許可 を参照)。
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
オブジェクト オーバーライドの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
既存のオーバーライドの説明と値を変更できます。ただし、既存のターゲット リストは変更できません。代わりに、既存のオーバーライドを置き換える、新しいターゲットに対する新しいオーバーライドを追加する必要があります。
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
ネットワーク オブジェクト
ネットワーク オブジェクトは、個別に、またはアドレス ブロックとして指定できる 1 つ以上の IP アドレスを表します。ネットワーク オブジェクトおよびグループを、アクセス コントロール ポリシー、ネットワーク変数、侵入ルール、アイデンティティ ルール、ネットワーク検出ルール、イベント検索、レポートなど、システムの Web インターフェイスのさまざまな場所で使用できます。
ネットワーク オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [ネットワーク(Network)] を選択します。 |
| ステップ 3 | [ネットワークを追加(Add Network)] ドロップダウン メニューで、[オブジェクトの追加(Add Object)] を選択します。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | 必要に応じて、[説明(Description)] を入力します。 |
| ステップ 6 | [ネットワーク(Network)] フィールドに、オブジェクトに追加する IP アドレスまたはアドレス ブロックを入力します。 |
| ステップ 7 | オブジェクトのオーバーライドを管理します。
|
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
ポート オブジェクト
ポート オブジェクトは、異なるプロトコルをそれぞれ少し異なる方法で表します。
- TCP および UDP
-
ポート オブジェクトは、カッコ内にプロトコル番号が記載されたトランスポート層プロトコルと、オプションの関連ポートまたはポート範囲を表します。例:TCP(6)/22。
- ICMP および ICMPv6(IPv6-ICMP)
-
ポート オブジェクトはインターネット層プロトコルと、オプションでタイプおよびコードを表します。例:ICMP(1):3:3
ICMP または IPV6-ICMP ポート オブジェクトは、タイプ、および該当する場合はコードを基準に制限できます。ICMP のタイプとコードの詳細については、次の URL を参照してください。
- その他
-
ポート オブジェクトは、ポートを使用しない他のプロトコルを表します。
Firepower システムには、ウェルノウン ポート用にデフォルトのポート オブジェクトが用意されています。これらのデフォルト オブジェクトを変更または削除することはできません。デフォルト オブジェクトに加え、カスタム ポート オブジェクトを作成できます。
ポート オブジェクトおよびグループは、アクセス コントロール ポリシー、アイデンティティ ルール、ネットワーク検出ルール、ポート変数、イベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、組織が特定のポート範囲を使用するカスタム クライアントを使用していて、システムで過剰なイベントや誤解を与えるイベントが発生した場合、それらのポートをモニタ対象から除外するようネットワーク検出ポリシーを設定できます。
ポート オブジェクトを使用する際は、次のガイドラインに従ってください。
-
アクセス コントロール ルールの送信元ポート条件には TCP/UDP 以外のプロトコルを追加できません。さらに、送信元ポートと宛先ポートの両方のポート条件をルールで設定する場合、トランスポート プロトコルを混在させることはできません。
-
送信元ポート条件で使用されるポート オブジェクト グループにサポート対象外のプロトコルを追加した場合、設定を展開しても、その条件が使用されているルールは管理対象デバイスで適用されません。
-
TCP と UDP の両方のポートを含むポート オブジェクトを作成してから、ルールの送信元ポート条件としてそのポート オブジェクトを追加した場合、宛先ポートを追加することはできません。その逆もまた同様です。
ポート オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [ポート(Port)] を選択します。 |
| ステップ 3 | [ポートの追加(Add Port)] ドロップダウン リストで、[オブジェクトの追加(Add Object)] を選択します。 |
| ステップ 4 | 名前を入力します。 |
| ステップ 5 | [プロトコル(Protocol)] を選択します。 |
| ステップ 6 | 選択したプロトコルに応じて、[ポート(Port)] で制限するか、または ICMP の [タイプ(Type)] および [コード(Code)] を選択します。
1 から 65535 のポートを入力できます。ポート範囲を指定するには、ハイフンを使用します。[すべて(All)] のプロトコルと一致させることを選択した場合は、[その他(Other)] ドロップダウン リストを使用して、ポートでオブジェクトを制限する必要があります。 |
| ステップ 7 | オブジェクトのオーバーライドを管理します。
|
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
セキュリティ ゾーン
セキュリティ ゾーンは、ネットワークをセグメント化してトラフィック フローを制御し、分類しやすくします。セキュリティ ゾーンは単にインターフェイスをグループ化します。これらのグループは複数のデバイスにまたがることがあります。また、単一のデバイスに複数のゾーンを設定することもできます。
セキュリティ ゾーン 内のすべてのインターフェイスが同じタイプ(すべてインライン、パッシブ、スイッチド、ルーテッド、または ASA FirePOWER)である必要があります。セキュリティ ゾーン を作成した後、それに含まれるインターフェイスのタイプを変更することはできません。インターフェイスは 1 つのゾーンだけに属することができます。
オブジェクト マネージャのセキュリティ ゾーンのページでは、管理対象デバイスで設定されているゾーン の一覧が表示されます。また、このページには、各ゾーン のタイプも表示され、各ゾーン を展開すると、どのデバイスのどのインターフェイスが各ゾーン に属するかを表示できます。
モデル固有の注意事項および警告
7000 または 8000 シリーズ デバイスの初期設定時に、システムはデバイス用に選択した検出モードに基づいてセキュリティ ゾーンを作成します。たとえば、パッシブ展開ではシステムはパッシブ ゾーンを作成し、インライン展開では外部ゾーンと内部ゾーンを作成します。Firepower Management Center にデバイスを登録すると、これらのセキュリティ ゾーンが Management Center に追加されます。
ASA FirePOWER セキュリティ コンテキストの変更(シングル コンテキスト モードからマルチ コンテキスト モードへの変更、またはその逆の変更)をすると、割り当てられているセキュリティ ゾーンからデバイスのすべてのインターフェイスがシステムによって削除されます。
ゾーンとマルチテナンシー
マルチドメイン展開では、どのレベルでもセキュリティ ゾーン を作成できます。先祖ドメインで作成されたゾーン には別のドメインのデバイスに存在するインターフェイスが含まれる場合があります。この状況において、オブジェクト マネージャ内の先祖のゾーン の設定を表示するサブドメイン ユーザには、当該ドメインのインターフェイスのみが確認できます。
ロールによって制限されない限り、サブドメインのユーザは先祖ドメインで作成されたゾーン を表示および編集できます。サブドメインのユーザは、これらのゾーン にインターフェイスの追加や削除を行えます。ただし、ゾーン の削除や名称変更はできません。子孫ドメインで作成されたゾーン の表示や編集はできません。
セキュリティ ゾーン オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
 ヒント | 空のセキュリティ ゾーンを作成し、後からインターフェイスを追加できます。インターフェイスを追加するには、インターフェイスに名前が付いている必要があります。 でインターフェイスを設定しているときに、セキュリティ ゾーンを作成することもできます。 |
-
各種セキュリティ ゾーンの使用要件および制限を理解します。セキュリティ ゾーンを参照してください。
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
アプリケーション フィルタ
システム提供のアプリケーション フィルタは、アプリケーションの基本特性(タイプ、リスク、ビジネスとの関連性、カテゴリ、およびタグ)にしたがってアプリケーションを整理することで、アプリケーション制御に役立ちます。オブジェクト マネージャで、システム提供のフィルタの組み合わせやアプリケーションの任意の組み合わせをもとに、ユーザ定義の再利用可能アプリケーション フィルタを作成、管理できます。詳細については、アプリケーション条件(アプリケーション制御)を参照してください。
VLAN タグ オブジェクト
設定した個々の VLAN タグ オブジェクトは、1 つの VLAN タグまたはタグの範囲を表します。
複数の VLAN タグ オブジェクトをグループ化できます。グループは複数のオブジェクトを表します。つまり、1 つのオブジェクトで VLAN タグの範囲を使用することは、この意味ではグループとはみなされません。
VLAN タグ オブジェクトとグループは、ルールやイベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、特定の VLAN だけに適用されるアクセス コントロール ルールを作成することができます。
VLAN タグ オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [VLAN タグ(VLAN Tag)] を選択します。 |
| ステップ 3 | [VLAN タグの追加(Add VLAN Tag)] ドロップダウン リストで、[オブジェクトの追加(Add Object)] を選択します。 |
| ステップ 4 | [名前(Name)] を入力します。 |
| ステップ 5 | [説明(Description)] を入力します。 |
| ステップ 6 | [VLAN タグ(VLAN Tag)] フィールドに値を入力します。VLAN タグの範囲を指定するには、ハイフンを使用します。 |
| ステップ 7 | オブジェクトのオーバーライドを管理します。
|
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
URL オブジェクト
設定した各 URL オブジェクトは、単一の URL または IP アドレスを表します。URL オブジェクトとグループは、アクセス コントロール ポリシーやイベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、特定の Web サイトをブロックするアクセス コントロール ルールを作成することができます。
URL オブジェクトを作成する際に、特に暗号化トラフィックを復号またはブロックする SSL インスペクションを設定しない場合は、次の事項に留意してください。
-
アクセス コントロール ルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。
-
URL 条件を含むアクセス コントロール ルールを使用して Web トラフィックを照合する場合、システムは暗号化プロトコル(HTTP 対 HTTPS)を無視します。つまり、アプリケーション条件を使用してルールを調整しない限り、Web サイトをブロックすると、その Web サイトへの HTTP と HTTPS の両方のトラフィックがブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com/ ではなく、example.com を使用します。
URL オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [URL] を選択します。 |
| ステップ 3 | [URL の追加(Add URL)] ドロップダウン リストで、[オブジェクトの追加(Add Object)] を選択します。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | 必要に応じて、[説明(Description)] を入力します。 |
| ステップ 6 | [URL] に、URL または IP アドレスを入力します。 |
| ステップ 7 | オブジェクトのオーバーライドを管理します。
|
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
地理位置情報オブジェクト
