システム ポリシーの設定
ライセンス: 任意(Any)
さまざまなシステム ポリシーの設定を行うことができます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
アプライアンスのアクセス リストの設定
ライセンス: 任意(Any)
[アクセスリスト(Access List)] ページを使用して、特定ポートのアプライアンスにどのコンピュータがアクセス可能かを制御できます。デフォルトでは、Web インターフェイスへのアクセスに使用されるポート 443(Hypertext Transfer Protocol Secure(HTTPS))と、コマンド ラインへのアクセスに使用されるポート 22(Secure Shell(SSH))は、あらゆる IP アドレスに対して有効です。ポート 161 を介した SNMP アクセスを追加することもできます。SNMP 情報をポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があることに注意してください。
注意
デフォルトでは、アプライアンスへのアクセスは制限
されません。よりセキュアな環境でアプライアンスを稼動させるために、特定の IP アドレスに対してアプライアンスへのアクセスを追加してから、デフォルトの
任意の
オプションを削除することを検討してください。
アクセス リストは、システム ポリシーの一部です。新しいシステム ポリシーを作成するか、既存のシステム ポリシーを編集することによって、アクセス リストを指定できます。いずれの場合も、システム ポリシーを適用するまでアクセス リストは有効になりません。
このアクセス リストは、外部データベース アクセスを制御しないので注意してください。外部データベースのアクセス リストの詳細については、クラウド通信の有効化を参照してください。
アクセス リストを設定するには、次の手順を実行します。
アクセス: Admin
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 システム ポリシーの横にある編集アイコン( )をクリックします。
手順 3 現在の設定の 1 つを削除するために、削除アイコン( )をクリックすることもできます。
設定が削除されます。
注意
アプライアンスのインターフェイスへの接続に現在使用されている IP アドレスへのアクセスを削除し、「
IP=any port=443
」のエントリが存在しない場合、ポリシーを適用した時点でシステムへのアクセスは失われます。
手順 4 1 つ以上の IP アドレスへのアクセスを追加するために、[ルールの追加(Add Rules)] をクリックすることもできます。
[IP アドレスの追加(Add IP Address)] ページが表示されます。
手順 5 [IP アドレス(IP Address)] フィールドでは、追加する IP アドレスに応じて次のオプションがあります。
- 厳密な IP アドレス(192.168.1.101 など)
- CIDR 表記を使用した IP アドレス ブロック(192.168.1.1/24 など)
FirePOWER システム での CIDR の使用方法については、IP アドレスの規則を参照してください。
手順 6 [SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。
手順 7 [追加(Add)] をクリックします。
[アクセスリスト(Access List)] ページが再度表示され、ユーザが行った変更が反映されます。
手順 8 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
監査ログの設定
ライセンス: 任意(Any)
ASA FirePOWER モジュールが外部ホストに監査ログをストリーミングするように、システム ポリシーを設定できます。
(注) 外部ホストが機能しており、監査ログを送信する ASA FirePOWER モジュールからアクセス可能であることを確認する必要があります。
送信元ホスト名は送信される情報の一部です。ファシリティ、重大度、およびオプションのタグを使用して監査ログ ストリームをより詳細に識別できます。ASA FirePOWER モジュールは、システム ポリシーが適用されるまで監査ログを送信しません。
この機能を有効にしてポリシーを適用し、監査ログを受け入れるように宛先ホストを設定した後で、syslog メッセージが送信されます。次に、出力構造の例を示します。
Date Time Host [
Tag ] Sender: [
User_Name ]@[
User_IP ], [
Subsystem ], [
Action ]
現地の日付、時刻、およびホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
次に例を示します。
Mar 01 14:45:24 localhost [
TAG ] Dev-DC3000: admin@10.1.1.2, Operations > Monitoring, Page View
監査ログの設定を行うには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 システム ポリシーの横にある編集アイコン( )をクリックします。
手順 3 [監査ログ設定(Audit Log Settings)] をクリックします。
[監査ログ設定(Audit Log Settings)] ページが表示されます。
手順 4 [監査ログを Syslog に送信(Send Audit Log to Syslog)] ドロップダウン メニューから、[有効(Enabled)] を選択します。(デフォルト設定では [無効(Disabled)] になっています。)
手順 5 [ホスト(Host)] フィールドにあるホストの IP アドレスまたは完全修飾名を使用して、監査情報の宛先ホストを指定します。デフォルト ポート(514)が使用されます。
注意
監査ログを受け入れるように設定しているコンピュータが、リモート メッセージを受け入れるようにセットアップされていない場合、ホストは監査ログを受け入れません。
