FireSIGHT System バージョン 5.4.1 ユーザ ガイド

マルウェア防御とファイル制御の設定

ライセンス： Protection または Malware

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

ファイル ポリシーをアクセス コントロール ルールに関連付けることで、全体的なアクセス コントロール設定の一部として、マルウェア防御とファイル制御を設定します。この関連付けにより、アクセス コントロール ルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。

ファイルのポリシーには、その親であるアクセス コントロール ポリシーと同様に、各ルールの条件に一致したファイルをシステムがどのように処理するかを決定するルールが含まれています。ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別個のファイル ルールを設定できます。

あるファイルがルールに一致する場合、ルールで以下を実行できます。

• 単純なファイル タイプ照合に基づいてファイルを許可またはブロックする
• マルウェア ファイルの性質に基づいてファイルをブロックする
• ファイルをキャプチャしてデバイスに保存する
• キャプチャされたファイルを動的分析のために送信する

さらに、ファイル ポリシーによって以下を実行できます。

• クリーン リストまたはカスタム検出リストのエントリに基づいて、ファイルがクリーンまたはマルウェアである場合と同じ方法で自動的にファイルを扱う
• ファイルの脅威スコアが、設定可能なしきい値を超えた場合、マルウェアと同じ方法でファイルを扱う
• アーカイブ ファイル（.zip や .rar など）の内容を検査する
• アーカイブ ファイルの内容が暗号化されている場合、アーカイブのネスト レベルが最大レベル指定値より深い場合、あるいはその反対で検査できない場合、アーカイブ ファイルをブロックする

単純な例として、ユーザによる実行可能ファイルのダウンロードをブロックするファイル ポリシーを導入できます。別の例として、ダウンロードされた PDF でマルウェアを検査し、見つかった場合はそれをブロックできます。ファイル ポリシーについて、およびファイル ポリシーとアクセス コントロール ルールとの関連付けについての詳細は、ファイル ポリシーの概要と作成および侵入防御パフォーマンスの調整を参照してください。

DC500 では Malware ライセンスを使用できないため、このアプライアンスを使用して、ネットワークベースのマルウェア防御やアーカイブ ファイルの内容の検査を行うファイル ポリシーを適用することはできません。同様に、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にできないため、ネットワークベースのマルウェア防御やアーカイブ ファイルの内容の検査を行うファイル ポリシーをこれらのアプライアンスに適用することはできません。

マルウェア防御とファイル制御に基づくイベントのロギング

ライセンス： Protection または Malware

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

Defense Center は、システムのファイル インスペクションおよび処理のレコードを、キャプチャされたファイル、ファイル イベント、およびマルウェア イベントとしてログ記録します。

• キャプチャされたファイル は、システムがキャプチャしたファイル。
• ファイル イベント は、システムがネットワーク トラフィック内で検出した（およびオプションでブロックした）ファイルを表します。
• マルウェア イベント は、システムがネットワーク トラフィック内で検出した（およびオプションでブロックした）マルウェア ファイルを表します。
• レトロスペクティブ マルウェア イベント ：性質がマルウェア ファイルから変更されたファイル。

ファイル内のマルウェアを検出するために、システムはまずファイル自体を検出する必要があるため、ネットワーク トラフィック内のマルウェア検出/ブロックに基づいてシステムがマルウェア イベントを生成するときには、ファイル イベントも生成します。FireAMP コネクタによって生成されたエンドポイント ベースのマルウェア イベント（FireAMP と FireSIGHT システムの統合を参照）には、対応するファイル イベントがないことに注意してください。同様に、システムがネットワーク トラフィック内でファイルをキャプチャするとき、システムはまずファイルを検出するため、ファイル イベントも生成されます。

Defense Center を使用すると、キャプチャされたファイル、ファイル イベント、およびマルウェア イベントを表示、操作、分析して、分析内容を他のユーザに送信できます。Context Explorer、ダッシュボード、イベント ビューア、ネットワーク ファイル トラジェクトリ マップ、およびレポート機能を使用すると、検出/キャプチャ/ブロックされたファイルとマルウェアについてより詳しく理解できます。また、イベントを使用して相関ポリシー違反をトリガーしたり、電子メール、SMTP、または syslog によるアラートを発行したりすることもできます。ファイル イベントとマルウェア イベントの詳細については、ファイル イベントの操作およびマルウェア イベントの操作を参照してください。