設定済みの位置情報(ジオロケーション)オブジェクトは、モニタ対象ネットワーク上のトラフィックの送信元または宛先としてシステムで識別された 1 つ以上の国または大陸を表します。アクセス コントロール ポリシー、SSL ポリシー、イベント検索など、システムの Web インターフェイスのさまざまな場所で地理位置情報オブジェクトを使用できます。たとえば、特定の国が送信元/宛先であるトラフィックをブロックするアクセス コントロール ルールを作成できます。
常に最新の情報を使用してネットワーク トラフィックをフィルタ処理できるように、地理位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。
地理位置情報オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
変数セット
変数は、侵入ルールで一般的に使用される値を表し、送信元および宛先の IP アドレスおよびポートを識別します。侵入ポリシーで変数を使用して、ルール抑制、アダプティブ プロファイル、および動的(ダイナミック)ルール状態で IP アドレスを表すこともできます。
ヒント | プリプロセッサ ルールは、侵入ルールで使用されるネットワーク変数で定義されたホストにかかわらず、イベントをトリガーできます。 |
変数セットを使用して、変数を管理、カスタマイズ、およびグループ化します。システム提供のデフォルトの変数セットを使用することも、独自のカスタム セットを作成することもできます。いずれのセット内でも、定義済みのデフォルト変数を変更したり、ユーザ定義変数を追加および変更したりできます。
Firepower システムで提供する共有オブジェクト ルールと標準テキスト ルールのほとんどで、定義済みのデフォルト変数を使用してネットワークとポート番号を定義します。たとえば、ルールの大半は、保護されたネットワークを指定するために変数 $HOME_NET を使用して、保護されていない(つまり外部の)ネットワークを指定するために変数 $EXTERNAL_NET を使用します。さらに、特殊なルールでは、他の定義済みの変数がしばしば使用されます。たとえば、Web サーバに対するエクスプロイトを検出するルールは、$HTTP_SERVERS 変数および $HTTP_PORTS 変数を使用します。
ルールがより効率的なのは、変数がユーザのネットワーク環境をより正確に反映する場合です。少なくとも、デフォルト セットにあるデフォルト変数は変更する必要があります。$HOME_NET などの変数がネットワークを正しく定義し、$HTTP_SERVERS にネットワーク上のすべての Web サーバが含まれていれば、処理は最適化され、疑わしいアクティビティがないかどうかすべての関連システムがモニタされます。
変数を使用するには、変数セットをアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションに関連付けられている侵入ポリシーにリンクします。デフォルトでは、デフォルトの変数セットは、アクセス コントロール ポリシーによって使用されるすべての侵入ポリシーにリンクされています。
変数を任意のセットに追加すると、それはすべてのセットに追加されます。つまり、各変数セットは、システムで現在設定されているすべての変数のコレクションになります。どの変数セット内でも、ユーザ定義変数を追加し、任意の変数の値をカスタマイズすることができます。
Firepower システムでは、初めに定義済みのデフォルト値で構成された単一のデフォルトの変数セットを提供します。デフォルト セット内の各変数は、最初はそのデフォルト値に設定されています。定義済みの変数の場合、このデフォルト値は Cisco Talos Security Intelligence and Research Group(Talos) によって設定され、ルール更新で提供される値です。
定義済みのデフォルト変数は、そのデフォルト値に設定されたままにすることもできますが、定義済みの変数のサブセットを変更することを推奨します。
変数はデフォルト セットでのみ使用できますが、多くの場合、1 つ以上のカスタム設定を追加し、異なるセットで異なる変数の値を設定し、場合によっては新しい変数を追加することによって、最大限に活用できます。
複数のセットを使用する場合は、デフォルトのセットにある任意の変数の現在値によって、他のすべてのセットの変数のデフォルト値が決まることに注意してください。
[オブジェクト マネージャ(Object Manager)] ページで [変数セット(Variable Sets)] を選択した場合、オブジェクト マネージャには、デフォルトの変数セットと、作成したすべてのカスタム セットがリストされます。
新しくインストールされたシステムでは、デフォルトの変数セットは、Cisco で定義済みのデフォルト変数だけで構成されています。
各変数セットには、システムによって提供されるデフォルト変数と、任意の変数セットから追加したすべてのカスタム変数が含まれます。デフォルト設定は編集できますが、デフォルト セットの名前を変更したり、削除したりすることはできないことに注意してください。
マルチドメイン展開では、システムはサブドメインごとにデフォルトの変数セットを生成します。
 注意 | アクセス コントロールまたは侵入ポリシーをインポートすると、デフォルトの変数セットにある既存のデフォルト変数が、インポートされたデフォルト変数でオーバーライドされます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。 |
侵入ポリシー内の変数セット
Firepower システムは、デフォルトではアクセス コントロール ポリシーで使用されるすべての侵入ポリシーにデフォルトの変数セットをリンクします。侵入ポリシーを使用するアクセス コントロール ポリシーを展開すると、その侵入ポリシー内で有効にした侵入ルールでは、リンクされた変数セットの変数値が使用されます。
アクセス コントロール ポリシー内の侵入ポリシーで使用されるカスタム変数セットを変更すると、システムの [アクセス コントロール ポリシー(Access Control Policy)] ページで、そのポリシーのステータスが「失効(out-of-date)」と表示されます。変数セットの変更内容を実装するには、アクセス コントロール ポリシーを再度展開する必要があります。デフォルト セットを変更すると、侵入ポリシーを使用するすべてのアクセス コントロール ポリシーのステータスが「失効(out-of-date)」と表示され、変更内容を実装するにはすべてのアクセス コントロール ポリシーを再度展開する必要があります。
変数
- デフォルト変数
-
Firepower システムから提供される変数。デフォルト変数の名前変更または削除はできません。また、デフォルト値を変更することもできません。ただし、デフォルト変数のカスタマイズしたバージョンを作成できます。
- カスタマイズされた変数
-
作成した変数。この変数には、次の変数があります。
-
デフォルト変数の値を編集すると、システムはその変数を [デフォルトの変数(Default Variables)] 領域から [カスタマイズされた変数(Customized Variables)] 領域に移動します。デフォルト セットの変数値によってカスタム セットの変数のデフォルト値が決まるため、デフォルト セットのデフォルト変数をカスタマイズすると、他のすべてのセットの変数のデフォルト値が変更されます。
-
独自の変数を追加および削除したり、異なる変数セット内の値をカスタマイズしたり、カスタマイズされた変数をそのデフォルト値にリセットしたりできます。ユーザ定義変数をリセットすると、それは [カスタマイズされた変数(Customized Variables)] 領域に残ります。
たとえば、カスタム標準テキスト ルールを作成する場合、独自のユーザ定義変数を追加して、トラフィックをより正確に反映したり、ショートカットとしてルール作成プロセスを単純化したりすることもできます。また、「緩衝地帯」(つまり DMZ)でのみトラフィックを検査するルールを作成する場合、公開されているサーバの IP アドレスが値にリストされる $DMZ という変数を作成することもできます。こうして、この地帯で作成された任意のルールで $DMZ 変数を使用できます。
-
- 拡張変数
-
特定の条件下で Firepower システムから提供される変数。この変数が含まれる展開は非常に限定的です。
定義済みデフォルト変数
デフォルトでは、Firepower System は、1 つのデフォルト変数セットを提供します。このセットは、定義済みのデフォルト変数から構成されています。Cisco Talos Security Intelligence and Research Group(Talos) では、ルール更新を使用し、新しい侵入ルールや更新された侵入ルール、他の侵入ポリシー エレメント(デフォルト変数など)を提供します。
システムが提供する侵入ルールの多くが定義済みのデフォルト変数を使用していることから、これらの変数に関する適切な値を設定します。変数セットを使用してネットワーク上のトラフィックを特定する方法によっては、任意またはすべての変数セットにあるこれらのデフォルト変数の値を変更できます。
注意 | アクセス コントロールまたは侵入ポリシーをインポートすると、デフォルトの変数セットにある既存のデフォルト変数が、インポートされたデフォルト変数でオーバーライドされます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。 |
次の表では、システムによって提供される変数について説明し、通常、いずれの変数が変更されるかを示します。変数をご使用のネットワークに合わせて調整する方法を決定するには、プロフェッショナル サービスまたはサポートに問い合わせてください。
ネットワーク変数
ネットワーク変数で表される IP アドレスを、侵入ポリシーで有効にした侵入ルール、侵入ポリシー ルール抑制、動的ルール状態、およびアダプティブ プロファイルで使用することができます。ネットワーク変数とネットワーク オブジェクトおよびネットワーク オブジェクト グループとの相違点として、ネットワーク変数は侵入ポリシーおよび侵入ルールに固有のものです。一方、ネットワーク オブジェクトおよびグループを使用すると、アクセス コントロール ポリシー、ネットワーク変数、侵入ルール、ネットワーク検出ルール、イベント検索、レポートなど、システムの Web インターフェイスのさまざまな場所で IP アドレスを表すことができます。
次の設定でネットワーク変数を使用して、ネットワーク上のホストの IP アドレスを指定できます。
-
侵入ルール:侵入ルールの [送信元 IP(Source IPs)] および [宛先 IP(Destination IPs)] 見出しフィールドを使用すると、パケット インスペクションを、特定の送信元または宛先 IP アドレスを持つパケットに制限することができます。
-
抑制:送信元または宛先の侵入ルール抑制の [ネットワーク(Network)] フィールドを使用すると、特定の 1 つの IP アドレスまたは IP アドレス範囲が侵入ルールやプリプロセッサをトリガーした場合の侵入イベント通知を抑制できます。
-
動的ルール状態:送信元または宛先の動的ルール状態の [ネットワーク(Network)] フィールドを使用すると、指定時間内に発生した侵入ルールやプリプロセッサ ルールの一致数が多すぎる場合に、それを検出できます。
-
アダプティブ プロファイル:アダプティブ プロファイルの [ネットワーク(Networks)] フィールドに、パッシブ展開でパケット フラグメントおよび TCP ストリームのリアセンブルを改善する必要があるホストが示されます。
このセクションで示されるフィールドで変数を使用する場合、侵入ポリシーにリンクされた変数セットは、侵入ポリシーを使用するアクセス コントロール ポリシーで処理されるネットワーク トラフィックでの変数値を決定します。
次のネットワーク設定を任意に組み合わせて変数に追加できます。
-
使用可能なネットワーク リストから選択したネットワーク変数、ネットワーク オブジェクト、およびネットワーク オブジェクト グループの任意の組み合わせ
-
[新規変数(New Variable)] または [変数の編集(Edit Variable)] ページから追加した個々のネットワーク オブジェクト(独自の変数や、他の既存の変数、さらに今後の変数にこれらを追加できます)
-
それぞれを個別に追加することにより、複数のリテラル IP アドレスとアドレス ブロックをリストできます。IPv4 および IPv6 アドレスとアドレス ブロックを単独で、または任意に組み合わせてリストできます。IPv6 アドレスを指定するときには、RFC 4291 で定義された任意のアドレス指定規則を使用できます。
追加する変数での包含ネットワークのデフォルト値は any で、これは任意の IPv4 または IPv6 アドレスを示します。除外ネットワークのデフォルト値は none です。これは「ネットワークなし」を意味します。また、リテラル値の中でアドレス :: を指定すると、包含ネットワーク リストで任意の IPv6 アドレスを指定でき、除外リストでは IPv6 アドレスなしを指定できます。
除外リストにネットワークを追加すると、指定されたアドレスおよびアドレス ブロックが除外されます。つまり、除外された IP アドレスやアドレス ブロックを除き、任意の IP アドレスに一致させることができます。
たとえば、リテラル アドレス 192.168.1.1 を除外すると 192.168.1.1 以外の任意の IP アドレスが指定され、2001:db8:ca2e::fa4c を除外すると 2001:db8:ca2e::fa4c 以外の任意の IP アドレスが指定されます。
