新規に FTD を展開する場合、Snort 3 がデフォルトの検査エンジンになります。アップグレードされた展開では引き続き Snort 2 が使用されますが、いつでも切り替えることができます。

Snort 3 を使用する利点は次のとおりですが、これに限定されません。

• パフォーマンスの向上。

• SMBv2 インスペクションの改善。

• 新しいスクリプト検出機能。

• HTTP/2 インスペクション。

• カスタムルールグループ。

• カスタム侵入ルールを記述しやすくする構文。

• 侵入イベント内の「would have dropped」インライン結果の理由。

• VDB、SSL ポリシー、カスタム アプリケーション ディテクタ、キャプティブポータル ID ソース、および TLS サーバ ID 検出へ変更を展開するときに Snort が再起動しない。

• Cisco Success Network に送信される Snort 3 固有のテレメトリデータ、およびトラブルシューティングログの改善による、有用性の向上。

Snort 3 侵入ルールの更新は、SRU ではなく LSP（Lightweight Security Package）と呼ばれます。Snort 2 には引き続き SRU が使用されます。シスコからのダウンロードには、最新の LSP と SRU の両方が含まれており、設定に適したルールセットが自動的に使用されます。

FMC は、Snort 2 と Snort 3 の両方のデバイスでの展開を管理でき、各デバイスに正しいポリシーを適用します。ただし、Snort 2 とは異なり、FMC のみをアップグレードしてから展開することで、デバイス上の Snort 3 を更新することはできません。Snort 3 では、新しい機能と解決済みのバグにより、FMC 上のソフトウェアとその管理対象デバイスをアップグレードする必要があります。各ソフトウェアバージョンに含まれている Snort の詳細については、Cisco Firepower Compatibility Guideのバンドルされたコンポーネントのセクションを参照してください。

重要	Snort 3 に切り替える前に、Firepower Management Center Snort 3 Configuration Guideを読んで理解することを強く推奨します。機能の制限と移行手順には特に注意してください。Snort 3 へのアップグレードは影響を最小限に抑えるように設計されていますが、機能は正確にマッピングされません。慎重に計画して準備することで、トラフィックが期待どおりに処理されるようにできます。

Snort 3 の Webサイト（https://snort.org/snort3）にもアクセスできます。https://snort.org/snort3