Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: アプリケーションの検出
アプリケーションの検出
次のトピックでは、Firepower システム アプリケーション検出について説明します。
- 概要:アプリケーション検出
- カスタム アプリケーション ディテクタ
- ディテクタ詳細の表示またはダウンロード
- ディテクタ リストのソート
- 検出機能リストのフィルタリング
- 別のディテクタ ページへの移動
- ディテクタのアクティブおよび非アクティブの設定
- カスタム アプリケーション ディテクタの編集
- ディテクタの削除
概要:アプリケーション検出
Firepower システムは IP トラフィックを分析するときに、ネットワーク上でよく使用されているアプリケーションを特定しようとします。アプリケーション認識は、アプリケーションを制御するために不可欠です。
システムによって検出されるアプリケーションには以下の 3 種類があります。
システムは、ディテクタに指定されている特性に従って、ネットワーク トラフィック内のアプリケーションを識別します。たとえば、システムはパケット ヘッダーに含まれる ASCII パターンによってアプリケーションを確認できます。加えて、Secure Socket Layer(SSL)プロトコル ディテクタは、セキュアなセッションからの情報を使用して、セッションからアプリケーションを識別します。
Firepower システムのアプリケーション ディテクタには以下の 2 つのソースがあります。
-
システム提供ディテクタ。Web アプリケーション、クライアント、およびアプリケーション プロトコルを検出します。
アプリケーション(およびオペレーティング システム)に対して使用できるシステム提供ディテクタは、インストールされている Firepower システムのバージョンと VDB のバージョンによって異なります。リリース ノートとアドバイザリに、新しいディテクタと更新されたディテクタに関する情報が記載されています。また、プロフェッショナル サービスが作成した個別のディテクタをインポートすることもできます。検出されるアプリケーションの完全なリストについては、サポート サイトを参照してください。
-
カスタム アプリケーション プロトコル ディテクタ。Web アプリケーション、クライアント、アプリケーション プロトコルを検出するためにユーザが作成するディテクタです。
また、暗黙的アプリケーション プロトコル検出を通してアプリケーション プロトコルを検出することもできます。これは、クライアントの検出に基づいてアプリケーション プロトコルの存在を推測するものです。
ネットワーク検出ポリシーで定義されているように、システムはモニタ対象ネットワーク内のホスト上で動作しているアプリケーション プロトコルだけを識別します。たとえば、モニタされていないリモート サイト上の FTP サーバに内部ホストがアクセスする場合、システムはアプリケーション プロトコルを FTP として識別しません。一方、モニタされているホスト上の FTP サーバにリモートまたは内部ホストがアクセスする場合、システムはアプリケーション プロトコルを肯定的に識別できます。
モニタ対象ホストが非モニタ対象サーバに接続するために使用するクライアントをシステムで識別できる場合、システムはクライアントの対応するアプリケーション プロトコルを識別することができますが、そのプロトコルをネットワーク マップに追加することはしません。アプリケーション検出が発生するためには、クライアント セッションにサーバからの応答が含まれている必要があることに注意してください。
システムは、検出した各アプリケーションの特徴を把握します(アプリケーションの特性を参照)。システムはこれらの特徴を使用して、アプリケーション フィルタと呼ばれるアプリケーションのグループを作成します。アプリケーション フィルタは、アクセス制御するため、およびレポートとダッシュボード ウィジェットで使用する検索結果とデータを制限するために使用されます。
また、エクスポートした NetFlow レコード、Nmap のアクティブ スキャン、ホスト入力機能を使用してアプリケーション ディテクタ データを補完することもできます。
- アプリケーション ディテクタの基本
- Web インターフェイスでのアプリケーション プロトコルの識別
- クライアント検出からの暗黙的アプリケーション プロトコル検出
- ホスト制限と検出イベント ロギング
- アプリケーション検出に関する特殊な考慮事項
アプリケーション ディテクタの基本
Firepower システムは、アプリケーション ディテクタを使用して、ネットワーク上で一般的に使用されるアプリケーションを識別します。[ディテクタ(Detectors)] ページ()を使用してディテクタ リストを表示し、検出機能をカスタマイズします。
ディテクタまたはその状態(アクティブ/非アクティブ)を変更できるかどうかは、そのタイプによって異なります。システムは、アクティブなディテクタのみを使用して、アプリケーション トラフィックを分析します。
 (注) | シスコが提供するディテクタは、Firepower システムおよび VDB のアップデートによって変更される可能性があります。更新されたディテクタに関する情報については、リリース ノートおよびアドバイザリを参照してください。 |
シスコが提供する内部ディテクタ
内部ディテクタは、クライアント、Web アプリケーション、およびアプリケーション プロトコルのトラフィック用の特別なディテクタ カテゴリです。内部ディテクタはシステム アップデートによって配信され、常にオンになっています。