DC500 では Malware ライセンスを使用できず、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にすることもできません。このため、これらのアプライアンスを使用して、マルウェア クラウド ルックアップまたはアーカイブ ファイルの内容に関連するキャプチャされたファイル、ファイル イベント、およびマルウェア イベントを生成/分析することはできません。

FireAMP と FireSIGHT システムの統合

ライセンス： 任意（Any）

FireAMP は、シスコが提供するエンタープライズ向けの高度なマルウェア分析/対策ソリューションです。高度なマルウェアの発生、高度な持続的脅威、および標的を絞った攻撃を検出、把握、ブロックします。

組織で FireAMP サブスクリプションをご利用の場合、個々のユーザはエンドポイント（コンピュータとモバイル デバイス）に FireAMP コネクタをインストールします。FireAMP コネクタはさまざまな機能を備えた軽量エージェントです。特に、アップロード、ダウンロード、実行、オープン、コピー、移動などの際にファイルを検査する機能があります。検査対象のファイルにマルウェアが含まれるかどうかを判断するために、これらのコネクタはシスコ クラウドと通信します。

ファイルがマルウェアとして識別された場合、クラウドは脅威の特定に関する情報を Defense Center に送ります。さらに、クラウドは、スキャン、検疫、実行のブロッキング、クラウド リコールなど、他の種類のデータを Defense Center に送信することもできます。Defense Center はこれらの情報をマルウェア イベントとしてログに記録します。

FireAMP 展開を使用すると、マルウェア イベントに基づいて Defense Center で開始される修復やアラート発行を設定できることに加えて、FireAMP ポータル（ http://amp.sourcefire.com/ ）を使ってマルウェアの影響を軽減することもできます。ポータルに備わっている堅牢かつ柔軟な Web インターフェイスを使用すると、FireAMP 展開のすべての局面を制御し、アウトブレイクのすべての段階を管理できます。次の操作を実行できます。

• 組織全体のためのカスタム マルウェア検出ポリシーとプロファイルの設定、およびすべてのユーザのファイルに対するフラッシュ スキャンと完全スキャンの実行
• マルウェア分析の実行：ヒートマップ、詳細なファイル情報、ネットワーク ファイル トラジェクトリ、脅威の根本原因の表示など
• アウトブレイク コントロールのさまざまな局面の設定：自動検疫、検疫されていない実行可能ファイルの実行を停止するアプリケーション ブロッキング、除外リストなど
• カスタム防御の作成、グループ ポリシーに基づく特定のアプリケーションの実行ブロッキング、およびカスタム ホワイトリストの作成

詳細については、次の項を参照してください。

• ネットワークベースの AMP とエンドポイント ベースの FireAMP の比較に、シスコ製品ファミリで使用可能なマルウェア防御戦略の比較を示します。
• FireAMP 用のクラウド接続の操作では、Defense Center とシスコ クラウドの間の通信を直接確立する方法、または FireAMP プライベート クラウド接続によって確立する方法を説明します。

ヒント FireAMP の詳細については、FireAMP ポータルのオンライン ヘルプを参照してください。

ネットワークベースの AMP とエンドポイント ベースの FireAMP の比較

ライセンス： Malware またはすべて

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

ネットワークベースの高度なマルウェア防御戦略と、エンドポイント ベースの FireAMP 戦略の両方からのデータを Defense Center でどのように使用できるかを次の図に示します。

のマルウェア検出はダウンロード時または実行時にエンドポイントで行われるのに対し、管理対象デバイスはネットワーク トラフィック内でマルウェアを検出するため、この 2 種類のマルウェア イベントの情報が異なることに注意してください。たとえば、エンドポイント ベースのマルウェア イベントには、ファイル パス、呼び出し元クライアント アプリケーションなどの情報が含まれるのに対して、ネットワーク トラフィックでのマルウェア検出には、ファイルの送信に使用された接続のポート、アプリケーション プロトコル、発信元 IP アドレス情報が含まれます。