リテラル ネットワークまたは使用可能なネットワークを任意に組み合わせて、除外で使用できます。たとえば、リテラル値 192.168.1.1 および 192.168.1.5 を除外すると、192.168.1.1 と 192.168.1.5 以外の任意の IP アドレスが含まれます。つまり、システムはこの構文を「192.168.1.1 でなく、しかも 192.168.1.5 でない」と解釈し、大カッコ内に列挙されたものを除くすべての IP アドレスに一致させます。
ネットワーク変数を追加または編集するときには、次の点に注意してください。
-
論理的に言って、値 any を除外することはできません。any を除外すると「アドレスなし」を意味することになります。たとえば、除外ネットワーク リストに、値 any を持つ変数を追加することはできません。
-
ネットワーク変数は、指定された侵入ルールおよび侵入ポリシー機能に関するトラフィックを識別します。プリプロセッサ ルールは、侵入ルールで使われているネットワーク変数で定義されたホストとは無関係に、イベントをトリガーできることに注意してください。
-
除外される値は、包含される値のサブセットに解決される必要があります。たとえば、アドレス ブロック 192.168.5.0/24 を包含し、192.168.6.0/24 を除外することはできません。
ポート変数
ポート変数は、侵入ポリシーで有効になった侵入ルールの [送信元ポート(Source Port)] および [宛先ポート(Destination Port)] ヘッダー フィールドで使用できる TCP ポートと UDP ポートを表します。ポート変数とポート オブジェクトおよびポート オブジェクト グループとの相違点は、ポート変数が侵入ルール固有のものであることです。TCP や UDP 以外のプロトコル用にポート オブジェクトを作成して、ポート変数、アクセス コントロール ポリシー、ネットワーク検出ルール、イベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。
侵入ルールの [送信元ポート(Source Port)] および [宛先ポート(Destination Port)] ヘッダー フィールドでポート変数を使用すると、パケット インスペクションを特定の送信元または宛先 TCP/UDP ポートを持つパケットに制限することができます。
これらのフィールドで変数を使用した場合、アクセス コントロール ルールまたはポリシーに関連付けられた侵入ポリシーにリンクされる変数セットは、アクセス コントロール ポリシーが展開されるネットワーク トラフィックでのこれらの変数の値を決定します。
-
使用可能なポート リストから選択したポート変数およびポート オブジェクトの任意の組み合わせ
使用可能なポート リストには、ポート オブジェクト グループが表示されず、したがってこれらを変数に追加できないことに注意してください。
-
[新規変数(New Variable)] または [変数の編集(Edit Variable)] ページから追加した個々のポート オブジェクト(独自の変数や、他の既存の変数、さらに今後の変数にこれらを追加できます)
有効な変数値は TCP および UDP ポートのみです(どちらのタイプでも値 any を含む)。新しい変数のページまたは変数の編集ページを使用して、有効な変数値ではない有効なポート オブジェクトを追加した場合、オブジェクトはシステムに追加されますが、使用可能なオブジェクト リストには表示されません。オブジェクト マネージャを使用して、変数で使われるポート オブジェクトを編集する場合、有効な変数値にのみ値を変更できます。
-
ポート範囲はダッシュ(-)を使って区切る必要があります。下位互換性のために、コロンで指定されるポート範囲もサポートされていますが、作成するポート変数ではコロンを使用できません。
ポート変数を追加または編集するときには、次の点に注意してください。
-
追加する変数での包含ポートのデフォルト値は any で、これは任意のポートまたはポート範囲を示します。除外ポートのデフォルト値は none で、これは「ポートなし」を示します。
ヒント
値 any を持つ変数を作成するには、特定の値を追加せずに変数に名前を付けて保存します。
-
論理的に言って、値 any を除外することはできません。any を除外すると「ポートなし」を意味することになります。たとえば、値 any を持つ変数を除外ポート リストに追加した場合、変数セットを保存することはできません。
-
除外リストにポートを追加すると、指定されたポートおよびポート範囲が除外されます。つまり、除外されたポートまたはポート範囲を除き、任意のポートに一致させることができます。
-
除外される値は、包含される値のサブセットに解決される必要があります。たとえば、ポート範囲 10 から 50 を包含し、ポート 60 を除外することはできません。
拡張変数
拡張変数を使用すると、他の方法では Web インターフェイスで設定できない機能を設定することができます。現在、Firepower システムで使用可能な拡張変数は 2 つのみで、そのうち USER_CONF 拡張変数のみ編集可能です。
USER_CONF
USER_CONF は、Web インターフェイスで通常設定できない 1 つ以上の機能を設定するための汎用ツールです。
注意 | 機能の説明またはサポート担当の指示に従う場合を除き、拡張変数 USER_CONF を使用して侵入ポリシー機能を設定しないでください。競合または重複する設定が存在すると、システムが停止します。 |
USER_CONF を編集するときには、1 行に合計 4096 文字まで入力できます。行は自動的に折り返します。変数の最大長 8192 文字、またはディスク スペースなどの物理制限に達するまで、任意の数の有効な指示または行数を含めることができます。コマンド ディレクティブでは、完全な引数の後にバックスラッシュ(\)行連結文字を使用します。
SNORT_BPF
SNORT_BPF はレガシー拡張変数です。バージョン 5.3.0 以降にアップグレードされる前の旧バージョンの Firepower システム ソフトウェアリリースのときにシステムでこの変数が設定された場合にのみ、これが表示されます。この変数は表示または削除のみが可能です。削除後に、編集または復元することはできません。
この変数を使用すると、Berkeley Packet Filter(BPF)を適用して、システムに到達する前のトラフィックをフィルタできました。SNORT_BPF に備わっていたフィルタリング機能を今後も適用するには、この変数の代わりにアクセス コントロール ルールを使用してください。この変数は、システム アップグレード前に存在していた設定でのみ表示されます。
変数のリセット
変数セットの新しい変数ページまたは変数の編集ページで、変数をデフォルト値にリセットできます。次の表に、変数をリセットするときの基本原則を要約します。
カスタム セットの変数をリセットすると、単にデフォルト セット内のその変数の現在値にリセットされます。
逆に、デフォルト セットの変数の値をリセットまたは変更すると、すべてのカスタム セット内のその変数のデフォルト値が常に更新されます。リセット アイコンがグレー表示され、その変数をリセットできないことを示している場合、そのセットでは変数のカスタマイズ値が存在しないことを意味します。カスタム セット内の変数の値をすでにカスタマイズした場合を除き、デフォルト セットの変数を変更すると、変数セットがリンクされた侵入ポリシーで使われている値が更新されます。
(注) | デフォルト セット内の変数を変更するときには、その変更により、リンクされたカスタム セットの変数を使用する侵入ポリシーがどのような影響を受けるか評価するのが適切です(特に、カスタム セット内の変数値をカスタマイズしていない場合)。 |
変数セット内のリセット アイコン(
)の上にポインタを置くと、リセット値を確認できます。カスタマイズされた値とリセット値が同じである場合は、次のいずれかを示しています。
セットに変数を追加する
変数セットに変数を追加すると、他のすべてのセットにもその変数が追加されます。カスタム セットから変数を追加する場合は、設定値をデフォルト セットのカスタマイズ値として使用するかどうかを選択する必要があります。
例:デフォルト セットへのユーザ定義変数の追加
次の図は、値が 192.168.1.0/24 のデフォルト セットにユーザ定義の変数 Var1 を追加した場合のセットのインタラクションを示しています。
任意のセットで Var1 の値をカスタマイズできます。Var1 がカスタマイズされていない Custom Set 2 では、この値は 192.168.1.0/24 です。Custom Set 1 では、Var1 のカスタマイズ値 192.168.2.0/24 はデフォルト値をオーバーライドします。デフォルト セットのユーザ定義変数をリセットすると、すべてのセットのそのデフォルト値が any にリセットされます。
この例では、Custom Set 2 で Var1 を更新しなかった場合、デフォルト セットで Var1 をカスタマイズまたはリセットすると、Custom Set 2 の現在のデフォルト値 Var1 が更新され、変数セットにリンクされているすべての侵入ポリシーに影響を与えることに注意してください。
この例では示されていませんが、セット間のインタラクションは、デフォルト セットのデフォルト変数をリセットすると現在のルール更新で Cisco によって設定された値に、そのデフォルト変数がリセットされること以外は、ユーザ定義変数およびデフォルト変数で同じであることに注意してください。
例:カスタム セットへのユーザ定義変数の追加
次の 2 つの例は、カスタム セットにユーザ定義変数を追加した場合の変数セットのインタラクションについて示しています。新しい変数を保存すると、設定値を他のセットのデフォルト値として使用するかどうかを尋ねるプロンプトが出されます。次の例では、設定値を使用するという選択がなされています。
Custom Set 1 からの Var1 の発信元を除き、この例は Var1 をデフォルト セットに追加した上述の例と同じであることに注意してください。Var1 のカスタマイズ値 192.168.1.0/24 を Custom Set 1 に追加すると、値はデフォルト値 any を持つカスタマイズ値としてデフォルト セットにコピーされます。その後、Var1 の値とインタラクションは、Var1 をデフォルト セットに追加した場合と同じになります。前述の例と同様、デフォルト セットで Var1 をカスタマイズまたはリセットすると、Custom Set 2 の現在のデフォルト値 Var1 が更新され、変数セットにリンクされているすべての侵入ポリシーに影響を与えることに注意してください。
次の例では、前述の例にあるように値が 192.168.1.0/24 の Var1 を Custom Set 1 に追加しますが、Var1 の設定値を他のセットのデフォルト値として使用しないことを選択します。
このアプローチでは、Var1 をデフォルト値 any を持つすべてのセットに追加します。Var1 を追加したら、任意のセットでその値をカスタマイズできます。このアプローチの利点は、デフォルト セットで Var1 を最初にカスタマイズしないことによって、デフォルト セットの値をカスタマイズし、Var1 をカスタマイズしていない Custom Set 2 などのセット内の現在の値を意図せずに変更してしまうリスクが軽減されます。
変数のネスト
循環したネストにならない限り、変数をネストすることができます。否定形の変数をネストすることはできません。
有効なネストされた変数
以下の例では、SMTP_SERVERS、HTTP_SERVERS、OTHER_SERVERS がネストしても有効な変数です。
|
変数 |
タイプ(Type) |
含まれるネットワーク |
除外されるネットワーク |
|---|---|---|---|
|
SMTP_SERVERS |
カスタマイズされたデフォルト |
10.1.1.1 |
— |
|
HTTP_SERVERS |
カスタマイズされたデフォルト |
10.1.1.2 |
— |
|
OTHER_SERVERS |
ユーザ定義 |
10.2.2.0/24 |
— |
|
HOME_NET |
カスタマイズされたデフォルト |
10.1.1.0/24 OTHER_SERVERS |
SMTP_SERVERS HTTP_SERVERS |
無効なネストされた変数
以下の例では、HOME_NET はネストすると無効な変数です。HOME_NET をネストすると、変数の循環になるためです。つまり、OTHER_SERVERS の定義には HOME_NET が含まれるため、HOME_NET はそれ自体でネストすることになります。
|
変数 |
タイプ(Type) |
含まれるネットワーク |
除外されるネットワーク |
|---|---|---|---|
|
SMTP_SERVERS |
カスタマイズされたデフォルト |
10.1.1.1 |
— |
|
HTTP_SERVERS |
カスタマイズされたデフォルト |
10.1.1.2 |
— |
|
OTHER_SERVERS |
ユーザ定義 |
10.2.2.0/24 HOME_NET |
— |
|
HOME_NET |
カスタマイズされたデフォルト |
10.1.1.0/24 OTHER_SERVERS |
SMTP_SERVERS HTTP_SERVERS |
ネストでサポートされない否定形の変数