手順 6 [ファシリティ(Facility)] フィールドから syslog ファシリティを選択します。
手順 7 [重大度(Severity)] フィールドから重大度を選択します。
手順 8 必要に応じて、[タグ(オプション)(Tag (optional))] フィールドで参照タグを挿入します。
手順 9 定期的な監査ログの更新を外部 HTTP サーバに送信するには、[監査ログを HTTP サーバに送信(Send Audit Log to HTTP Server)] ドロップダウン リストから [有効(Enabled)] を選択します。デフォルト設定では [無効(Disabled)] になっています。
手順 10 [監査情報を送信する URL(URL to Post Audit)] フィールドに、監査情報の送信先 URL を指定します。次にリストされている HTTP POST 変数を要求するリスナー プログラムに対応する URL を入力する必要があります。
-
subsystem
-
actor
-
event_type
-
message
-
action_source_ip
-
action_destination_ip
-
結果
-
時刻
-
tag
(上記のように定義されている場合)
注意
暗号化されたポストを許可するには、HTTPS URL を使用する必要があります。外部 URL に監査情報を送信すると、システム パフォーマンスに影響を与える場合があるので注意してください。
手順 11 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
メール リレー ホストおよび通知アドレスの設定
ライセンス: 任意(Any)
次の処理を行う場合、メール ホストを設定する必要があります。
- イベント ベースのレポートの電子メール送信
- スケジュールされたタスクのステータス レポートの電子メール送信
- 変更調整レポートの電子メール送信
- データ切り捨て通知の電子メール送信
- 侵入イベント アラートについての電子メールの使用
アプライアンスとメール リレー ホスト間の通信に使用する暗号化方式を選択し、必要に応じて、メール サーバの認証資格情報を指定できます。設定を行った後、指定された設定を使用してアプライアンスとメール サーバとの間の接続をテストできます。
メール リレー ホストを設定するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 システム ポリシーの横にある編集アイコン( )をクリックします。
手順 3 [電子メール通知(Email Notification)] をクリックします。
[電子メール通知の設定(Configure Email Notification)] ページが表示されます。
手順 4 [メール リレー ホスト(Mail Relay Host)] フィールドで、使用するメール サーバのホスト名または IP アドレスを入力します。
(注) 入力したメール ホストはアプライアンスからのアクセスを許可している必要があります。
手順 5 [ポート番号(Port Number)] フィールドに、電子メール サーバで使用するポート番号を入力します。ポートは通常、暗号化を使用しない場合は 25、SSLv3 を使用する場合は 465、TLS を使用する場合は 587 です。
手順 6 暗号化方式を選択するには、次のオプションがあります。
- Transport Layer Security を使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [TLS] を選択します。
- セキュア ソケット レイヤを使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [SSLv3] を選択します。
- アプライアンスとメール サーバ間の非暗号化通信を許可するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [なし(None)] を選択します。
アプライアンスとメール サーバとの間の暗号化された通信では、証明書の検証は不要であることに注意してください。
手順 7 アプライアンスによって送信されるメッセージの送信元の電子メール アドレスとして使用する有効な電子メール アドレスを、[送信元アドレス(From Address)] フィールドに入力します。
手順 8 必要に応じて、メール サーバに接続する際にユーザ名とパスワードを指定するには、[認証を使用(Use Authentication)] を選択します。[ユーザ名(Username)] フィールドにユーザ名を入力します。パスワードを [パスワード(Password)] フィールドに入力します。
手順 9 設定したメール サーバを使用してテスト メールを送信するには、[テスト メールのサーバ設定(Test Mail Server Settings)] をクリックします。
テストの成功または失敗を示すメッセージがボタンの横に表示されます。
手順 10 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
SNMP ポーリングの設定
ライセンス: 任意(Any)
システム ポリシーを使用して、アプライアンスの Simple Network Management Protocol(SNMP)ポーリングを有効化できます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、および 3 をサポートします。
システム ポリシー SNMP 機能を有効にすると、アプライアンスで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になることに注意してください。