別の例として、ネットワークベースのマルウェア イベントにおけるユーザ情報は、ネットワーク検出で判別されたマルウェア宛先ホストに最後にログインしたユーザを表します。一方、FireAMP で報告されるユーザは、ローカル コネクタで判別されるマルウェア検出場所のエンドポイントに現在ログインしているユーザを表します。

（注） エンドポイント ベースのマルウェア イベントで報告された IP アドレスは、組織のネットワーク マップに含まれない可能性があり、モニタ対象のネットワークにも含まれない可能性があります。展開方法、ネットワーク アーキテクチャ、コンプライアンス レベル、その他の要因により、コネクタがインストールされているエンドポイントは、管理対象デバイスによってモニタされるのと同じホストでない可能性があります。

DC500 では Malware ライセンスを使用できず、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることもできません。したがって、これらのアプライアンスを使用して個別のファイルをキャプチャ/ブロックしたり、動的分析用にファイルを送信したり、アーカイブ ファイルの内容を検査したり、マルウェア クラウド ルックアップの対象となるファイルのトラジェクトリを表示したりすることはできません。

次の表に、2 つの戦略の違いをまとめます。

ファイル ポリシーの作成

ライセンス： Protection または Malware

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

ファイル ポリシーを作成して、その中でルールを設定すると、それをアクセス コントロール ポリシーで使用できるようになります。

DC500 では Malware ライセンスを使用できないため、[マルウェア ブロック（Block Malware）] アクションや [マルウェア クラウド ルックアップ（Malware Cloud Lookup）] アクションを使用するファイル ルールを作成したり、それらのアクションを行うルールを含むファイル ポリシーを適用するためにこのアプライアンスを使用したりできないことに注意してください。同様に、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にできないため、これらのアクションを行うルールを含むファイル ポリシーをこのアプライアンスに適用することはできません。

ヒント 既存のファイル ポリシーのコピーを作成するには、コピー アイコン（）をクリックして、表示されるダイアログ ボックスで新しいポリシーの固有名を入力します。その後、そのコピーを変更できます。

ファイル ポリシーを作成する方法：

アクセス： Admin/Access Admin

手順 1 [ポリシー（Policies）] > [ファイル（Files）] を選択します。

[ファイル ポリシー（File Policies）] ページが表示されます。

手順 2 [新しいファイル ポリシー（New File Policy）] をクリックします。

[新しいファイル ポリシー（New File Policy）] ダイアログ ボックスが表示されます。

新しいポリシーの場合、ポリシーが使用中でないことが Web インターフェイスに示されます。使用中のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用しているアクセス コントロール ポリシーの数が Web インターフェイスに示されます。どちらの場合も、テキストをクリックすると [アクセス コントロール ポリシー（Access Control Policies）] ページに移動できます（アクセス コントロール ポリシーの準備を参照）。

手順 3 新しいポリシーの [名前（Name）] とオプションの [説明（Description）] を入力してから、[保存（Save）] をクリックします。

[ファイル ポリシー ルール（File Policy Rules）] タブが表示されます。

手順 4 ファイル ポリシーに 1 つ以上のルールを追加します。

ファイル ルールを使用すると、ロギング、ブロック、またはマルウェア スキャンの対象となるファイル タイプを詳細に制御できます。ファイル ルールの追加については、ファイル ルールの操作を参照してください。

DC500 では Malware ライセンスを使用できないため、[マルウェア ブロック（Block Malware）] アクションや [マルウェア クラウド ルックアップ（Malware Cloud Lookup）] アクションを使用するファイル ルールを作成したり、それらのアクションを行うルールを含むファイル ポリシーを適用するためにこのアプライアンスを使用したりできません。同様に、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にできないため、これらのアクションを行うルールを含むファイル ポリシーをこのアプライアンスに適用することはできません。

手順 5 詳細オプションを設定します。詳細については、ファイル ポリシーの詳細オプション（[一般（General）]）の設定とアーカイブ ファイルのインスペクション オプションの設定を参照してください。

手順 6 [保存（Save）] をクリックします。

新しいポリシーを使用するには、アクセス コントロール ルールにファイル ポリシーを追加してから、アクセス コントロール ポリシーを適用する必要があります。既存のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

