- シス コASA FirePOWER モジ ュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- アクセス コントロール ルール:カスタム セ キュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- インテリジェント アプリケーション バイパス(IAB)
- コンテンツ制限を使用したアクセス コント ロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーまたは侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブ ロッキング
- ネットワーク トラフィックの接続のロギ ング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードの ASA FirePOWER 使用
- ASA FirePOWERレポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWERモジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services バージョン 6.2 ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年5月8日
章のタイトル: ASA FirePOWERモジュール設定の設定
ASA FirePOWER モジュール設定の設定
次の表は、ASA FirePOWER モジュールのローカル構成をまとめたものです。
|
|
|
|
|---|---|---|
Collective Security Intelligence クラウド から URL フィルタリング データをダウンロードしたり、未分類の URL を検索したり、検出されたファイルの診断情報をシスコに送信したりできます。 |
アプライアンス情報の表示と変更
[情報(Information)] ページには、ASA FirePOWER モジュールに関する情報が表示されます。これには、製品名とモデル番号、オペレーティング システムとバージョン、現在のシステム ポリシーなどの読み取り専用情報が含まれます。このページには、アプライアンスの名前を変更するオプションも用意されています。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [設定(Configuration)] の順に選択します。
手順 2 アプライアンス名を変更するには、[名前(Name)] フィールドに新しい名前を入力します。
名前は、英数字である 必要があり 、数字だけで構成することはできません。
手順 3 変更を保存するには、[保存(Save)] をクリックします。
クラウド通信の有効化
ライセンス: URL Filtering または Malware
ASA FirePOWER モジュール は、シスコ の Collective Security Intelligence クラウド に接続してさまざまなタイプの情報を取得します。
- アクセス コントロール ルールに関連付けられたファイル ポリシーにより、デバイスは、ネットワーク トラフィックで送信されるファイルを検出できます。ASA FirePOWER モジュール は、シスコ クラウドからのデータを使用して、ファイルがマルウェアに相当するかどうかを判定します。ファイル ポリシーの概要と作成を参照してください。
- URL フィルタリングを有効にすると、ASA FirePOWER モジュール は、一般的にアクセスされる多数の URL のカテゴリとレピュテーション データを取得し、さらに未分類 URL の検索も実行します。その後、アクセス コントロール ルールの URL 条件をすばやく作成できます。レピュテーション ベースの URL ブロッキングの実行を参照してください。
ASA FirePOWER モジュール のローカル構成を使用して、次のオプションを指定します。
URL フィルタリングを有効にする(Enable URL Filtering)
カテゴリおよびレピュテーションベースの URL フィルタリングを実行するには、このオプションを有効にする必要があります。
メモリの制約上、一部のモデルでは、小規模でそれほど細分化されていないカテゴリとレピュテーションによって URL フィルタリングが実行されます。たとえば、親 URL のサブサイトがそれぞれ異なる URL カテゴリとレピュテーションを持っている場合、一部のデバイスでは、すべてのサブサイトに対して親 URL のデータが使用されます。具体的な例として、システムは google.com カテゴリとレピュテーションを使用して mail.google.com を評価します。影響を受けるデバイスには、次の ASA モデルが含まれます。ASA 5506-X、ASA 5506H-X、ASA 5506W-X、ASA 5508-X、ASA 5512-X、ASA 5515-X、ASA 5516-X、ASA 5525-X。
不明 URL のクエリ クラウド(Query Cloud for Unknown URL)
監視対象ネットワーク上で誰かがローカル データ セットに存在しない URL を参照しようとしたときに、システムがクラウドを照会できるようにします。
クラウドが URL のカテゴリまたはレピュテーションを識別できない場合や、ASA FirePOWER モジュール がクラウドに接続できない場合、その URL は、カテゴリまたはレピュテーション ベースの URL 条件を含むアクセス コントロール ルールと一致 しません 。URL に手動でカテゴリやレピュテーションを割り当てることはできません。
プライバシー上の理由などで、未分類の URL を シスコ クラウドでカタログ化したくない場合は、このオプションを無効にします。
自動アップデートを有効にする(Enable Automatic Updates)
システムが定期的にクラウドに接続して、アプライアンスのローカル データ セットに含まれる URL データの更新を取得できるようにします。クラウドはそのデータを通常 1 日に 1 回更新しますが、自動更新を有効にすると ASA FirePOWER モジュール によるチェックが 30 分ごとに強制的に行われ、常に最新の情報が保持されるようになります。
通常、毎日の更新は小規模ですが、最終更新日から 5 日を超えると、帯域幅によっては新しい URL フィルタリング データのダウンロードに最長 20 分かかる場合があります。その後、更新自体を実行するのに最長で 30 分かかることがあります。
システムがクラウドに接続するタイミングを厳密に制御する必要がある場合は、URL フィルタリング更新の自動化で説明しているように、自動更新を無効にして、代わりにスケジューラを使用できます。
(注
) シスコ では、自動更新を有効にするか、またはスケジューラを使用して更新をスケジュールすることを推奨しています。手動でオンデマンド更新を実行することもできますが、定期的にクラウドに接続するようにシステムを自動化することで、最も関連性の高い最新の URL データを取得できます。
カテゴリおよびレピュテーションベースの URL フィルタリングとデバイスベースのマルウェア検出を実行するには、ASA FirePOWER モジュールで適切なライセンスを有効にする必要があります(ASA FirePOWER モジュールのライセンスを参照)。
ASA FirePOWER モジュールに URL Filtering ライセンスがない場合は、クラウド接続オプションを設定 できません 。Cisco CSI のローカル設定ページは、ライセンス供与されているオプションのみが表示されます。ライセンスが期限切れになっている ASA FirePOWER モジュール では、クラウドに接続できません。
ASA FirePOWER モジュールに URL Filtering ライセンスを追加すると、URL フィルタリングの設定オプションが表示されることに加えて、[URL フィルタリングを有効にする(Enable URL Filtering)] と [自動アップデートを有効にする(Enable Automatic Updates)] が自動的に有効になります。必要な場合は、手動でこれらのオプションを無効にすることができます。
システムは、シスコ クラウドへの接続にポート 80/HTTP および 443/HTTPS を使用します。
次の手順は、シスコ クラウドとの通信を有効にする方法、および URL データのオンデマンド更新を実行する方法を示しています。更新がすでに進行中である場合は、オンデマンド更新を開始できません。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [Cisco CSI] の順に選択します。
[Cisco CSI] ページが表示されます。URL Filtering ライセンスがある場合は、このページに URL データの最終更新時間が表示されます。
手順 3 上記の説明に従って、クラウド接続のオプションを構成します。
[自動アップデートを有効にする(Enable Automatic Updates)] または [不明 URL のクエリ クラウド(Query Cloud for Unknown URL)] を有効にするには、あらかじめ [URL フィルタリングを有効にする(Enable URL Filtering)] を有効にする必要があります。
設定が保存されます。URL フィルタリングを有効にした場合は、URL フィルタリングが最後に有効になってから経過した時間に応じて、または URL フィルタリングを今回初めて有効にしたかどうかによって、ASA FirePOWER モジュールがクラウドから URL フィルタリング データを取得します。
システムの URL データのオンデマンド更新を実行するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [設定(Configuration)] の順に選択します。
手順 2 [URL フィルタリング(URL Filtering)] をクリックします。
[URL フィルタリング(URL Filtering)] ページが表示されます。
手順 3 [今すぐ更新(Update Now)] をクリックします。
ASA FirePOWER モジュール がクラウドに接続し、更新が使用可能な場合はその URL フィルタリング データを更新します。
フィードバック