シスコが提供するクライアント ディテクタ
クライアント ディテクタは、クライアント トラフィックを検出し、VDB またはシステム アップデートを介して配信されるか、または Cisco Professional サービスによってインポート用に提供されます。クライアント ディテクタを有効または無効にすることができます。インポートしたクライアント ディテクタのみエクスポートできます。
シスコが提供する Web アプリケーション ディテクタ
Web アプリケーション ディテクタは、HTTP トラフィック ペイロード内の Web アプリケーションを検出し、VDB またはシステム アップデートを介して配信されます。Web アプリケーション ディテクタは常にオンになっています。
シスコが提供するアプリケーション プロトコル(ポート)ディテクタ
ポートベースのアプリケーション プロトコル ディテクタは、ウェルノウン ポートを使用してネットワーク トラフィックを識別します。これらは VDB またはシステム アップデートを介して配信されるか、または Cisco Professional サービスによってインポート用に提供されます。アプリケーション プロトコル ディテクタを有効または無効にしたり、カスタム ディテクタの基礎として使用するためにディテクタ定義を表示することができます。
シスコが提供するアプリケーション プロトコル(Firepower)ディテクタ
Firepower ベースのアプリケーション プロトコル ディテクタは、Firepower アプリケーション フィンガープリントを使用してネットワーク トラフィックを分析し、VDB またはシステム アップデートを介して配信されます。アプリケーション プロトコル ディテクタを有効または無効にすることができます。
カスタム アプリケーション ディテクタ
カスタム アプリケーション ディテクタはパターンベースです。クライアント、Web アプリケーション、またはアプリケーション プロトコルのトラフィックからのパケット内のパターンを検出します。インポートされたカスタム ディテクタを完全に制御できます。
Web インターフェイスでのアプリケーション プロトコルの識別
次の表に、Firepower システムが検出されたアプリケーション プロトコルを識別する方法について概略を示します。
クライアント検出からの暗黙的アプリケーション プロトコル検出
非監視対象サーバにアクセスするために監視対象ホストが使用しているクライアントをシステムが識別できる場合、Firepower Management Center はその接続でクライアントに対応するアプリケーション プロトコルが使用されていると推測します(システムは監視対象ネットワーク上のアプリケーションだけを追跡するため、通常、接続ログには監視対象ホストが非監視対象サーバにアクセスしている接続に関するアプリケーション プロトコル情報が含まれていません)。
暗黙的アプリケーション プロトコル検出と呼ばれるこのプロセスの結果は次のようになります。
-
システムはこれらのサーバの New TCP Port イベントまたは New UDP Port イベントを生成しないため、サーバが [サーバ(Servers)] テーブルに表示されません。加えて、これらのアプリケーション プロトコルの検出を基準にして、検出イベント アラートまたは相関ルールをトリガーすることはできません。
-
アプリケーション プロトコルはホストに関連付けられないため、ホスト プロファイルの詳細を表示したり、サーバ ID を設定したり、トラフィック プロファイルまたは相関ルールに関するホスト プロファイル資格内の情報を使用したりできません。加えて、システムはこの種の検出に基づいて脆弱性とホストを関連付けません。
ただし、アプリケーション プロトコル情報が接続内に存在するかどうかに対する相関イベントをトリガーできます。また、接続ログ内のアプリケーション プロトコル情報を使用して、接続トラッカーとトラフィック プロファイルを作成できます。
ホスト制限と検出イベント ロギング
システムがクライアント、サーバ、または Web アプリケーションを検出すると、関連するホストがすでにクライアント、サーバ、または Web アプリケーションの最大数に達していなければ、検出イベントが生成されます。
ホスト プロファイルには、ホストごとに最大 16 のクライアント、100 のサーバ、および 100 の Web アプリケーションが表示されます。
クライアント、サーバ、または Web アプリケーションの検出によって異なるアクションはこの制限の影響を受けないことに注意してください。たとえば、サーバ上でトリガーするように設定されたアクセス コントロール ルールでは、引き続き、接続イベントが記録されます。
アプリケーション検出に関する特殊な考慮事項
Squid
SSL アプリケーション検出
システムは、Secure Socket Layer(SSL)セッションからのセッション情報を使用してセッション内のアプリケーション プロトコル、クライアント アプリケーション、または Web アプリケーションを識別するアプリケーション ディテクタを備えています。
システムは暗号化された接続を検出すると、その接続を汎用 HTTPS 接続として、または、該当する場合には SMTPS などのより特殊なセキュア プロトコルとしてマークします。システムは SSL セッションを検出すると、そのセッションに対する接続イベント内の [クライアント(Client)] フィールドに SSL client を追加します。セッションの Web アプリケーションが識別されると、システムでトラフィックの検出イベントが生成されます。
