- シスコ ASA FirePOWER モジュールの概要
- 再使用可能オブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラフィックの制御
- レピュテーション ベースのルールによるトラフィックの制御
- アクセス コントロール ルール:レルムとユーザ
- アクセス コントロール ルール:カスタム セキュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御
- インテリジェント アプリケーション バイパス(IAB)
- コンテンツ制限を使用したアクセス コントロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリシーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブロッキング
- ネットワーク トラフィックの接続のロギング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ダッシュボードのASA FirePOWER使用
- ASA FirePOWER レポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWER モジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services バージョン 6.2.2 ローカル管理設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年1月7日
章のタイトル: アクセス コントロール ルール:カスタム セキュリティ グループ タグ
アクセス コントロール ルール:カスタム セキュリティ グループ タグ
セキュリティ グループ タグ(SGT)は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。ユーザが TrustSec または ISE でセキュリティ グループを追加すると、セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)により、SGT が自動的に生成されます。パケットがネットワークに入ると、SGA によって SGT 属性が適用されます。SGT をアクセス コントロールに使用するには、ISE をアイデンティティ ソースとして設定するか、またはカスタム SGT オブジェクトを作成します。
カスタム SGT 条件により、カスタム SGT オブジェクトに基づいてアクセス コントロール ルールを設定できます。カスタム SGT オブジェクトの FirePOWER システムへの追加は、ISE を介して SGT を取得するのではなく、手動で行います。
カスタム SGT 条件を使用できるのは、アイデンティティ ソースとしての ISE/ISE-PIC を無効にしている場合のみです。
ISE SGT ルール条件とカスタム SGT ルール条件との比較
SGT をアクセス コントロールに使用するには、ISE をアイデンティティ ソース(ISE SGT)として設定するか、またはカスタム SGT オブジェクト(カスタム SGT)を作成します。システムによる ISE SGT ルール条件とカスタム SGT ルール条件の扱いは、次のように異なります。
ISE SGT は、アクセス コントロール ルール内の ISE 属性条件として使用できます。[SGT/ISE 属性(SGT/ISE Attributes)] タブの [使用可能な属性(Available Attributes)] リストから [セキュリティ グループ タグ(Security Group Tag)] を選択すると、システムは使用可能なタグを ISE に照会して、[使用可能なメタデータ(Available Metadata)] リストに入力します。パケットに SGT 属性が存在するかしないかにより、システムの応答が次のように決まります。
- SGT 属性がパケット内に存在している場合、システムはその値を抽出し、それをアクセス コントロール ルール内の ISE SGT 条件と比較します。
- SGT 属性がパケットにない場合、システムはパケットのソース IP アドレスと関連付けられている SGT が ISE で既知であるかどうかを判別し、SGT をアクセス コントロール ルール内の ISE SGT 条件と比較します。
カスタム SGT オブジェクトを作成し、それをアクセス コントロール ルール内の条件として使用できます。[SGT/ISE 属性(SGT/ISE Attributes)] タブの [使用可能な属性(Available Attributes)] リストから [セキュリティ グループ タグ(Security Group Tag)] を選択すると、システムは、[使用可能なメタデータ(Available Metadata)] リストに、ユーザが追加した SGT オブジェクトを入力します。パケットに SGT 属性が存在するかしないかにより、システムの応答が次のように決まります。
カスタム SGT ルール条件から ISE SGT ルール条件への自動移行
カスタム SGT オブジェクトを条件として使用してアクセス コントロール ルールを作成した後に ISE/ISE-PIC をアイデンティティ ソースとして設定した場合のシステムの動作は、次のとおりです。
- オブジェクト マネージャの [セキュリティ グループ タグ(Security Group Tag)] オブジェクト オプションを無効にします。ISE/ISE-PIC 接続を無効にしない限り、新規 SGT オブジェクトの追加、既存 SGT オブジェクトの編集、または新規条件としての SGT オブジェクトの追加はできません。
- 既存の SGT オブジェクトを保持します。これらの既存オブジェクトは変更できません。それらは、それらを条件として使用する既存のアクセス コントロール ルールとの関連で表示のみができます。
- カスタム SGT 条件がある既存のアクセス コントロール ルールを保持します。カスタム SGT オブジェクトは手動編集でしか更新できないため、シスコは、これらのルールは削除するか、または無効にすることを推奨します。代わりに、SGT を ISE 属性条件として使用するルールを作成してください。システムは、ISE 属性条件について SGT メタデータを更新するため ISE への照会を自動的に行いますが、カスタム SGT オブジェクトは、手動編集でしか更新できません。
カスタム SGT 条件の設定
カスタム セキュリティ グループ タグ(SGT)条件を設定する方法:
手順 1 アクセス コントロール ルール エディタで、[SGT/ISE 属性(ISE Attributes)] タブをクリックします。
手順 2 [使用可能な属性(Available Attributes)] リストから [セキュリティ グループ タグ(Security Group Tag)] を選択します。
手順 3 [使用可能なメタデータ(Available Metadata)] リストで、カスタム SGT オブジェクトを見つけて選択します。
選択すると、ルールは SGT 属性があるすべてのトラフィックと一致するようになります。たとえば、この値は、TrustSec 向けに設定されていないホストからのトラフィックをルールでブロックしたい場合に選択できます。
手順 4 [ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。
- 設定変更を展開します。設定変更の展開を参照してください。
カスタム SGT 条件のトラブルシューティング
予期しないルールの動作に気付いたら、カスタム SGT オブジェクトの設定を調整することを検討してください。
カスタム SGT オブジェクトは、ISE/ISE-PIC をアイデンティティ ソースとして設定していない場合にのみ使用できます。詳細については、カスタム SGT ルール条件から ISE SGT ルール条件への自動移行を参照してください。
フィードバック