ファイル ルールの操作

ライセンス： Protection または Malware

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

効果を発揮するには、ファイル ポリシーに 1 つ以上のルールが含まれている必要があります。新しいファイル ポリシーを作成するとき、または既存のポリシーを編集するときに表示される [ファイル ポリシー ルール（File Policy Rules）] ページで、ルールを作成、編集、および削除します。このページには、ポリシー内のすべてのルールがリストされ、各ルールの基本的な特性も示されます。

また、このページでは、このファイル ポリシーを使用するアクセス コントロール ポリシーの数も通知されます。この通知をクリックすると、親ポリシーのリストが表示され、オプションで [アクセス コントロール ポリシー（Access Control Policies）] ページに進むことができます。

注意 ファイル タイプまたはファイル カテゴリを追加または削除したり、[ファイル検出（Detect Files）] または [マルウェア ブロック（Block Malware）] に関するファイル ルール アクションを変更したり、[ファイルの保存（Store FIles）] を有効または無効にしたりすると、アクセス コントロール ポリシーを適用するときにトラフィックのインスペクションが一時的に中断され、Snort プロセスが再起動されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、 Snort の再開によるトラフィックへの影響を参照してください。

---

ファイル ルールを作成する方法：

アクセス： Admin/Access Admin

手順 1 [ポリシー（Policies）] > [ファイル（Files）] を選択します。

[ファイル ポリシー（File Policies）] ページが表示されます。

手順 2 次の選択肢があります。

• 新しいポリシーにルールを追加するには、[新しいファイル ポリシー（New File Policy）] をクリックして、新しいポリシーを作成します（ファイル ポリシーの作成を参照）。
• 既存のポリシーにルールを追加するには、ポリシーの横にある編集アイコン（
）をクリックします。

手順 3 表示される [ファイル ポリシー ルール（File Policy Rules）] ページで、[ファイル ルールの追加（Add File Rule）] をクリックします。

[ファイル ルールの追加（Add File Rule）] ダイアログ ボックスが表示されます。

手順 4 [アプリケーション プロトコル（Application Protocol）] を選択します。

デフォルトの [任意（Any）] は、HTTP、SMTP、IMAP、POP3、FTP、および NetBIOS-ssn（SMB）トラフィック内のファイルを検出します。

手順 5 [転送の方向（Direction of Transfer）] を選択します。

ダウンロードされるファイルに関して、以下のタイプの着信トラフィックを検査できます。

• HTTP
• IMAP
• POP3
• FTP
• NetBIOS-ssn（SMB）

アップロードされるファイルに関して、以下のタイプの発信トラフィックを検査できます。

• HTTP
• FTP
• SMTP
• NetBIOS-ssn（SMB）

[任意（Any）] を使用すると、ユーザが送信しているか受信しているかには関係なく、多数のアプリケーション プロトコルを介したファイルが検出されます。

手順 6 ファイル ルールの [アクション（Action）] を選択します。詳細については、 ファイル ルール アクション の表を参照してください。

[ファイル ブロック（Block Files）] または [マルウェア ブロック（Block Malware）] を選択すると、[接続のリセット（Reset Connection）] がデフォルトで有効になります。ファイル転送のブロックが発生した接続をリセット しない ようにするには、このオプションをクリアします。

（注） シスコでは、[接続のリセット（Reset Connection）] を有効のままにしておくことを推奨しています。これにより、ブロックされたアプリケーション セッションが TCP 接続リセットまで開いたままになることを防止できます。

ファイル ルールのアクションの詳細については、ファイル ルール アクションと評価順序を参照してください。

DC500 では Malware ライセンスを使用できないため、[マルウェア ブロック（Block Malware）] アクションや [マルウェア クラウド ルックアップ（Malware Cloud Lookup）] アクションを使用するファイル ルールを作成したり、それらのアクションを行うルールを含むファイル ポリシーを適用するためにこのアプライアンスを使用したりできないことに注意してください。同様に、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS では Malware ライセンスを有効にできないため、これらのアクションを行うルールを含むファイル ポリシーをこのアプライアンスに適用することはできません。

手順 7 [ファイル タイプ（File Types）] を 1 つ以上選択します。複数のファイル タイプを選択するには、Shift キーと Ctrl キーを使用します。ファイル タイプのリストを、次のようにフィルタ処理できます。

