ファイル ポリシーと AMP for Firepower について
悪意のあるソフトウェア、つまりマルウェアは、複数のルートで組織のネットワークに入る可能性があります。マルウェアの影響を特定して軽減しやすくするため、Firepower システムの Advanced Malware Protection for Firepower(AMP for Firepower)の機能によって、ネットワーク トラフィックでのマルウェアの伝送を検出、追跡、保存、分析、および必要に応じてブロックできます。
AMP for Firepower およびファイル制御(ファイルにマルウェアが含まれているかどうかにかかわらず、特定のタイプのすべてのファイルを制御できる)をアクセス制御設定全体の一部として設定します。作成してアクセス コントロール ルールに関連付けたファイル ポリシーは、ルールに一致するネットワーク トラフィックを処理します。そのトラフィックで検出されたファイルをダウンロードし、ローカル マルウェア分析を実行して、ファイルにマルウェアが含まれているかどうかを判断できます。また、ファイルを動的分析のために AMP Threat Grid クラウドに送信して、そのファイルがマルウェアを表しているかどうかを判断できます。
アクティブ ファイル ポリシーのファイル イベント、マルウェア イベント、および取得されたファイル ロギングが自動的に有効になります。また、ファイル ポリシーでファイル イベントまたはマルウェア イベントが生成されるか、ファイルがキャプチャされると、システムは関連する接続の終了を Firepower Management Center データベースに自動的に記録します。
(注) |
NetBIOS-ssn(SMB)トラフィックのインスペクションによって生成されるファイル イベントは、即座には接続イベントを生成しません。これは、クライアントとサーバが持続的接続を確立するためです。システムはクライアントまたはサーバがセッションを終了した後に接続イベントを生成します。 |
分析のターゲットをさらに絞り込むために、マルウェア ファイルの [ネットワーク ファイル トラジェクトリ(network file trajectory)] ページを使用して、ホスト間での個々の脅威の広がりを時系列で追跡できます。これにより、最も効果的なアウトブレイク制御と防止対策に集中できます。
ヒント |
組織で AMP for Endpoints を使用している場合は、システムで、AMP for Firepower によって収集されたデータとともにエンドポイントベースのデータをインポートして表示できます。このデータのインポートには、ライセンスは必要ありません。 |
組織で追加のセキュリティが必要であるか、外部接続を制限する場合は、Cisco AMP プライベート クラウド仮想アプライアンス(AMPv)を使用します。AMPv は個別に AMP for Endpoints イベントを収集し、Firepower Management Center に転送します。