否定形の変数のネストはサポートされないため、以下の例に示されているように、保護ネットワークの外部にある IP アドレスを表す変数 NONCORE_NET を使用することはできません。
|
変数 |
タイプ(Type) |
含まれるネットワーク |
除外されるネットワーク |
|---|---|---|---|
|
HOME_NET |
カスタマイズされたデフォルト |
10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 |
— |
|
EXTERNAL_NET |
カスタマイズされたデフォルト |
— |
HOME_NET |
|
DMZ_NET |
ユーザ定義 |
10.4.0.0/16 |
— |
|
NOT_DMZ_NET |
ユーザ定義 |
— |
DMZ_NET |
|
NONCORE_NET |
ユーザ定義 |
EXTERNAL_NET NOT_DMZ_NET |
— |
ネストでサポートされない否定形の変数の代替手段
上記の例の代替手段として、以下に示す変数 NONCORE_NET を作成することで、保護ネットワークの外部にある IP アドレスを表すことができます。
|
変数 |
タイプ(Type) |
含まれるネットワーク |
除外されるネットワーク |
|---|---|---|---|
|
HOME_NET |
カスタマイズされたデフォルト |
10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 |
— |
|
DMZ_NET |
ユーザ定義 |
10.4.0.0/16 |
— |
|
NONCORE_NET |
ユーザ定義 |
— |
HOME_NET DMZ_NET |
変数セットの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | オブジェクト タイプのリストから [変数セット(Variable Set)] を選択します。 | ||
| ステップ 3 | 変数セットを管理します。
|
変数セットの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [変数セット(Variable Set)] を選択します。 |
| ステップ 3 | [変数セットの追加(Add Variable Set)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | 必要に応じて、[説明(Description)] を入力します。 |
| ステップ 6 | セット内の変数を管理します(変数の管理を参照)。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
変数の管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | オブジェクト タイプのリストから [変数セット(Variable Set)] を選択します。 | ||
| ステップ 3 | 編集する変数セットの横にある編集アイコン()をクリックします。
| ||
| ステップ 4 | 変数を管理します。
| ||
| ステップ 5 | [保存(Save)] をクリックして、変数セットを保存します。その変数セットがアクセス コントロール ポリシーで使用されている場合は、[はい(Yes)] をクリックして変更を保存することを確認します。
デフォルト セットの現在の値によって他のすべてのセットのデフォルト値が決まるため、デフォルト セットの変数を変更またはリセットすると、デフォルト値がカスタマイズされていない他のセットの現在の値が変更されます。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
変数の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
変数の編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
カスタム変数とデフォルト変数の両方を編集できます。
| ステップ 1 | 変数セット エディタで変更する変数の横にある編集アイコン( )をクリックします。
代わりに表示アイコン( | ||||
| ステップ 2 | 変数を変更します。
| ||||
| ステップ 3 | [保存(Save)] をクリックして変数を保存します。 | ||||
| ステップ 4 | [保存(Save)] をクリックして変数セットを保存します。変数セットがアクセス コントロール ポリシーで使用されている場合、[はい(Yes)] をクリックして変更の保存を確認します。変更内容が保存され、変数セットにリンクされているアクセス コントロール ポリシーに失効ステータスが表示されます。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
セキュリティ インテリジェンスのリストとフィード
セキュリティ インテリジェンスのリストとフィードは、以下を収集することでトラフィックをすばやくフィルタリングするのに役立ちます。
-
IP アドレスとアドレス ブロック:アクセス コントロール ポリシーでセキュリティ インテリジェンスの一部としてブラックリスト化およびホワイトリスト化するのに使用します。
-
ドメイン名:DNS ポリシーでセキュリティ インテリジェンスの一部としてブラックリスト化およびホワイトリスト化するのに使用します。
-
URL:アクセス コントロール ポリシーでセキュリティ インテリジェンスの一部としてブラックリスト化およびホワイトリスト化するのに使用します。また、セキュリティ インテリジェンス後に分析およびトラフィック処理フェーズが実行されるアクセス コントロール ルール ルールで、URL リストを使用することもできます。
一覧
リストは、手動で管理される静的コレクションです。
デフォルトで、アクセス コントロール ポリシーと DNS ポリシーは、セキュリティ インテリジェンスの一部としてグローバル ブラックリストおよびホワイトリストを使用します。[今すぐホワイトリストに登録(Whitelist Now)] および [今すぐブラックリストに登録(Blacklist Now)] アクションを使用することで、再展開することなくセキュリティ インテリジェンス リストを作成して実装できます。[今すぐブラックリストに登録(Blacklist Now)]、[今すぐホワイトリストに登録(Whitelist Now)]、およびグローバル リストを参照してください。
カスタム リストは、フィードやグローバル リストを増補および微調整できます。ただし、カスタム リストを実装するには再展開する必要があります。
フィード
フィードは、HTTP または HTTPS で一定期間更新する動的コレクションです。
定期的に更新される Cisco Intelligence Feed を使用すると、Talos からの最新の脅威インテリジェンスに基づいてネットワーク トラフィックをフィルタリングできます。また、サード パーティのフィードを使用することもできます。あるいは、カスタム内部フィードを使用すると、複数の Firepower Management Center からなる大規模な導入で企業全体のブラックリストを簡単に保守できます。
システムがフィードを更新する際は、変更が伝搬されるまで数分かかりますが、再展開の必要はありません。システムがフィードをインターネットから更新するタイミングを厳密に制御したい場合は、そのフィードの自動更新を無効にすることができます。ただし、自動更新を行えば、最新の関連するデータであることが確実になります。
(注) | システムはカスタム フィードのダウンロード時にピア SSL 証明書の検証を実行しません。また、システムは、証明書のバンドルまたは自己署名証明書を使用したリモート ピアの検証もサポートしていません。 |
リストとフィードの書式設定
各リストまたはフィードは、500MB 未満の単純なテキスト ファイルでなければなりません。リスト ファイルの拡張子は .txt でなければなりません。1 行につきエントリまたはコメントを 1 つ(IP アドレス 1 つ、URL 1 つ、ドメイン名 1 つ)含めます。
ヒント | 含めることができるエントリの数は、ファイルの最大サイズによって制限されます。たとえば、コメントがなく URL の長さの平均が 100 文字(Punycode または Unicode 表現と改行のパーセントを含む)の URL リストには、524 万を超えるエントリを含めることができます。 |
DNS リスト エントリ内では、ドメイン ラベルとしてアスタリスク(*)ワイルドカード文字を指定できます。その場合、すべてのラベルがワイルドカードと一致します。たとえば、www.example.* のエントリは www.example.com と www.example.co の両方に一致します。
ソース ファイル内にコメント行を含める場合は、シャープ(#)文字で開始する必要があります。コメントが含まれるソース ファイルをアップロードすると、システムによってアップロード中にコメントが削除されます。ダウンロードするソース ファイルには、コメントを除くすべてのエントリが含まれます。
システムが破損したフィードまたは認識不能なエントリがあるフィードをダウンロードした場合、システムは古いフィード データを引き続き使用します(これが初回のダウンロードである場合を除く)。ただし、システムがフィード内のエントリを 1 つでも認識できる場合、システムは認識できるエントリを使用します。
- セキュリティ インテリジェンス オブジェクトのクイック リファレンス
- [今すぐブラックリストに登録(Blacklist Now)]、[今すぐホワイトリストに登録(Whitelist Now)]、およびグローバル リスト
- セキュリティ インテリジェンス リストとマルチテナンシー
- セキュリティ インテリジェンス フィードの更新頻度の変更
- カスタム セキュリティ インテリジェンス フィード
- カスタム セキュリティ インテリジェンス リスト
セキュリティ インテリジェンス オブジェクトのクイック リファレンス
|
オブジェクト タイプ(Object Type) |
機能の編集 |
編集後に再度展開しますか? |
|---|---|---|
|
デフォルト(カスタム入力)ホワイトリストとブラックリスト:グローバル、子孫、ドメイン固有 |
コンテキスト メニューを使用してエントリを追加。 オブジェクト マネージャを使用してエントリを削除。 |
エントリを追加後、いいえ。 エントリを削除後、はい。 |
|
カスタム ホワイトリストとブラックリスト |
オブジェクト マネージャを使用して新しいリストと交換リストをアップロード。 |
○ |
|
システム提供インテリジェンス フィード |
オブジェクト マネージャを使用して更新頻度を無効または変更。 |
なし |
|
カスタム フィード |
オブジェクト マネージャを使用して完全に変更。 |
なし |
|
シンクホール |
オブジェクト マネージャを使用して完全に変更。 |
○ |
[今すぐブラックリストに登録(Blacklist Now)]、[今すぐホワイトリストに登録(Whitelist Now)]、およびグローバル リスト
Firepower Management Center のコンテキスト メニュー(コンテキスト メニュー を参照)では、セキュリティ インテリジェンスを使って、すばやくブラックリストやホワイトリストに登録することができます。たとえば、エクスプロイトの試行に関連した侵入イベントでルーティング可能な IP アドレスのセットに気付いた場合、それらの IP アドレスを即座にブラックリストに入れることができます。変更内容が伝達されるまでに数分かかる場合がありますが、再度展開する必要はありません。
[今すぐブラックリストに登録(Blacklist Now)] と [今すぐホワイトリストに登録(Whitelist Now)] のコンテキスト メニュー オプションは、IP アドレス、URL、DNS 要求ホットスポットに使用可能です。コンテキスト メニューでブラックリストまたはホワイトリストに登録すると、選択した項目が該当するデフォルト グローバル リストに追加されます。デフォルトでは、アクセス コントロール ポリシーと DNS ポリシーがすべてのセキュリティ ゾーンに適用されるグローバル リストを使用します。ポリシーごとに、これらのリストを使用しないように選択することができます。
(注) | これらのオプションは、セキュリティ インテリジェンスにのみ適用されます。セキュリティ インテリジェンスは、すでにファースト パスされたトラフィックをブラックリストに登録することはできません。同様に、セキュリティ インテリジェンスでホワイトリストに登録しても、それに一致するトラフィックが自動的に信頼されることもファースト パスされることもありません。詳細については、セキュリティ インテリジェンスについてを参照してください。 |
|
コンテキスト メニュー オプション |
対象項目 |
対象グローバル リスト |
|---|---|---|
|
[今すぐブラックリストに追加(Blacklist Now)] [今すぐホワイトリストに追加(Whitelist Now)] |
IP アドレス |
[グローバル ブラックリスト(Global Blacklist)] [グローバル ホワイトリスト(Global Whitelist)] |
|
[今すぐ URL に HTTP/S 接続をブラックリストする(Blacklist HTTP/S Connections to URL Now)] [今すぐ URL に HTTP/S 接続をホワイトリストする(Whitelist HTTP/S Connections to URL Now)] |