• [ファイル タイプ カテゴリ（File Type Categories）] を 1 つ以上選択します。
• 名前または説明でファイル タイプを検索します。たとえば、Microsoft Windows 固有のファイルのリストを表示するには、[名前および説明の検索（Search name and description）] フィールドに Windows と入力します。

ヒント ファイル タイプの上にポインタを移動すると、説明が表示されます。

ファイル ルールで使用できるファイル タイプは、[アプリケーション プロトコル（Application Protocol）] 、 [転送の方向（Direction of Transfer）] 、 および [アクション（Action）] での選択内容に応じて変化します。

たとえば、[転送の方向（Direction of Transfer）] で [ダウンロード（Download）] を選択すると、ファイル イベントが過剰になることを防止するために、[グラフィック（Graphics）] カテゴリから [GIF]、[PNG]、[JPEG]、[TIFF]、および [ICO] が削除されます。

手順 8 選択したファイル タイプを [選択済みのファイル カテゴリとタイプ（Selected Files Categories and Types）] リストに追加します。

• [追加（Add）] をクリックすると、選択したファイル タイプがルールに追加されます。
• 1 つ以上のファイル タイプを [選択済みのファイル カテゴリとタイプ（Selected Files Categories and Types）] リストの中にドラッグ アンド ドロップします。
• カテゴリを選択して [選択済みカテゴリにあるすべてのタイプ（All types in selected Categories）] をクリックしてから、[追加（Add）] をクリックするか、選択項目を [選択済みのファイル カテゴリとタイプ（Selected Files Categories and Types）] リストの中にドラッグ アンド ドロップします。

手順 9 [保存（Save）] をクリックします。

ファイル ルールがポリシーに追加されます。既存のファイル ポリシーを編集している場合、変更内容を有効にするには、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

ファイル ポリシーの詳細オプション（[一般（General）]）の設定

ライセンス： Malware

サポートされるデバイス： 機能に応じて異なる

サポートされる防御センター： 機能に応じて異なる

ファイル ポリシーでは、[一般（General）] セクションにある以下の詳細オプションを設定できます。アーカイブ ファイル インスペクションの詳細オプションについては、アーカイブ ファイルのインスペクション オプションの設定を参照してください。

DC500 では Malware ライセンスを使用できないため、これらの設定を使用/変更できないことに注意してください。同様に、シリーズ 2 デバイスまたは Blue Coat X-Series 向け Cisco NGIPS で Malware ライセンスを有効にすることはできないため、これらの設定を有効にしたファイル ポリシーを適用することはできません。

ファイル ポリシーの詳細オプション（[一般（General）]）を設定するには、次の手順を実行します。

アクセス： Admin/Access Admin

手順 1 [ポリシー（Policies）] > [ファイル（Files）] を選択します。

[ファイル ポリシー（File Policies）] ページが表示されます。

手順 2 編集するポリシーの横にある編集アイコン（ ）をクリックします。

[ファイル ポリシー ルール（File Policy Rules）] ページが表示されます。

手順 3 [詳細設定（Advanced）] タブを選択します。

[詳細設定（Advanced）] タブが表示されます。

手順 4 [一般（General）] セクションで、 ファイル ポリシーの詳細オプション（[一般（General）]） の表に示すように、オプションを変更します。

手順 5 [保存（Save）] をクリックします。

編集したファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

アーカイブ ファイルのインスペクション オプションの設定

ライセンス： Malware

サポートされるデバイス： すべて（シリーズ 2 または X-シリーズ を除く）

サポートされる防御センター： DC500 を除くいずれか

アーカイブ ファイル（.zip または .rar など）は多くの場合、モニタ対象トラフィックで現れます。正当な情報を圧縮して転送するための便利な方法にすぎないものもあれば、マルウェアや他の望ましくないファイルを隠そうとするものもあります。組織のニーズに合わせてアーカイブ ファイルを分析し、必要に応じてブロックできるように、アーカイブ ファイルの内容を検査するようファイル ポリシーを設定できます。圧縮解除されたファイルに適用できるすべての機能（動的分析やファイル ストレージなど）は、アーカイブ ファイル内のネストされたファイルに使用可能です。コンテキスト メニューを使用して、イベント ビューアまたはファイル トラジェクトリ ビューアからアーカイブ ファイルの内容を表示できます。詳細については、項アーカイブ ファイルの内容の表示を参照してください。