SSL アプリケーション トラフィックの場合は、管理対象デバイスも、サーバ証明書から一般名を検出して SSL ホスト パターンからのクライアントまたは Web アプリケーションと照合できます。システムが特定のクライアントを識別すると、SSL client をそのクライアントの名前に置き換えます。
SSL アプリケーション トラフィックは暗号化されるため、システムは暗号化されたストリーム内のアプリケーション データではなく、証明書内の情報しか識別に使用できません。そのため、SSL ホスト パターンではアプリケーションを制作した会社しか識別できない場合があり、同じ会社が作成した SSL アプリケーションは識別情報が同じ可能性があります。
HTTPS セッションが HTTP セッション内から起動される場合などは、管理対象デバイスがクライアント側のパケット内のクライアント証明書からサーバ名を検出します。
SSL アプリケーション識別を有効にするには、応答側のトラフィックをモニタするアクセス コントロール ルールを作成する必要があります。このようなルールには、SSL アプリケーションに関するアプリケーション条件または SSL 証明書からの URL を使用した URL 条件を含める必要があります。ネットワーク検出では、応答側の IP アドレスがネットワーク上に存在しなくても、ネットワーク検出ポリシーでモニタできます。アクセス コントロール ポリシーの設定によって、トラフィックが識別されるかどうかが決まります。SSL アプリケーションの検出を識別するには、アプリケーション ディテクタ リストで、または、アプリケーション条件をアクセス コントロール ルールに追加するときに、SSL protocol タグでフィルタ処理します。
参照先 Web アプリケーション
Web サーバがトラフィックを他の Web サイト(通常は、アドバタイズメント サーバ)に参照する場合があります。ネットワーク上で発生するトラフィック参照のコンテキストをわかりやすくするために、システムは、参照セッションに対するイベント内の [Web アプリケーション(Web Application)] フィールドにトラフィックを参照した Web アプリケーションを列挙します。VDB に既知の参照先サイトのリストが含まれています。システムがこのようなサイトのいずれかからのトラフィックを検出すると、参照元サイトがそのトラフィックに対するイベントと一緒に保存されます。たとえば、Facebook 経由でアクセスされるアドバタイズメントが実際は Advertising.com 上でホストされている場合は、検出された Advertising.com トラフィックが Facebook Web アプリケーションに関連付けられます。また、システムは、Web サイトで他のサイトへの単リンクが提供されている場合などは、HTTP トラフィック内の参照元 URL を検出することもできます。この場合、参照元 URL は [HTTP 参照元(HTTP Referrer)] イベント フィールドに表示されます。
イベントでは、参照元アプリケーションが存在する場合に、それがトラフィックの Web アプリケーションとして列挙されますが、URL は参照先サイトの URL です。上の例では、トラフィックに対する接続イベントの Web アプリケーションは Facebook ですが、URL は Advertising.com です。参照元 Web アプリケーションが検出されない場合、ホストが自身を参照している場合、または参照がチェインしている場合は、参照先アプリケーションが Web アプリケーションとして表示される場合もあります。ダッシュボードでは、Web アプリケーションの接続カウントとバイト カウントに、Web アプリケーションが参照先のトラフィックに関連付けられたセッションが含まれます。
参照先トラフィックに対して明示的に機能するルールを作成する場合は、参照元アプリケーションではなく、参照先アプリケーションに関する条件を追加する必要があることに注意してください。Facebook から参照される Advertising.com トラフィックをブロックするには、Advertising.com アプリケーションのアクセス コントロール ルールにアプリケーション条件を追加します。
カスタム アプリケーション ディテクタ
ネットワーク上でカスタム アプリケーションを使用する場合、アプリケーションの識別に必要な情報をシステムに提供するカスタム Web アプリケーション、クライアント、またはアプリケーション プロトコル ディテクタを作成します。アプリケーション ディテクタの種類は、[プロトコル(Protocol)]、[タイプ(Type)]、および [検出方向(Direction)] フィールドで選択した内容によって決まります。
システムがサーバ トラフィックでアプリケーション プロトコルの検出および識別を開始するように、クライアント セッションにサーバからの応答パケットを含める必要があります。UDP トラフィックの場合、応答パケットの送信元がサーバとして指定されることに注意してください。
すでに別の Firepower Management Center にディテクタを作成している場合、そのディテクタをエクスポートして、この Firepower Management Center にインポートすることができます。その後、必要に応じてインポートしたディテクタを編集できます。カスタム ディテクタおよび Cisco Professional サービスが提供するディテクタをエクスポートおよびインポートすることができます。ただし、シスコが提供するその他の種類のディテクタをエクスポートおよびインポートすることはできません。
