Firepower Management Center Snort 3 バージョン 7.0 設定ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center Snort 3 バージョン 7.0 設定ガイド

Chapter Title

Snort 2 から Snort 3 への移行

検索結果

Updated:
2021年10月25日月曜日

章のタイトル: Snort 2 から Snort 3 への移行

Snort 2 から Snort 3 への移行

「Snort 2 から Snort 3 への移行」の章では、Snort 2 から Snort 3 への移行のさまざまな側面について説明します。また、Snort 3 の有効化と無効化、および Snort 2 ルールの Snort 3 との同期についても説明します。

Snort 2 と Snort 3 の比較

Snort 3 はアーキテクチャが再設計され、Snort 2 と比較すると同等のリソースでより多くのトラフィックを検査します。Snort 3 では、トラフィックパーサーを簡単かつ柔軟に挿入できます。Snort 3 には、ルールの記述を容易にし、同等の共有オブジェクトルールを表示できる新しいルールシンタックスも用意されています。

次の表に、検査エンジン機能に関する Snort 2 バージョンと Snort 3 バージョンの違いを示します。

機能

Snort 2

Snort 3

パケットスレッド

プロセスごとに 1 つ

プロセスごとに任意の数

コンフィギュレーション メモリの使用

プロセス数 X x GB

合計 x GB。より多くのメモリをパケットに使用可能

設定のリロード

低速

より高速。1 つのスレッドを個別のコアにピン留め可能

ルールのシンタックス

一貫性がなく、改行が必要

任意の空白を含む均一なシステム

ルールのコメント

コメントのみ

#、#begin、および #end マーク。C 言語スタイル

Snort 2 から Snort 3 への移行

Snort 2 から Snort 3 に移行するには、Firepower Threat Defense デバイスの検査エンジンを Snort 2 から Snort 3 に切り替える必要があります。バージョン 7.0 以降のデバイスのみが Snort 3 をサポートしていることに注意してください。

Snort 3 をデバイスの検査エンジンとして有効にすると、(アクセス コントロール ポリシーを介して)デバイスに適用される侵入ポリシーの Snort 3 バージョンがアクティブ化され、デバイスを通過するすべてのトラフィックに適用されます。サポートされているデバイスで Snort 3 を有効にするには、Snort 3 の有効化と無効化を参照してください。

Snort 2 カスタムルール用の変換ツール

カスタムルールを使用している場合は、Snort 2 から Snort 3 に変換する前に、Snort 3 のルールセットを管理する準備ができていることを確認してください。サードパーティベンダーのルールセットを使用している場合は、そのベンダーに連絡して、そのルールが Snort 3 に正常に変換されることを確認するか、または Snort 3 用にネイティブに作成された置換ルールセットを取得します。独自に作成したカスタムルールがある場合は、変換前に Snort 3 ルールの作成に慣れておくと、変換後の Snort 3 検出を最適化するようにルールを更新できます。Snort 3 でのルールの作成の詳細については、次のリンクを参照してください。

Snort 3 ルールの詳細については、https://blog.snort.org/ にある他のブログを参照してください。

システム付属のツールを使用して Snort 2 ルールを Snort 3 ルールに変換するには、Snort 2 のカスタムルールの Snort 3 への変換を参照してください。


重要

Snort 2 ネットワーク分析ポリシー(NAP)の設定を Snort 3 に自動的にコピーすることはできません。NAP 設定は、Snort 3 で手動で複製する必要があります。

Snort 3 の有効化と無効化

Snort 3 は、バージョン 7.0 以降の新規登録 FTD デバイスのデフォルト検査エンジンです。ただし、下位バージョンの FTD デバイスでは、Snort 2 がデフォルトの検査エンジンです。管理対象の FTD デバイスをバージョン 7.0 以降にアップグレードすると、検査エンジンは Snort 2 に残ります。バージョン 7.0 以降のアップグレードされた FTD で Snort 3 を使用するには、明示的に有効にする必要があります。必要に応じて Snort 3 から Snort 2 にいつでも戻すことができます。

必要に応じて Snort のバージョンを切り替えることができます。Snort 2 と Snort 3 の侵入ルールがマッピングされ、マッピングはシステムによって実行されます。ただし、Snort 2 と Snort 3 のすべての侵入ルールの 1 対 1 のマッピングが見つからない場合があります。Snort 2 で 1 つのルールのルールアクションを変更した場合、Snort 2 と Snort 3 を同期せずに Snort 3 に切り替えると、その変更は保持されません。同期の詳細については、Snort 2 のルールと Snort 3 の同期を参照してください。

個々のデバイス上での Snort 3 の有効化と無効化

始める前に

手順の実行が可能なサポートされているユーザロールは次のとおりです。

  • 管理者

  • 侵入管理者

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択します。

ステップ 2

デバイスをクリックして、デバイスのホームページに移動します。

(注)   