（注） アーカイブ ファイルを含むトラフィックがセキュリティ インテリジェンスによってブラックリスト登録またはホワイトリスト登録された場合、またはトップレベルのアーカイブ ファイルの SHA-256 値がカスタム検出リストにある場合、システムはアーカイブ ファイルの内容を検査しません。ネストされたファイルがブラックリスト登録された場合、アーカイブ全体がブロックされます。しかし、ネストされたファイルがホワイトリスト登録された場合、アーカイブは自動的に渡されません（他のネストされたファイルおよび特性による）。詳細については、グローバル ホワイトリストおよびブラックリストの操作を参照してください。

一部のアーカイブ ファイルには、追加のアーカイブ ファイル（など）が含まれています。ファイルがネストされるレベルは、その アーカイブ ファイルの深さ です。トップレベルのアーカイブ ファイルは深さの数で考慮されないことに注意してください。深さは最初にネストされたファイルで 1 から始まります。システムでは、ネストされたアーカイブ ファイルを最大 3 レベルまでしか検査できませんが、その深さ（または指定したそれより低い最大深さ）を超えるアーカイブ ファイルをブロックするようファイル ポリシーを設定できます。ネストされたアーカイブをさらに制限する場合は、2 または 1 のより低い最大ファイル深さを設定するオプションがあります。最大アーカイブ ファイルの深さ 3 を超えるファイルをブロックしないよう選択した場合、抽出可能な内容と深さ 3 以上でネストされた内容を含むアーカイブ ファイルがモニタ対象のトラフィックに現れると、システムは検査可能だったファイルについてのみデータを検査して報告します。

アーカイブ ファイルは、それに含まれているファイルの性質に基づいてファイルの性質を取得します。識別されたマルウェア ファイルを含んでいる すべて のアーカイブは、 マルウェア（Malware） の性質になります。識別されたマルウェア ファイルを含んでいないアーカイブの場合、いずれかの不明なファイルが含まれていれば 不明（Unknown） の性質、クリーン ファイルのみが含まれていれば クリーン（Clean） の性質になります。ファイルの性質の詳細については、ファイルの性質についてを参照してください。

次の表に、ファイル ポリシーで設定できるアーカイブ ファイルのインスペクション オプションを示します。

表 37-8 アーカイブ ファイルのインスペクション オプション

フィールド	説明	デフォルト値（Default Value）
アーカイブの検査（Inspect Archives）	アーカイブ ファイルの内容を検査する場合に選択します。このオプションがオフの場合、下のオプションはグレー表示となり使用できません。 注意 アーカイブ ファイルのインスペクションを有効または無効にすると、変更を適用するときにトラフィックのインスペクションが一時的に中断され、Snort プロセスが再起動されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、 Snort の再開によるトラフィックへの影響を参照してください。	無効
暗号化されたアーカイブをブロック（Block Encrypted Archives）	暗号化された内容があるアーカイブ ファイルをブロックする場合に選択します。	無効
検査不可のアーカイブをブロック（Block Uninspectable Archives）	システムが暗号化以外の理由で検査できない内容を含むアーカイブ ファイルをブロックする場合に選択します（これは通常、何らかの理由で破損したファイル、または指定した最大アーカイブの深さを超えるファイルに適用されます）。	[有効（Enabled）]
アーカイブの最大深度（Max Archive Depth）	ネストされたアーカイブ ファイルの最大深さを指定します。この深さを超えるアーカイブ ファイルはブロックされます。値は 1 、 2 、または 3 にしてください。トップレベルのアーカイブ ファイルはこの数で考慮されません。深さは最初にネストされたファイルで 1 から始まります。	2

アーカイブ ファイルのインスペクション オプションを設定するには、次の手順を実行します。

アクセス： Admin/Access Admin

手順 1 [ポリシー（Policies）] > [ファイル（Files）] を選択します。

[ファイル ポリシー（File Policies）] ページが表示されます。

手順 2 編集するポリシーの横にある編集アイコン（ ）をクリックします。

[ファイル ポリシー ルール（File Policy Rules）] ページが表示されます。

手順 3 [詳細設定（Advanced）] タブを選択します。

[詳細設定（Advanced）] タブが表示されます。

手順 4 [アーカイブ ファイルのインスペクション（Archive File Inspection）] セクションで、 アーカイブ ファイルのインスペクション オプション に示すように、オプションを変更します。