URL |
[URL グローバル ブラックリスト(Global Blacklist for URL)] [URL グローバル ホワイトリスト(Global Whitelist for URL)] |
|
[今すぐドメインに HTTP/S 接続をブラックリストする(Blacklist HTTP/S Connections to Domain Now)] [今すぐドメインに HTTP/S 接続をホワイトリストする(Whitelist HTTP/S Connections to Domain Now)] |
ドメイン全体 |
[URL グローバル ブラックリスト(Global Blacklist for URL)] [URL グローバル ホワイトリスト(Global Whitelist for URL)] |
|
[今すぐドメインに DNS 要求をブラックリストする(Blacklist DNS Requests to Domain Now)] [今すぐドメインに DNS 要求をホワイトリストする(Whitelist DNS Requests to Domain Now)] |
ドメイン全体の DNS 要求 |
[DNS グローバル ブラックリスト(Global Blacklist for DNS)] [DNS グローバル ホワイトリスト(Global Whitelist for DNS)] |
マルチドメイン展開では、グローバル リストだけでなくドメイン リストにも項目を登録することで、ブラックリストやホワイトリストを適用する Firepower システム ドメインを選択することができます。セキュリティ インテリジェンス リストとマルチテナンシーを参照してください。
セキュリティ インテリジェンス リストにエントリを追加すると、アクセス制御に影響が出るため、次のうちいずれか 1 つが必須です。
セキュリティ インテリジェンス リストとマルチテナンシー
マルチドメイン展開では、グローバル ドメインは、グローバルなブラックリストとホワイトリストを所有しています。グローバル リストに対して項目を追加または削除できるのは、グローバル管理者のみです。サブドメイン ユーザがネットワーク、ドメイン名、および URL をホワイトリストとブラックリストに追加できるように、マルチテナンシーでは次のものが追加されます。
ドメイン リスト
グローバル リストに(編集ではなく)アクセスできることに加えて、各サブドメインには独自の名前付きリストがあり、そのコンテンツはそのサブドメインにのみ適用されます。たとえば、Company A という名前のサブドメインは、次のリストを所有するとします。-
ドメイン ブラックリスト - Company A およびドメイン ホワイトリスト - Company A
-
DNS のドメイン ブラックリスト - Company A、および DNS のドメイン ホワイトリスト - Company A
-
URL のドメイン ブラックリスト - Company A、および URL のドメイン ホワイトリスト - Company A
現在のドメインより上位の管理者は、これらのリストに入力できます。コンテキスト メニューを使用して、現在のドメインとすべての子孫ドメインの項目をブラックリストまたはホワイトリストに追加できます。ただし、ドメイン リストから項目を削除できるのは、関連付けられたドメインの管理者のみです。
たとえば、グローバル管理者はグローバル ドメインと Company A のドメインの同じ IP アドレスをブラックリストに追加できますが、それを Company B のドメインのブラックリストには追加できません。このアクションにより、同じ IP アドレスが次のリストに追加されます。
システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。
子孫ドメイン リスト
子孫ドメイン リストは、現在のドメインの子孫のドメイン リストを集約するホワイトリストまたはブラックリストです。リーフ ドメインには、子孫ドメイン リストはありません。
子孫ドメイン リストが便利なのは、上位レベルのドメインの管理者が一般的なセキュリティ インテリジェンス設定を適用できる一方で、サブドメイン ユーザは独自の展開で項目をブラックリストやホワイトリストに追加できるためです。
たとえば、グローバル ドメインには、次の子孫ドメイン リストがあります。
-
子孫ブラックリスト - グローバルおよび子孫のホワイトリスト - グローバル
-
URL の子孫ブラックリスト - グローバル、および子孫の URL のホワイトリスト - グローバル
-
URL の子孫ブラックリスト - グローバル、および子孫の URL のホワイトリスト - グローバル
(注) | 子孫ドメイン リストは、手動で入力されたリストではなく象徴的な集約であるため、オブジェクト マネージャには表示されません。それを使用できる場所、つまり、アクセス コントロール ポリシーと DNS ポリシーに表示されます。 |
セキュリティ インテリジェンス フィードの更新頻度の変更
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
システムが提供するフィードは削除できませんが、更新頻度を変更(または無効に設定)できます。デフォルトで、フィードは 2 時間ごとに更新されます。
マルチドメイン展開では、システムが提供するフィードはグローバルドメインに属し、このドメインの管理者のみが変更できます。ユーザは、各自が使用するドメインに属するカスタムフィードの更新頻度を更新できます。
カスタム セキュリティ インテリジェンス フィード
カスタムまたはサードパーティのセキュリティ インテリジェンス フィードを使用すると、インターネット上で定期的に更新される他の信頼できるホワイトリストおよびブラックリストによって、システムが提供するインテリジェンス フィードを拡張することができます。内部フィードをセットアップすることもできます。これは、1 つのソース リストを使用して導入環境で複数の Firepower Management Center を更新する場合に役立ちます。
(注) | セキュリティ インテリジェンス フィードでは、/0 ネットマスクを使ってアドレス ブロックをホワイトリスト登録またはブラックリスト登録することはできません。ポリシーですべてのトラフィックをモニタまたはブロックする場合は、[モニタ(Monitor)] または [ブロック(Block)] ルール アクションを含むアクセス コントロール ルールを使用し、デフォルト値 any を [送信元ネットワーク(Source Networks)] および [宛先ネットワーク(Destination Networks)] それぞれに設定します。 |
フィードを設定する場合は、URL を使用して場所を指定します。この URL は Punycode によりエンコードできません。デフォルトで、システムは設定した間隔でフィード ソース全体をダウンロードし、管理対象デバイスを自動更新します。
md5 チェックサムを使用して、更新フィードをダウンロードするかどうか判断するようにシステムを設定することもできます。システムが最後にフィードをダウンロードした後にチェックサムが変更されていない場合、再ダウンロードする必要はありません。特に内部フィードが大きい場合には、md5 チェックサムを使用することができます。md5 チェックサムは、チェックサムのみを含む単純なテキスト ファイルに保存する必要があります。コメントはサポートされていません。
手動でセキュリティ インテリジェンス フィードを更新すると、インテリジェンス フィードを含め、すべてのフィードが更新されます。
セキュリティ インテリジェンス フィードの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [セキュリティ インテリジェンス(Security Intelligence)] ノードを展開し、追加するフィード タイプを選択します。 |
| ステップ 3 | 上記で選択したフィード タイプに適したオプションをクリックします。 |
| ステップ 4 | フィードの名前を [名前(Name)] に入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [タイプ(Type)] ドロップダウンリストから [フィード(Feed)] を選択します。 |
| ステップ 6 | [フィード URL(Feed URL)] を入力します。 |
| ステップ 7 | オプションで、[MD5 URL] を入力します。 |
| ステップ 8 | [更新頻度(Update Frequency)] を選択します。 |
| ステップ 9 | [保存(Save)] をクリックします。 フィードの更新を無効にした場合を除き、システムはフィードをダウンロードして検証しようとします。 |
手動によるセキュリティ インテリジェンス フィードの更新
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(セキュリティ インテリジェンス) |
保護(セキュリティ インテリジェンス) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
フィードの更新をダウンロードして検証した後、Firepower Management Center はすべての変更内容を管理対象デバイスに通知します。導入環境では、更新されたフィードを使用してトラフィックのフィルタリングが開始されます。
カスタム セキュリティ インテリジェンス リスト
セキュリティ インテリジェンス リストは、IP アドレス、アドレス ブロック、URL、またはドメイン名の単純なスタティック リストで、ユーザがシステムに手動でアップロードします。カスタム リストは、単一の Firepower Management Center の管理対象デバイスで、フィードやグローバル リストの 1 つを増やしたり、微調整したりする場合に役立ちます。
たとえば、信頼できるフィードが重要なリソースへのアクセスを誤ってブロックしているものの、このフィードが全体的に部門にとって有用である場合、IP アドレス フィード オブジェクトをアクセス コントロール ポリシーのブラックリストから削除する代わりに、誤って分類された IP アドレスだけが含まれるカスタム ホワイトリストを作成できます。
(注) | セキュリティ インテリジェンス リストでは、/0 ネットマスクを使ってアドレス ブロックをホワイトリスト登録またはブラックリスト登録することはできません。ポリシーですべてのトラフィックをモニタまたはブロックする場合は、[モニタ(Monitor)] または [ブロック(Block)] ルール アクションを含むアクセス コントロール ルールを使用し、デフォルト値 any を [送信元ネットワーク(Source Networks)] および [宛先ネットワーク(Destination Networks)] それぞれに設定します。 |
リスト エントリのフォーマットについて、次の点に注意してください。
-
アドレス ブロックのネットマスクは、IPv4 および IPv6 の場合、それぞれ 0 から 32、または 0 から 128 までの整数になります。
-
ドメイン名に含まれる Unicode は Punycode 形式でエンコードされる必要があります。大文字と小文字は区別されません。
-
ドメイン名の文字の大文字と小文字は区別されません。
-
URL に含まれる Unicode はパーセントエンコーディング形式でエンコードする必要があります。
-
URL サブディレクトリの文字の大文字と小文字は区別されます。
-
シャープ記号(#)で始まるリスト エントリは、コメントと見なされます。
リスト エントリの照合について、次の点に注意してください。
-
URL または DNS リストにより高位レベルのドメインが存在する場合、システムはそれより低いレベルのドメインを一致とします。たとえば、DNS リストに example.com を追加すると、システムは www.example.com と test.example.com の両方を一致とします。
-
システムは DNS または URL リスト エントリに対して DNS ルックアップを(フォワード ルックアップ、リバース ルックアップともに)行いません。たとえば、URL リストに http://192.168.0.2 を追加し、これがルックアップすれば http://www.example.com であったとします。この場合、システムは http://192.168.0.2 のみ一致とし、http://www.example.com は一致となりません。
-
URL リストに末尾がスラッシュ(/)記号で終わる URL を追加した場合、そのエントリに一致するのは完全に一致する URL のみとなります。
-
URL または DNS リストに末尾にスラッシュ記号のない URL を追加した場合、そのエントリと同じプレフィックスを持つ URL は一致となります。たとえば、URL リストに www.example.com を追加すると、システムは www.example.com と www.example.com/example の両方を一致とします。
新しいセキュリティ インテリジェンス リストの Firepower Management Center へのアップロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