デバイスは Snort 2 または Snort 3 としてマークされ、デバイスの現在のバージョンが表示されます。
ステップ 3

[デバイス(Device)] タブをクリックします。

ステップ 4

[検査エンジン(Inspection Engine)] セクションで、[アップグレード(Upgrade)] をクリックします。

(注)   

Snort 3 を無効にするには、[検査エンジン(Inspection Engine)] セクションで [Snort 2 に戻す(Revert to Snort 2)] をクリックします。

ステップ 5

[はい(Yes)] をクリックします。

次のタスク

デバイスに変更を展開します。設定変更の展開を参照してください。

選択した Snort バージョンとの互換性を得るため、システムは展開プロセス中にポリシー設定を変換します。


重要
展開プロセス中に現在の検査エンジンをシャットダウンする必要があるため、一時的なトラフィック損失が発生します。

複数のデバイスでの Snort 3 の有効化と無効化

複数のデバイスで Snort 3 を有効にするには、必要なすべての Firepower Threat Defense(FTD)デバイスが バージョン 7.0 以降であることを確認します。

始める前に

手順の実行が可能なサポートされているユーザロールは次のとおりです。

  • 管理者

  • 侵入管理者

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択します。

ステップ 2

Snort 3 を有効または無効にするすべてのデバイスを選択します。

(注)   

デバイスは Snort 2 または Snort 3 としてマークされ、デバイスの現在のバージョンが表示されます。
ステップ 3

[一括アクションの選択(Select Bulk Action)] ドロップダウンリストをクリックします。

ステップ 4

[Snort 3 へのアップグレード(Upgrade to Snort 3)] をクリックします。

(注)   

Snort 3 を無効にするには、[Snort 2 へのダウングレード(Downgrade to Snort 2)] をクリックします。

ステップ 5

[はい(Yes)] をクリックします。

次のタスク

デバイスに変更を展開します。設定変更の展開を参照してください。

選択した Snort バージョンとの互換性を得るため、システムは展開プロセス中にポリシー設定を変換します。


重要
展開プロセス中に現在の検査エンジンをシャットダウンする必要があるため、一時的なトラフィック損失が発生します。

Snort 2 と Snort 3 のベースポリシーのマッピングの表示

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

[侵入ポリシー(Intrusion Policies)] タブが選択されていることを確認します。

ステップ 3

[IPS マッピング(IPS Mapping)] をクリックします。

Snort 2 のルールと Snort 3 の同期

侵入ポリシーの Snort 2 バージョンと Snort 3 バージョンは、要件に合わせて個別に変更できます。ただし、Snort 2 から Snort 3 に切り替える場合は、相違が発生する可能性があります。Snort 2 のバージョン設定とカスタムルールが保持され、Snort 3 に引き継がれるように、FMC が同期機能を提供します。同期は、Snort 2 ルールのオーバーライド設定とカスタムルールに役立ちます。これらは過去数か月または数年にわたってすでに変更されたり、追加されている可能性があり、それらを Snort 3 バージョンで複製しなければなりません。


重要

  • Snort 2 ルールのオーバーライドとカスタムルールのみが Snort 3 にコピーされ、その逆は行われません。Snort 2 と Snort 3 のすべての侵入ルールの 1 対 1 のマッピングが見つからない場合があります。次の手順を実行すると、両方のバージョンに存在するルールのルールアクションに対する変更が同期されます。

  • 同期では、カスタムまたはシステムによって提供されるルールのしきい値と抑制の設定は Snort 2 から Snort 3 に移行されません。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

[侵入ポリシー(Intrusion Policies)] タブが選択されていることを確認します。

ステップ 3

[Snort 3 の同期ステータスの表示(Show Snort 3 Sync status)] をクリックします。

ステップ 4

同期していない侵入ポリシーを特定します。
ステップ 5

[同期(Sync)] アイコン([非同期 Snort バージョン(snort versions out-of-sync)])をクリックします。

(注)   

侵入ポリシーの Snort 2 バージョンと Snort 3 バージョンが同期されている場合は、[同期(Sync)] アイコンが緑色([同期されている Snort バージョン(snort version in-sync)])で表示されます。

ステップ 6

サマリーを読み、必要に応じてサマリーのコピーをダウンロードします。
ステップ 7

[再同期(Re-Sync)] をクリックします。

(注)   

  • 同期された設定は、Snort 3 侵入エンジンがデバイスに適用され、展開が成功した後にのみ適用されます。

  • Snort 2 カスタムルールは、システム付属のツールを使用してSnort 3 に変換できます。Snort 2 カスタムルールがある場合は、[カスタムルール(Custom Rules)] タブをクリックし、画面の指示に従ってルールを変換します。詳細については、単一の侵入ポリシーの Snort 2 カスタムルールの Snort 3 への変換を参照してください。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