カスタム アプリケーション ディテクタおよびユーザ定義アプリケーション フィールド
カスタム アプリケーション ディテクタ フィールド:概要
次のフィールドを使用して、カスタム アプリケーション ディテクタおよびユーザ定義アプリケーションを設定できます。
基本および高度なカスタム アプリケーション ディテクタを設定するには、次のフィールドを使用します。
- アプリケーション プロトコル(Application Protocol)
-
検出するアプリケーション プロトコル。これには、システムが提供するアプリケーションまたはユーザ定義のアプリケーションを指定できます。
アプリケーションを(アイデンティティ ルールで設定された)アクティブな認証から除外できるようにする場合は、User-Agent Exclusion タグを使用してアプリケーション プロトコルを選択するか、作成する必要があります。
- 説明
-
アプリケーション ディテクタの説明。
- [名前(Name)]
-
アプリケーション ディテクタの名前。
- ディテクタ タイプ(Detector Type)
-
ディテクタのタイプ([基本(Basic)] または [高度(Advanced)])。基本的なアプリケーションディテクタは、一連のフィールドとして Web インターフェイスで作成されます。高度なアプリケーション ディテクタは、外部で作成され、カスタム .lua ファイルとしてアップロードされます。
カスタム アプリケーション ディテクタ(Custom Application Detector)フィールド:検出パターン
基本的なカスタム アプリケーション ディテクタの検出パターンを設定するには、次のフィールドを使用します。
- 方向(Direction)
-
ディテクタが検出するトラフィックの送信元。[クライアント(Client)] または [サーバ(Server)]。
- オフセット(Offset)
-
システムがパターンの検索を開始する必要がある、パケット ペイロードの先頭からのパケットの場所(バイト単位)。
パケット ペイロードは 0 バイトから始まるため、パケット ペイロードの先頭から数えたバイト数から 1 を減算することでオフセットを計算します。たとえば、パケットの 5 桁目のビット パターンを検索するには、[オフセット(Offset)] フィールドに「4」と入力します。
- パターン
-
パターン文字列は、選択した [タイプ(Type)] に関連付けられます。
- ポート
-
ディテクタが検出するトラフィックのポート。
- プロトコル
-
検出するプロトコル。選択するプロトコルによって、[タイプ(Type)] フィールドが表示されるか [URL(URL)] フィールドが表示されるかが決まります。
プロトコル(および、場合によっては、[タイプ(Type)] フィールドと [方向(Direction)] フィールドの後続の選択)によって、作成するアプリケーション ディテクタのタイプ(Web アプリケーション、クライアント、またはアプリケーション プロトコル)が決まります。
ディテクタ タイプ(Detector Type)
プロトコル
タイプ(Type)または 方向(Direction)
Web アプリケーション(Web Application)
HTTP
[タイプ(Type)] は [コンテンツ タイプ(Content Type)] または [URL(URL)] です。
RTMP
任意(Any)
SSL
任意(Any)
クライアント(Client)
HTTP
[タイプ(Type)] は [ユーザ エージェント(User Agent)] です。
SIP
任意(Any)
TCP または UDP
[方向(Direction)] は [クライアント(Client)] です。
アプリケーション プロトコル(Application Protocol)
TCP または UDP
[方向(Direction)] は [サーバ(Server)] です。
- タイプ(Type)
-
入力したパターン文字列のタイプ。表示されるオプションは、選択した [プロトコル(Protocol)] によって決まります。プロトコルとして [RTMP(RTMP)] を選択すると、[タイプ(Type)] フィールドの代わりに [URL(URL)] フィールドが表示されます。
(注)
[タイプ(Type)] として [ユーザ エージェント(User Agent)] を選択すると、システムはアプリケーションの [タグ(Tag)] を User-Agent Exclusion に自動的に設定します。タイプの選択
文字列特性
Ascii
文字列は ASCII でエンコードされます。
Common Name
文字列は、サーバ応答メッセージ内の commonName フィールドの値です。
コンテンツ タイプ(Content Type)
文字列は、サーバ応答ヘッダー内のコンテンツ タイプ フィールドの値です。
16 進数
文字列は、16 進表記です。
組織
文字列は、サーバ応答メッセージ内の organizationName フィールドの値です。
SIP サーバ
文字列は、メッセージ ヘッダー内の From フィールドの値です。
SSL ホスト(SSL Host)
文字列は、ClientHello メッセージ内の server_name フィールドの値です。
URL
文字列は URL です。