セキュリティ インテリジェンス リストを変更するには、ソース ファイルを変更して、新しいコピーをアップロードする必要があります。Web インターフェイスを使用してファイルの内容を変更することはできません。ソース ファイルへのアクセス権がない場合は、システムからコピーをダウンロードします。
| ステップ 1 | を選択します。 |
| ステップ 2 | [セキュリティ インテリジェンス(Security Intelligence)] ノードを展開し、リストのタイプを選択します。 |
| ステップ 3 | 上記の手順で選択したリストに該当するオプションをクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [タイプ(Type)] ドロップダウン リストから、[リスト(List)] を選択します。 |
| ステップ 6 | [参照(Browse)] をクリックしてリストの .txt ファイルを位置指定し、[アップロード(Upload)] をクリックします。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
セキュリティ インテリジェンス リストの更新
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [セキュリティ インテリジェンス(Security Intelligence)] ノードを展開し、リストのタイプを選択します。 |
| ステップ 3 | 更新するリストの横にある編集アイコン()をクリックします。
|
| ステップ 4 | 編集するリストのコピーが必要な場合、[ダウンロード(Download)] をクリックし、ブラウザのプロンプトに従ってリストをテキスト ファイルとして保存します。 |
| ステップ 5 | 必要に応じてリストを変更します。 |
| ステップ 6 | [セキュリティ インテリジェンス(Security Intelligence)] ポップアップ ウィンドウで、[参照(Browse)] をクリックして、変更されたリストを参照し、[アップロード(Upload)] をクリックします。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
シンクホール オブジェクト
シンクホール オブジェクトとは、シンクホール内のすべてのドメイン名のルーティング不可アドレスか、またはサーバに解決されない IP アドレスのいずれかを付与する DNS サーバを表します。DNS ポリシー ルール内のシンクホール オブジェクトを参照して、一致するトラフィックをシンクホールにリダイレクトすることができます。オブジェクトには、IPv4 アドレスと IPv6 アドレスの両方を割り当てる必要があります。
シンクホール オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [シンクホール(Sinkhole)] を選択します。 |
| ステップ 3 | [シンクホールの追加(Add Sinkhole)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | シンクホールの [IPv4 アドレス(IPv4 Address)] と [IPv6 アドレス(IPv6 Address)] を入力します。 |
| ステップ 6 | 次の選択肢があります。 |
| ステップ 7 | 侵入の痕跡(IoC)のタイプをシンクホールに割り当てるには、[タイプ(Type)] ドロップダウンからいずれかのタイプを選択します。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
ファイル リスト
AMP for Firepower を使用しており、AMP クラウドがファイルの性質を誤って特定した場合は、このファイルをファイル リストに追加して、今後さらに検出できます。このファイルは、SHA-256 ハッシュ値を使用して指定されます。各ファイル リストには、一意の SHA-256 値を最大 10000 個まで含めることができます。
ファイル リストには 2 種類の事前定義済みカテゴリがあります。
- クリーン リスト
-
このリストにファイルを追加すると、システムは AMP クラウドがクリーンな性質を割り当てた場合と同様にファイルを扱います。
- カスタム検出リスト
-
このリストにファイルを追加すると、システムは AMP クラウドがマルウェアの性質を割り当てた場合と同様にファイルを扱います。
マルチドメイン展開では、各ドメインにクリーン リストとカスタム検出リストが存在します。下位レベルのドメインでは、先祖のリストを表示できますが、変更できません。
これらのリストに含まれているファイルに手動でブロッキング動作を指定するため、システムはこれらのファイルの性質について AMP クラウドに照会しません。ファイルの SHA 値を計算するには、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)] アクションと [マルウェア ブロック(Block Malware)] アクションのどちらか、および一致するファイル タイプを使用して、ファイル ポリシー内のルールを設定する必要があります。
注意 | クリーン リストにマルウェアを含めないでください。クリーン リストによって、AMP クラウドおよびカスタム検出リストの両方がオーバーライドされます。 |
- ファイル リストのソース ファイル
- ファイル リスト別の SHA-256 値の追加
- ファイル リストへの個々のファイルのアップロード
- ファイル リストへのソース ファイルのアップロード
- ファイル リストの SHA-256 値の編集
- ファイル リストからのソース ファイルのダウンロード
ファイル リストのソース ファイル
SHA-256 値のリストと説明を含むコンマ区切り値(CSV)ソース ファイルをアップロードすることによって、複数の SHA-256 値をファイル リストに追加できます。Firepower Management Center はその内容を検証し、有効な SHA-256 値をファイル リストに入れます。
ソース ファイルは、ファイル名拡張子 .csv の単純なテキスト ファイルである必要があります。見出しはポンド記号(#)で始まる必要があります。これはコメントとして処理され、アップロードされません。各エントリには、1 つの SHA-256 値の後に説明が含まれる必要があり、LF または CR+LF 改行文字で終わる必要があります。システムはエントリ内のこれ以外の情報をすべて無視します。
-
ファイル リストからソース ファイルを削除すると、それに関連付けられているすべての SHA-256 ハッシュもファイル リストから削除されます。
-
ソース ファイルのアップロードに成功した結果、10000 個を超える個別の SHA-256 値がファイル リストに含まれる場合は、複数のファイルをファイル リストにアップロードすることはできません。
-
システムは、アップロード時に 256 文字を超える説明を最初の 256 文字で切り捨てます。説明にコンマを含める場合は、エスケープ文字(\)を使用する必要があります。説明が含まれていない場合、代わりにソース ファイル名が使用されます。
-
重複しないすべての SHA-256 値がこのファイル リストに追加されます。すでにファイル リストに存在する SHA-256 値を含むソース ファイルをアップロードした場合、新しくアップロードされた値によって既存の SHA‑-256 値が変更されることはありません。SHA-256 値に関連するキャプチャ済みファイル、ファイル イベント、またはマルウェア イベントを表示するとき、個々の SHA-256 値から脅威名または説明が得られます。
-
アップロードされた複数のソース ファイル内に同じ SHA‑-256 値に関するエントリが含まれる場合、システムは最も新しい値を使用します。
-
オブジェクト マネージャ内でソース ファイルを直接編集することはできません。変更を行うには、最初にソース ファイルを直接変更し、システム上のコピーを削除した後、変更済みソース ファイルをアップロードする必要があります。
-
ソース ファイルに関連付けられたエントリ数とは、個別の SHA-256 値の数です。ファイル リストからソース ファイルを削除すると、ファイル リストに含まれる SHA-256 エントリの合計数は、ソース ファイル内の有効なエントリ数だけ減少します。
ファイル リスト別の SHA-256 値の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
Firepower |
任意(Any) |
Admin/Network Admin/Access Admin |
ファイルの SHA-256 値を送信して、それをファイル リストに追加できます。重複する SHA-256 値は追加できません。
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [ファイル リスト(File List)] を選択します。 |
| ステップ 3 | ファイルの追加場所となるクリーン リストまたはカスタム検出リストの横の編集アイコン()をクリックします。
代わりに表示アイコン( |
| ステップ 4 | [追加元(Add by)] ドロップダウンリストから [SHA 値の入力(Enter SHA Value)] を選択します。 |
| ステップ 5 | [説明(Description)] フィールドにソース ファイルの説明を入力します。 |
| ステップ 6 | [SHA-256] フィールドにファイル全体の値を入力し、または貼り付けます。システムでは値の部分的な一致はサポートされません。 |
| ステップ 7 | [追加(Add)] をクリックします。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
(注) | 設定の変更が展開されたら、システムはそのリストのファイルについて AMP クラウドに問い合わせなくなります。 |
ファイル リストへの個々のファイルのアップロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
ファイル リストに追加するファイルのコピーがある場合、分析用にファイルを Firepower Management Center にアップロードできます。システムはファイルの SHA-256 値を計算し、ファイルをリストに追加します。SHA-256 を計算するとき、システムはファイル サイズを制限しません。
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [ファイル リスト(File List)] を選択します。 |
| ステップ 3 | ファイルの追加場所となるクリーン リストまたはカスタム検出リストの横の編集アイコン()をクリックします。
代わりに表示アイコン( |
| ステップ 4 | [追加(Add by)] ドロップダウン リストから、[SHA の計算(Calculate SHA)] を選択します。 |
| ステップ 5 | オプションで、[説明(Description)] フィールドにファイルの説明を入力します。説明を入力しない場合、アップロード時にファイル名が説明として使用されます。 |
| ステップ 6 | [参照(Browse)] をクリックし、アップロードするファイルを選択します。 |
| ステップ 7 | [SHA の計算と追加(Calculate and Add SHA)] をクリックします。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
(注) | 設定の変更を導入すると、その後システムはそのリストのファイルを AMP クラウドでクエリしなくなります。 |
ファイル リストへのソース ファイルのアップロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [ファイル リスト(File List)] をクリックします。 |
| ステップ 3 | ソース ファイルからの値の追加先となるファイル リストの横にある編集アイコン()をクリックします。
代わりに表示アイコン( |
| ステップ 4 | [追加方法(Add by)] ドロップダウン リストで [SHA のリスト(List of SHAs)] を選択します。 |
| ステップ 5 | オプションで、[説明(Description)] フィールドにソース ファイルの説明を入力します。説明を入力しない場合、システムはファイル名を使用します。 |
| ステップ 6 | [参照(Browse)] をクリックしてソース ファイルを参照してから、[リストのアップロードと追加(Upload and Add List)] をクリックします。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
(注) | ポリシーを展開したら、システムはそのリストのファイルについて AMP クラウドに問い合わせなくなります。 |
ファイル リストの SHA-256 値の編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
ファイル リストの個々の SHA‑256 値を編集または削除することができます。オブジェクト マネージャ内でソース ファイルを直接編集できないことに注意してください。変更を行うには、最初にソース ファイルを直接変更し、システム上のコピーを削除した後、変更済みソース ファイルをアップロードする必要があります。