手順 5 [保存（Save）] をクリックします。

編集したファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

アーカイブ ファイルの内容の表示

ライセンス： Malware

サポートされるデバイス： すべて（シリーズ 2 または X-シリーズ を除く）

サポートされる防御センター： DC500 を除くいずれか

アーカイブ ファイルの内容を検査するようにファイル ポリシーが設定されている場合は、イベント ビューアのコンテキスト メニューおよびネットワーク ファイル トラジェクトリ ビューアを使用して、アーカイブ ファイルがファイル イベント、マルウェア イベントに現れた場合、またはキャプチャされたファイルとして現れた場合に、アーカイブ内のファイルに関する情報を表示できます。

詳細については、以下を参照してください。

• コンテキスト メニューの使用
• ファイル イベントの表示
• マルウェア イベントの表示
• キャプチャ ファイルの表示
• ネットワーク ファイル トラジェクトリの確認

[アーカイブ コンテンツ（Archive Contents）] ウィンドウは 2 つの方法で表示できます。対象となるアーカイブ ファイルを右クリックして、コンテキスト メニューから [アーカイブ コンテンツの表示（View Archive Contents）] を選択することでイベント ビューアから表示するか、または [アーカイブ コンテンツ（Archive Contents）] の下の表示アイコン（ ）をクリックして、アーカイブ ファイルのファイル トラジェクトリ ビューから表示します。いずれの場合も、表示されるウィンドウは同じです。次の図は、[アーカイブ コンテンツ（Archive Contents）] ウィンドウの例を示しています。

アーカイブのすべてのファイル コンテンツは表形式でリストされます。そのリストには、名前、SHA-256 ハッシュ値、タイプ、カテゴリ、およびアーカイブの深さといった関連情報の概略が含まれています。ネットワーク ファイル トラジェクトリ アイコンはファイルごとに表示されます。そのアイコンをクリックすることで、ネットワーク トラジェクトリ機能を使用した特定のファイルに関する詳細な情報を表示することができます。

イベント ビューアからアーカイブされたファイルの内容を表示するには、次の手順を実行します。

アクセス： Admin/Access Admin

手順 1 選択したイベント ビューアに移動します。次の 3 つのオプションがあります。

• マルウェア イベントの場合は、[分析（Analysis）] > [ファイル（Files）] > [マルウェア イベント（Malware Events）] を選択します。
• ファイル イベントの場合は、[分析（Analysis）] > [ファイル（Files）] > [ファイル イベント（File Events）] を選択します。
• キャプチャされたファイルの場合は、[分析（Analysis）] > [ファイル（Files）] > [キャプチャされたファイル（Captured Files）] を選択します。

デフォルトのイベント ワークフローの最初のページが表示されます。

手順 2 検査するアーカイブ ファイルが表示されるテーブルの行を右クリックします。

コンテキスト メニューが表示されます。

手順 3 コンテキスト メニューから、[アーカイブ コンテンツの表示（View Archive Contents）] をクリックします。

[アーカイブ コンテンツ（Archive Contents）] ウィンドウが表示されます。

ファイル トラジェクトリ ビューアからアーカイブされたファイルの内容を表示するには、次の手順を実行します。

アクセス： Admin/Access Admin

手順 1 [分析（Analysis）] > [ファイル（Files）] > [ネットワーク ファイル トラジェクトリ（Network File Trajectory）] を選択します。

[ネットワーク ファイル トラジェクトリ リスト（Network File Trajectory List）] ページが表示されます。

手順 2 検査するアーカイブ ファイルのファイル トラジェクトリ アイコン（ ）をクリックします。

そのファイルのファイル トラジェクトリ ページが表示されます。

手順 3 [アーカイブ コンテンツ（Archive Contents）] の下で、表示アイコン（ ）をクリックします。

[アーカイブ コンテンツ（Archive Contents）] ウィンドウが表示されます。

2 つのファイル ポリシーの比較

ライセンス： Protection

変更後のポリシーが組織の標準に準拠することを確かめたり、システム パフォーマンスを最適化したりする目的で、任意の 2 つのファイル ポリシー間の違いや、同じポリシーの 2 つのリビジョン間の違いを調べることができます。