(注) ディテクタは、ユーザが入力する文字列が URL の完全なセクションであると想定します。たとえば、cisco.com と入力した場合、www.cisco.com/support や www.cisco.com と一致しますが、www.wearecisco.com とは一致しません。 ユーザ エージェント(User Agent)
文字列は、GET リクエスト ヘッダー内の user-agent フィールドの値です。これは SIP プロトコルにも使用可能であり、文字列が SIP メッセージ ヘッダー内の User-Agent フィールドの値であることを示します。
- URL
-
RTMP パケットの C2 メッセージ内の swfURL フィールドの完全な URL または URL のセクション。[プロトコル(Protocol)] として [RTMP(RTMP)] を選択すると、[タイプ(Type)] フィールドの代わりにこのフィールドが表示されます。
(注)
ディテクタは、ユーザが入力する文字列が URL の完全なセクションであると想定します。たとえば、cisco.com と入力した場合、www.cisco.com/support や www.cisco.com と一致しますが、www.wearecisco.com とは一致しません。
ユーザ定義のアプリケーション フィールド
基本および高度なカスタム アプリケーション ディテクタでユーザ定義のアプリケーションを設定するには、次のフィールドを使用します。
- ビジネスとの関連性(Business Relevance)
-
アプリケーションが娯楽ではなく組織のビジネス活動のコンテキストで使用される可能性。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、または [非常に低い(Very Low)]。アプリケーションを最も的確に説明するオプションを選択します。
- カテゴリ(Categories)
- 説明
-
アプリケーションの説明。
- [名前(Name)]
-
アプリケーションの名前。
- リスク(Risk)
-
アプリケーションが組織のセキュリティ ポリシーに対抗する目的で使用される可能性。[非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)] または [非常に低い(Very Low)]。アプリケーションを最も的確に説明するオプションを選択します。
- タグ(Tags)
-
アプリケーションに関する追加情報を提供する 1 つ以上の事前定義されたタグ。アプリケーションを(アイデンティティ ルールで設定された)アクティブな認証から除外できるようにする場合は、User-Agent Exclusion タグをアプリケーションに追加する必要があります。
カスタム アプリケーション ディテクタの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
基本または高度なカスタム アプリケーション ディテクタを設定できます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | [カスタム ディテクタの作成(Create Custom Detector)] をクリックします。 | ||
| ステップ 3 | [名前(Name)] と [説明(Description)] を入力します。 | ||
| ステップ 4 | [アプリケーション プロトコル(Application Protocol)] を選択します。次の選択肢があります。
| ||
| ステップ 5 | [ディテクタ タイプ(Detector Type)] を選択します。 | ||
| ステップ 6 | [OK] をクリックします。 | ||
| ステップ 7 | [検出パターン(Detection Patterns)] または [検出基準(Detection Criteria)] を設定します。
| ||
| ステップ 8 | 高度なディテクタを設定する場合は、カスタム アプリケーション プロトコル ディテクタのテストの説明に従って、[パケット キャプチャ(Packet Captures)] を使用して新しいディテクタをテストします。基本ディテクタを設定する場合は、この手順を省略できます。 | ||
| ステップ 9 | [保存(Save)] をクリックします。
|
次の作業
-
ディテクタのアクティブおよび非アクティブの設定の説明に従ってディテクタをアクティブにします。
ユーザ定義のアプリケーションの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
ここで作成するアプリケーション、カテゴリ、およびタグは、アクセス コントロール ルールやアプリケーション フィルタ オブジェクト マネージャで使用できます。
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を開始します。
次の作業
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を続けます。トラフィックを分析するためにシステムがディテクタを使用できるようにするには、その前に、ディテクタを保存してアクティブにする必要があります。
基本ディテクタでの検出パターンの指定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