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
(注) | 設定の変更が展開されたら、システムはそのリストのファイルについて AMP クラウドに問い合わせなくなります。 |
ファイル リストからのソース ファイルのダウンロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
マルウェア |
マルウェア |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [ファイル リスト(File List)] を選択します。 |
| ステップ 3 | ソース ファイルのダウンロード対象となるクリーン リストまたはカスタム検出リストの横の編集アイコン()をクリックします。
代わりに表示アイコン( |
| ステップ 4 | ダウンロードするソース ファイルの横にある表示アイコン( )をクリックします。 |
| ステップ 5 | [SHA リストのダウンロード(Download SHA List)] をクリックし、プロンプトに従ってソース ファイルを保存します。 |
| ステップ 6 | [閉じる(Close)] をクリックします。 |
暗号スイート リスト
暗号スイート リストは複数の暗号スイートからなるオブジェクトです。定義済み暗号スイートの値は、SSL または TLS 暗号化セッションのネゴシエートに使われる暗号スイートを表しています。暗号スイートおよび暗号スイート リストを SSL ルールで使用すると、クライアントとサーバが暗号スイートを使って SSL セッションをネゴシエートしたかどうかに基づいて暗号化トラフィックを制御できます。SSL ルールに暗号スイート リストを追加すると、リスト内のいずれかの暗号スイートでネゴシエートされた SSL セッションがルールに一致します。
(注) | Web インターフェイスでは暗号スイート リストと同じ場所で暗号スイートを使用できますが、暗号スイートを追加、変更、削除することはできません。 |
暗号スイート リストの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | オブジェクト タイプのリストから [暗号スイート リスト(Cipher Suite List)] を選択します。 |
| ステップ 3 | [暗号スイートの追加(Add Cipher Suites)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [使用可能な暗号(Available Ciphers)] リストから、1 つ以上の暗号スイートを選択します。 |
| ステップ 6 | [追加(Add)] をクリックします。 |
| ステップ 7 | オプションで、[選択された暗号(Selected Ciphers)] リストで、削除する暗号スイートの隣にある削除アイコン( )をクリックします。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
識別名オブジェクト
それぞれの識別名オブジェクトは、公開鍵証明書のサブジェクトまたは発行元にリストされた識別名を表します。SSL ルールで識別名オブジェクトとグループを使用すると、サブジェクトまたは発行元として識別名を含むサーバ証明書を使ってクライアントとサーバが SSL セッションをネゴシエートしたかどうかに基づき、暗号化トラフィックを制御できます。
識別名オブジェクトには、共通名属性(CN)を含めることができます。「CN=」なしで共通名を追加すると、システムはオブジェクトを保存する前に「CN=」を追加します。
さらに、次の表に示す属性を含む識別名を追加することもできます。属性はカンマで区切って使用します。
ワイルドカードとして 1 つ以上のアスタリスク(*)を属性に定義できます。共通名属性では、ドメイン名ラベルごとに 1 つ以上のアスタリスクを定義できます。ワイルド カードはそのラベル内でのみ照合されますが、ワイルド カードを使用して複数のラベルを定義できます。例については、以下の表を参照してください。
識別名オブジェクトの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [識別名(Distinguished Name)] ノードを展開し、[個別オブジェクト(Individual Objects)] を選択します。 |
| ステップ 3 | [識別名の追加(Add Distinguished Name)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [DN] フィールドに、識別名または共通名の値を入力します。次の選択肢があります。
|
| ステップ 6 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
PKI オブジェクト
SSL アプリケーションの PKI オブジェクト
PKI オブジェクトは、導入をサポートするために必要な公開鍵証明書、およびペアになった秘密鍵を表します。内部 CA オブジェクトおよび信頼できる CA オブジェクトは、認証局(CA)証明書で構成されます。また、内部 CA オブジェクトには、証明書とペアになった秘密鍵も含まれます。内部証明書オブジェクトおよび外部証明書オブジェクトは、サーバ証明書で構成されます。また、内部証明書オブジェクトには、証明書とペアになった秘密鍵も含まれます。
信頼できる認証局オブジェクトと内部証明書オブジェクトを使用して ISE への接続を設定する場合、ISE をアイデンティティ ソースとして使用できます。
内部証明書オブジェクトを使用してキャプティブ ポータルを設定する場合、システムはキャプティブ ポータル デバイスがユーザの Web ブラウザに接続する際に、デバイスのアイデンティティを検証できます。
信頼できる認証局オブジェクトを使用してレルムを設定する場合、LDAP または AD サーバへのセキュア接続を設定できます。
SSL ルールで PKI オブジェクトを使用する場合、以下のものを使用して暗号化されたトラフィックを照合することができます。
SSL ルールで PKI オブジェクトを使用する場合、以下のものを復号できます。
証明書とキーの情報を手動で入力し、その情報を含むファイルをアップロードします。場合によっては、新しい CA 証明書や秘密キーを生成することができます。
オブジェクト マネージャで PKI オブジェクトのリストを表示すると、システムは証明書のサブジェクト識別名をオブジェクト値として表示します。証明書の完全なサブジェクト識別名を表示するには、値の上にポインタを移動してください。証明書に関する他の詳細を表示するには、PKI オブジェクトを編集します。
(注) | Firepower Management Center および管理対象デバイスは、内部 CA オブジェクトと内部証明書オブジェクトに保存されるすべての秘密キーを、保存前にランダムに生成されたキーを使って暗号化します。パスワード保護されている秘密キーをアップロードすると、アプライアンスはユーザ提供のパスワードを使って秘密キーを復号し、ランダムに生成されたキーを使ってそれを再暗号化してから保存します。 |
内部認証局オブジェクト
設定されたそれぞれの内部認証局(CA)オブジェクトは、組織で制御される CA の CA 公開鍵証明書を表します。このオブジェクトは、オブジェクト名、CA 証明書、およびペアになった秘密鍵からなります。SSL ルールで内部 CA オブジェクトとグループを使用すると、内部 CA によってサーバ証明書に再署名することにより、発信する暗号化トラフィックを復号できます。
(注) | [復号 - 再署名(Decrypt - Resign)] SSL ルールで内部 CA オブジェクトを参照する場合、ルールが暗号化セッションに一致すると、SSL ハンドシェイクのネゴシエート中は証明書を信頼できないという警告がユーザのブラウザに表示されることがあります。これを回避するには、信頼できるルート証明書のクライアントまたはドメイン リストに内部 CA オブジェクト証明書を追加します。 |
署名付き証明書を含む内部 CA オブジェクトを作成した後で、CA 証明書と秘密鍵をダウンロードできるようになります。システムは、ダウンロードされた証明書と秘密キーをユーザ提供のパスワードで暗号化します。
システムで生成された場合でも、ユーザによって作成された場合でも、内部 CA オブジェクトの名前は変更できますが、他のオブジェクト プロパティは変更できません。
使用中の内部 CA オブジェクトは削除できません。さらに、SSL ポリシーで使用される内部 CA オブジェクトを編集すると、関連するアクセス コントロール ポリシーが失効します。変更を反映させるには、アクセス コントロール ポリシーを再度展開する必要があります。
- CA 証明書と秘密キーのインポート
- CA 証明書と秘密キーのインポート
- CA 証明書および秘密キーの生成
- 新しい署名付き証明書
- 未署名の CA 証明書と CSR の作成
- CSR への応答として発行された署名付き証明書のアップロード
- CA 証明書および秘密キーのダウンロード
- CA 証明書と秘密キーのダウンロード
CA 証明書と秘密キーのインポート
X.509 v3 CA 証明書と秘密キーをインポートすることによって、内部 CA オブジェクトを設定できます。サポートされる次のいずれかの形式でエンコードされたファイルをアップロードできます。
秘密キー ファイルがパスワード保護されている場合は、復号パスワードを提供できます。証明書とキーが PEM 形式でエンコードされている場合は、情報をコピーして貼り付けることもできます。
適切な証明書またはキーの情報を含んでいる、相互にペアになっているファイルのみをアップロードできます。システムはオブジェクトを保存する前にペアを検証します。
(注) | ルールに [復号 - 再署名(Decrypt - Resign)] アクションを設定すると、そのルールでは、設定されているルール条件に加えて、参照される内部 CA 証明書の暗号化アルゴリズムのタイプに基づいてトラフィックが照合されます。たとえば、楕円曲線ベースのアルゴリズムで暗号化された発信トラフィックを復号するには、楕円曲線ベースの CA 証明書をアップロードする必要があります。 |
CA 証明書と秘密キーのインポート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開して、[内部 CA(Internal CAs)] を選択します。 |
| ステップ 3 | [CA のインポート(Import CA)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [証明書データ(Certificate Data)] フィールドの上部にある [参照(Browse)] をクリックして、DER または PEM でエンコードされた X.509 v3 CA 証明書ファイルをアップロードします。 |
| ステップ 6 | [キー(Key)] フィールドの上部にある [参照(Browse)] をクリックして、DER または PEM でエンコードされたペアの秘密キー ファイルをアップロードします。 |
| ステップ 7 | アップロード ファイルがパスワード保護されている場合は、[暗号化および次のパスワード:(Encrypted, and the password is:)] チェックボックスをオンにして、パスワードを入力します。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
CA 証明書および秘密キーの生成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
識別情報を提供することで、RSA ベースの自己署名 CA 証明書と秘密キーを生成するように内部 CA オブジェクトを設定できます。
生成される CA 証明書の有効期間は 10 年です。[有効期間の開始(Valid From)] の日付は、生成の一週間前です。
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
新しい署名付き証明書
署名付き証明書を CA から取得することによって、内部 CA オブジェクトを設定できます。これは、次の 2 段階からなります。
未署名の CA 証明書と CSR の作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[内部 CA(Internal CAs)] を選択します。 |
| ステップ 3 | [CA の生成(Generate CA)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | ID 属性を入力します。 |
| ステップ 6 | [CSR の作成(Generate CSR)] をクリックします。 |
| ステップ 7 | CA に送信するために CSR をコピーします。 |
| ステップ 8 | [OK] をクリックします。 |
次の作業
-
CA によって発行される署名済み証明書をアップロードする必要があります。次のページを参照してください。 CSR への応答として発行された署名付き証明書のアップロード
CSR への応答として発行された署名付き証明書のアップロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
一度アップロードすると、署名付き証明書は SSL ルールで参照できます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[内部 CA(Internal CAs)] を選択します。 |