(注) アプライアンスをポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があります。詳細については、アプライアンスのアクセス リストの設定を参照してください。SNMP MIB にはアプライアンスの攻撃に使用される可能性がある情報も含まれているので注意してください。シスコ では、SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することを推奨しています。シスコ では、SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨しています。
SNMP ポーリングを設定するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 システム ポリシーの横にある編集アイコン( )をクリックします。
手順 3 アプライアンスのポーリングに使用する各コンピュータに SNMP アクセスを追加していない場合は、ここで追加してください。詳細については、アプライアンスのアクセス リストの設定を参照してください。
手順 4 [SNMP] をクリックします。
[SNMP] ページが表示されます。
手順 5 [SNMP バージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。
ドロップダウン リストに選択したバージョンが表示されます。
手順 6 次の選択肢があります。
- [バージョン 1(Version 1)] または [バージョン 2(Version 2)] を選択した場合は、[コミュニティ ストリング(Community String)] フィールドに SNMP コミュニティ名を入力します。ステップ 15 に進みます。
- [Version 3] を選択した場合、[ユーザを追加(Add User)] をクリックするとユーザ定義ページが表示されます。
手順 7 [ユーザ名(Username)] フィールドにユーザ名を入力します。
手順 8 [認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。
手順 9 [認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。
手順 10 [認証パスワード(Authentication Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドに認証パスワードを再入力します。
手順 11 使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。
手順 12 [プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。
手順 13 [プライバシー パスワード(Privacy Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドにプライバシー パスワードを再入力します。
手順 14 [追加(Add)] をクリックします。
ユーザが追加されます。ステップ 6 ~ 13 までを繰り返して、さらにユーザを追加できます。ユーザを削除するには、削除アイコン( )をクリックします。
手順 15 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスの有効化
ライセンス: 任意(Any)
米国連邦政府内の組織は、Security Technical Implementation Guides(STIG)に示されている一連のセキュリティ チェックリストに準拠しなければならない場合があります。STIG コンプライアンス オプションは、米国国防総省によって定められた特定の要件に準拠することを目的とした設定を有効にします。
STIG コンプライアンスを有効にした場合、適用可能なすべての STIG に厳格なコンプライアンスが保証されるわけではありません。
STIG コンプライアンスを有効にすると、ローカル シェル アクセス アカウントのパスワードの複雑さや維持に関するルールが変わります。さらに、STIG コンプライアンス モードでは、 ssh
のリモート ストレージを使用できません。
STIG コンプライアンスが有効なシステム ポリシーを適用すると、アプライアンスが強制的に再起動されるので注意してください。すでに STIG が有効になっているアプライアンスに STIG が有効なシステム ポリシーを適用した場合、アプライアンスは再起動しません。STIG が無効なシステム ポリシーを STIG が有効になっているアプライアンスに適用した場合、STIG は引き続き有効であり、アプライアンスはリブートしません。
注意
サポートからの支援なしでこの設定を無効にすることはできません。また、この設定はシステムのパフォーマンスに大きく影響する可能性があります。シスコ では、米国国防総省のセキュリティ要件に準拠する以外の目的で、STIG コンプライアンスを有効化することを推奨しません。
STIG コンプライアンスを有効にするには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
手順 2 システム ポリシーの横にある編集アイコン( )をクリックします。
手順 3 [STIG コンプライアンス(STIG Compliance)] をクリックします。
[STIG コンプライアンス(STIG Compliance)] ページが表示されます。
手順 4 STIG コンプライアンスをアプライアンスで 永続的に 有効にする場合は、[STIG コンプライアンスを有効化(Enable STIG Compliance)] を選択します。
注意
STIG コンプライアンスが有効なポリシーを適用した後、アプライアンスで STIG コンプライアンスを無効にすることはできません。コンプライアンスを無効にする必要がある場合は、サポートに連絡してください。
手順 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスを有効にするシステム ポリシーをアプライアンスに適用すると、アプライアンスが再起動するので注意してください。STIG が有効なシステム ポリシーをすでに STIG が有効になっているアプライアンスに適用した場合は、アプライアンスはリブートしないことに注意してください。