アプリケーション プロトコルのパケット ヘッダーで特定のパターン文字列を検索するよう、カスタム アプリケーション プロトコル ディテクタを設定できます。また、複数のパターンを検索するようにディテクタを設定することもできます。この場合は、アプリケーション プロトコルのトラフィックは、アプリケーション プロトコルを確実に識別するため、ディテクタのすべてのパターンとマッチングさせる必要があります。
アプリケーション プロトコル ディテクタは、オフセットを使用して ASCII または 16 進数のパターンを検索できます。
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を開始します。
)をクリックします。次の作業
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を続けます。トラフィックを分析するためにシステムがディテクタを使用できるようにするには、その前に、ディテクタを保存してアクティブにする必要があります。
高度なディテクタでの検出条件の指定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
 注意 | 高度なカスタム ディテクタは複雑で、有効な .lua ファイルを作成すること以外の知識も必要になります。ディテクタを誤って設定すると、パフォーマンスや検出機能にマイナスの影響を与える可能性があります。 |
注意 | 信頼できないソースから .lua ファイルをアップロードしないでください。 |
-
lua プログラミング言語に関するサードパーティの説明書と参考資料
-
オープン ソース ディテクタ開発者ガイド: https://www.snort.org/downloads
-
OpenAppID Snort コミュニティ リソース: http://blog.snort.org/search/label/openappid
(注) | システムは、システム コールまたはファイル I/O を参照する .lua ファイルをサポートしていません。 |
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を開始します。
-
該当する .lua ファイルをダウンロードし、内容を調べることによって、有効な .lua ファイルを作成する準備を進めます。ディテクタ ファイルのダウンロードの詳細については、ディテクタ詳細の表示またはダウンロードを参照してください。
-
カスタム アプリケーションのディテクタ設定を含む有効な .lua ファイルを作成します。
次の作業
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を続けます。トラフィックを分析するためにシステムがディテクタを使用できるようにするには、その前に、ディテクタを保存してアクティブにする必要があります。
カスタム アプリケーション プロトコル ディテクタのテスト
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
検出するアプリケーション プロトコルからのトラフィックを持つパケットが格納されたパケット キャプチャ(pcap)ファイルが存在する場合、その pcap ファイルに対してカスタム アプリケーション プロトコル ディテクタをテストできます。シスコでは、不要なトラフィックのない単純でクリーンな pcap ファイルを使用することをお勧めします。
pcap ファイルは 256 KB 以下でなければなりません。それより大きい pcap ファイルに対してディテクタのテストを試行すると、Firepower Management Center は自動的にファイルを切り捨て、不完全なファイルをテストします。ディテクタをテストするためにファイルを使用する前に、pcap の未解決のチェックサムを修正する必要があります。
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタを設定します。
| ステップ 1 | [ディテクタの作成(Create Detector)] ページの [パケット キャプチャ(Packet Captures)] セクションで、[追加(Add)] をクリックします。 | ||
| ステップ 2 | ポップアップ ウィンドウで pcap ファイルを参照し、[OK] をクリックします。 | ||
| ステップ 3 | pcap ファイルの内容に対してディテクタをテストするには、pcap ファイルの横にある評価アイコンをクリックします。メッセージに、テストが成功したかどうかが示されます。 | ||
| ステップ 4 | 必要に応じて手順 1 ~ 3 を繰り返し、その他の pcap ファイルに対してディテクタをテストします。
|
次の作業
-
カスタム アプリケーション ディテクタの設定の説明に従って、カスタム アプリケーション プロトコル ディテクタの設定を続けます。トラフィックを分析するためにシステムがディテクタを使用できるようにするには、その前に、ディテクタを保存してアクティブにする必要があります。
ディテクタ詳細の表示またはダウンロード
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
ディテクタ リストを使用して、アプリケーション ディテクタの詳細を表示(すべてのディテクタ)したり、ディテクタの詳細をダウンロード(カスタム アプリケーション ディテクタのみ)したりできます。
| ステップ 1 | を選択します。 |
| ステップ 2 | ディテクタの詳細を表示するには、情報アイコン( )をクリックして、概要:アプリケーション検出で説明されているリスク、ビジネスとの関連性、タグ、カテゴリを表示します。 |