| ステップ 3 | CSR を待機している未署名の証明書を含む CA オブジェクトの横の編集アイコン()をクリックします。 |
| ステップ 4 | [証明書のインストール(Install Certificate)] をクリックします。 |
| ステップ 5 | [参照(Browse)] をクリックして、DER または PEM でエンコードされた X.509 v3 CA 証明書ファイルをアップロードします。 |
| ステップ 6 | アップロード ファイルがパスワード保護されている場合は、[暗号化済み、パスワード:(Encrypted, and the password is:)] チェック ボックスをオンにして、パスワードを入力します。 |
| ステップ 7 | [保存(Save)] をクリックして、CA オブジェクトに署名付き証明書をアップロードします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
CA 証明書および秘密キーのダウンロード
証明書および鍵の情報を含むファイルを内部 CA オブジェクトからダウンロードすることにより、CA 証明書およびペアになった秘密鍵をバックアップまたは転送できます。
注意 | ダウンロードされた鍵情報は必ず安全な場所に保存してください。 |
システムは、内部 CA オブジェクトに保存されている秘密鍵をディスクに保存する前に、ランダムに生成された鍵を使って暗号化します。証明書および秘密鍵を内部 CA オブジェクトからダウンロードすると、システムはまず情報を復号してから、証明書および秘密鍵の情報を含むファイルを作成します。その後、ダウンロード ファイルを暗号化するためにシステムで使われるパスワードを提供する必要があります。
注意 | システム バックアップの一部としてダウンロードされる秘密鍵は、復号されてから、非暗号化バックアップ ファイルに保存されます。 |
CA 証明書と秘密キーのダウンロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
現在のドメインおよび先祖ドメインの両方の CA 証明書をダウンロードできます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[内部 CA(Internal CAs)] を選択します。 |
| ステップ 3 | 証明書および秘密キーをダウンロードする対象となる内部 CA オブジェクトの横の編集アイコン()をクリックします。
マルチドメイン導入では、表示アイコン( |
| ステップ 4 | [ダウンロード(Download)] をクリックします。 |
| ステップ 5 | [パスワード(Password)] および [パスワードの確認(Confirm Password)] フィールドに、暗号化パスワードを入力します。 |
| ステップ 6 | [OK] をクリックします。 |
信頼できる認証局オブジェクト
設定した信頼できる認証局(CA)オブジェクトは、それぞれ信頼できる CA に属する CA 公開鍵証明書を表します。このオブジェクトは、オブジェクト名と CA 公開鍵証明書からなります。次のものに設定された外部 CA オブジェクトとグループを使用できます。
-
信頼できる CA、または信頼チェーン内のいずれかの CA によって署名された証明書で暗号化されたトラフィックを制御するための SSL ポリシー。
-
LDAP または AD サーバへのセキュアな接続を確立するためのレルムの設定。
ISE 接続。[pxGrid サーバ CA(pxGrid Server CA)] フィールドと [MNT サーバ CA(MNT Server CA)] フィールドで信頼できる認証局オブジェクトを選択します。
信頼できる CA オブジェクトを作成した後で、その名前を変更したり、証明書失効リスト(CRL)を追加したりすることはできますが、他のオブジェクト プロパティを変更することはできません。オブジェクトに追加できる CRL の数には制限がありません。オブジェクトにアップロード済みの CRL を変更するには、オブジェクトをいったん削除して再作成する必要があります。
(注) | オブジェクトに CRL を追加しても、ISE の統合設定でオブジェクト使用する際に影響はありません。 |
使用中の信頼できる CA オブジェクトを削除することはできません。また、使用中の信頼できる CA オブジェクトを編集すると、関連付けられているアクセス コントロール ポリシーが最新ではなくなります。変更を反映させるには、アクセス コントロール ポリシーを再度展開する必要があります。
信頼できる CA オブジェクト
外部 CA オブジェクトは、X.509 v3 CA 証明書をアップロードすることによって設定できます。次のサポートされている形式のいずれかでエンコードしたファイルをアップロードできます。
ファイルがパスワードで保護されている場合は、復号パスワードを提供する必要があります。証明書が PEM 形式でエンコードされている場合は、情報をコピーして貼り付けることもできます。
ファイルに適切な証明書情報が含まれる場合にのみ、CA 証明書をアップロードできます。システムはオブジェクトを保存する前に証明書を検証します。
信頼できる CA オブジェクトの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[信頼できる CA(Trusted CAs)] を選択します。 |
| ステップ 3 | [信頼できる CA の追加(Add Trusted CAs)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [参照(Browse)] をクリックして、DER または PEM でエンコードされた X.509 v3 CA 証明書ファイルをアップロードします。 |
| ステップ 6 | ファイルがパスワード保護されている場合は、[暗号化、パスワード:(Encrypted, and the password is:)] チェックボックスをオンにして、パスワードを入力します。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
信頼できる CA オブジェクトの証明書失効リスト
信頼できる CA オブジェクトに CRL をアップロードできます。信頼できる CA オブジェクトを SSL ポリシーの中で参照すると、セッションの暗号化証明書を発行した CA がその後で証明書を取り消したかどうかに基づいて、暗号化されたトラフィックを制御できます。サポートされる次のいずれかの形式でエンコードされたファイルをアップロードできます。
CRL を追加した後、失効した証明書のリストを表示することができます。オブジェクトにアップロード済みの CRL を変更するには、オブジェクトをいったん削除して再作成する必要があります。
適切な CRL を含んでいるファイルのみをアップロードできます。信頼できる CA オブジェクトに追加できる CRL の数には制限がありません。ただし、CRL をアップロードした場合、別の CRL を追加する前に、オブジェクトをその都度保存する必要があります。
(注) | オブジェクトに CRL を追加しても、ISE の統合設定でオブジェクト使用する際に影響はありません。 |
信頼できる CA オブジェクトへの証明書失効リストの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
マルチドメインの展開では、現在のドメインで作成されたオブジェクトが表示されます。このオブジェクトは編集できます。先祖ドメインで作成されたオブジェクトも表示されますが、ほとんどの場合これは編集できません。子孫ドメインにあるオブジェクトを表示および編集するには、そのドメインに切り替えます。
(注) | オブジェクトに CRL を追加しても、ISE の統合設定でオブジェクト使用する際に影響はありません。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
外部証明書オブジェクト
設定済みのそれぞれの外部証明書オブジェクトは、組織に属さないサーバ公開鍵証明書を表します。このオブジェクトは、オブジェクト名と証明書からなります。SSL ルールで外部証明書オブジェクトとグループを使用すると、サーバ証明書で暗号化されたトラフィックを制御できます。たとえば、信頼できる自己署名サーバ証明書をアップロードできますが、信頼できる CA 証明書を使って検証することはできません。
X.509 v3 サーバ証明書をアップロードすることによって、外部証明書オブジェクトを設定できます。サポートされている次のいずれかの形式のファイルをアップロードできます。
適切なサーバ証明書情報を含んでいるファイルだけをアップロードできます。システムはオブジェクトを保存する前にファイルを検証します。証明書が PEM 形式でエンコードされている場合は、情報をコピーして貼り付けることもできます。
外部証明書オブジェクトの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[外部証明書(External Certs)] を選択します。 |
| ステップ 3 | [外部証明書の追加(Add External Cert)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [証明書データ(Certificate Data)] フィールドの上部にある [参照(Browse)] をクリックして、DER または PEM でエンコードされた X.509 v3 サーバ証明書ファイルをアップロードします。 |
| ステップ 6 | [保存(Save)] をクリックします。 |
次の作業
-
アクティブなポリシーがオブジェクトを参照する場合は、設定の変更を展開します(設定変更の導入 を参照)。
内部証明書オブジェクト
設定済みのそれぞれの内部証明書オブジェクトは、組織に属するサーバ公開鍵証明書を表します。このオブジェクトは、オブジェクト名、公開鍵証明書、およびペアになった秘密鍵からなります。内部証明書オブジェクトとグループは、以下で使用することができます。
-
SSL ルール。既知の秘密キーを使用する組織のサーバの 1 つに着信するトラフィックを復号します。
ISE 接続。[MC サーバ証明書(MC Server Certificate)] フィールド用の内部証明書オブジェクトを選択します。
-
キャプティブ ポータル設定。ユーザの Web ブラウザに接続する際にキャプティブ ポータル デバイスのアイデンティティを認証するように設定します。[サーバ証明書(Server Certificate)] フィールド用の内部証明書オブジェクトを選択します。
X.509 v3 RSA ベースまたは楕円曲線ベースのサーバ証明書およびペアの秘密キーをアップロードすることにより、内部証明書オブジェクトを設定できます。サポートされている次のいずれかの形式のファイルをアップロードできます。
ファイルがパスワード保護されている場合は、復号パスワードを提供する必要があります。証明書とキーが PEM 形式でエンコードされている場合は、情報をコピーして貼り付けることもできます。
適切な証明書またはキーの情報を含んでいる、相互にペアになっているファイルのみをアップロードできます。システムはオブジェクトを保存する前にペアを検証します。
内部証明書オブジェクトを作成した後、その名前を変更することはできますが、他のオブジェクト プロパティを変更することはできません。
使用中の内部証明書オブジェクトは削除できません。さらに、使用中の内部証明書オブジェクトを編集すると、関連するアクセス コントロール ポリシーが失効します。変更を反映させるには、アクセス コントロール ポリシーを再度展開する必要があります。
内部証明書オブジェクトの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(NGIPSv を除く) |
任意(Any) |
Admin/Access Admin/Network Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [PKI] ノードを展開し、[内部証明書(Internal Certs)] を選択します。 |
| ステップ 3 | [内部証明書の追加(Add Internal Cert)] をクリックします。 |
| ステップ 4 | 名前を入力します。
マルチドメイン展開では、オブジェクト名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないオブジェクトの名前との競合を特定することができます。 |
| ステップ 5 | [証明書データ(Certificate Data)] フィールドの上部にある [参照(Browse)] をクリックして、DER または PEM でエンコードされた X.509 v3 サーバ証明書ファイルをアップロードします。 |
| ステップ 6 | [キー(Key)] フィールドの上部にある [参照(Browse)] をクリックして、DER または PEM でエンコードされたペアの秘密キー ファイルをアップロードします。 |
| ステップ 7 | アップロードする秘密キー ファイルがパスワード保護されている場合は、[暗号化済み、パスワード:(Encrypted, and the password is:)] チェックボックスをオンにして、パスワードを入力します。 |
| ステップ 8 | [保存(Save)] をクリックします。 |
フィードバック