| ステップ 3 | カスタム アプリケーション ディテクタのディテクタ詳細をダウンロードするには、ダウンロード アイコン( )をクリックします。コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
ディテクタ リストのソート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
[ディテクタ(Detectors)] ページには、デフォルトで名前のアルファベット順にディテクタがリストされます。列見出しの横にある上または下矢印は、ページがその列でその方向にソートされていることを示します。
検出機能リストのフィルタリング
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | ディテクタ リストのフィルタ グループに記載されているフィルタ グループの 1 つを展開し、フィルタの横にあるチェックボックスを選択します。グループ内のすべてのフィルタを選択するには、グループ名を右クリックし、[すべて選択(Check All)] を選択します。 |
| ステップ 3 | あるフィルタを削除するには、[フィルタ(Filters)] フィールドにあるフィルタの名前の削除アイコン( )をクリックするか、フィルタ リストでフィルタを無効にします。グループ内のすべてのフィルタを削除するには、グループ名を右クリックし、[すべて選択解除(Uncheck All)] を選択します。 |
| ステップ 4 | すべてのフィルタを削除するには、検出機能に適用されるフィルタ リストの横の [すべてクリア(Clear all)] をクリックします。 |
ディテクタ リストのフィルタ グループ
[名前(Name)]
ユーザが入力した文字列を含む名前または説明でディテクタを検索します。文字列には任意の英数字または特殊文字を含めることができます。
カスタム フィルタ(Custom Filter)
作成者(Author)
状態(State)
タイプ(Type)
アプリケーション ディテクタの基本に示すように、ディテクタ タイプに従ってディテクタを検索します。
プロトコル
カテゴリ(Category)
タグ
リスク
検出するアプリケーションに割り当てられたリスク([非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、[非常に低い(Very Low)])に照らしてディテクタを検索します。
ビジネスとの関連性(Business Relevance)
検出するアプリケーションに割り当てられたビジネスとの関連性([非常に高い(Very High)]、[高(High)]、[中(Medium)]、[低(Low)]、[非常に低い(Very Low)])に照らしてディテクタを検索します。
別のディテクタ ページへの移動
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
)をクリックします。
)をクリックします。
)をクリックします。
)をクリックします。ディテクタのアクティブおよび非アクティブの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
ネットワーク トラフィックを分析するためにディテクタを使用できるようにするには、その前に、ディテクタをアクティブにする必要があります。デフォルトでは、Cisco が提供するすべてのディテクタはアクティブにされています。
システムの検出機能を補完するために、ポートごとに複数のアプリケーション ディテクタをアクティブにすることができます。
ポリシーのアクセス コントロール ルールにアプリケーションを含め、そのポリシーを導入するときに、そのアプリケーションに対してアクティブなディテクタがない場合、1 つ以上のディテクタが自動的にアクティブになります。同様に、導入されているポリシーのアプリケーションが使用されているときに、そのアプリケーションのアクティブなディテクタをすべて非アクティブにしようとしても、ディテクタを非アクティブにすることはできません。
 ヒント | パフォーマンスを向上させるために、使用する予定のないアプリケーション プロトコル、クライアント、または Web アプリケーションのディテクタはすべて非アクティブにします。 |
カスタム アプリケーション ディテクタの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | 変更するディテクタの横にある編集アイコン( )をクリックします。代わりに表示アイコン( )が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 3 | カスタム アプリケーション ディテクタの設定の説明に従って、ディテクタを変更します。 |
| ステップ 4 | ディテクタの状態に応じて、次の保存オプションがあります。 |
ディテクタの削除
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Discovery Admin |
カスタム ディテクタおよび Cisco Professional サービスが提供する個別にインポートされたアドオン ディテクタを削除することができます。その他の Cisco が提供するディテクタを削除することはできませんが、その多くを非アクティブにすることはできます。
(注) | ディテクタが展開されたポリシーで使用されている間は、そのディテクタを削除できません。 |
フィードバック