ファイル ポリシーの 比較ビュー には、2 つのポリシーまたはリビジョンが並んで表示され、各ポリシー名の横には最終変更時刻と最後に変更したユーザが表示されます。2 つのポリシー間の差異は、次のように強調表示されます。

• 青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。
• 緑色は強調表示された設定が一方のポリシーには存在するが、他方には存在しないことを示します。

[前へ（Previous）] と [次へ（Next）] をクリックすると、前後の相違箇所に移動できます。左側と右側の間にある二重矢印アイコン（ ）が移動し、表示している違いを示す [差異（Difference）] 番号が変わります。オプションで、ファイル ポリシーの 比較レポート を生成できます。これは PDF 版の比較ビューです。

2 つのファイル ポリシーを比較する方法：

アクセス： Admin/Access Admin

手順 1 [ポリシー（Policies）] > [ファイル（Files）] を選択します。

[ファイル ポリシー（File Policies）] ページが表示されます。

手順 2 [ポリシーの比較（Compare Policies）] をクリックします。

[比較の選択（Select Comparison）] ダイアログ ボックスが表示されます。

手順 3 [比較対象（Compare Against）] ドロップダウン リストから、比較するタイプを次のように選択します。

• 2 つの異なるポリシーを比較するには、[実行中の設定（Running Configuration）] または [他のポリシー（Other Policy）] を選択します。この 2 つのオプションの違いは、[実行中の設定（Running Configuration）] を選択した場合、現在適用されている一連のファイル ポリシーの中からのみ、比較対象の 1 つを選択できます。
• 同じポリシーの複数のバージョンを比較するには、[その他のリビジョン（Other Revision）] を選択します。

ダイアログ ボックスの表示が更新され、比較オプションが示されます。

手順 4 選択した比較タイプに応じて、次のような選択肢があります。

• 2 つの異なるポリシーを比較する場合、比較対象のポリシーとして [ポリシー A（Policy A）] または [ターゲット/実行中の設定 A（Target/Running Configuration A）] のどちらかと、[ポリシー B（Policy B）] とを選択します。
• 同じポリシーのバージョン間を比較する場合、対象の [ポリシー（Policy）] を選択してから、2 つのリビジョン [リビジョン A（Revision A）] と [リビジョン B（Revision B）] を選択します。リビジョンは、日付とユーザ名別にリストされます。

手順 5 [OK] をクリックします。

比較ビューが表示されます。

手順 6 必要に応じて、アクセス コントロール ポリシー比較レポートを生成するには [比較レポート（Comparison Report）] をクリックします。

比較レポートが表示されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウで表示されるか、コンピュータにレポートを保存するようにプロンプトが出されることがあります。

シスコ クラウド接続の作成

ライセンス： 任意（Any）

Defense Center とシスコ クラウドの間の接続の作成は、2 段階からなるプロセスです。まず、クラウドに接続するよう Defense Center を設定します。次に、FireAMP ポータルにログインして接続を承認します。FireAMP サブスクリプションがない場合は、登録プロセスを完了できません。

デフォルトでは、ネットワークベース AMP で有効になっている米国のパブリック クラウドに接続しています。この接続はファイル ポリシーでのファイル ルックアップに使用されます。

工場出荷時の初期状態に復元された Defense Center、またはクラウドへの登録中に取り消された Defense Center を再登録するには、再登録する前に FireAMP に接続し、Defense Center を削除する必要があります。

FireAMP 用のシスコ クラウド接続を作成する方法：

アクセス： 管理

手順 1 [AMP（AMP）] > [AMP 管理（AMP Management）] を選択します。

[AMP 管理（AMP Management）] ページが表示されます。

手順 2 [FireAMP 接続の作成（Create FireAMP Connection）] をクリックします。

[Create FireAMP Connection] ダイアログ ボックスが表示されます。

手順 3 [クラウド名（Cloud Name）] ドロップダウン ボックスから、使用するクラウドを選択します。

• 欧州連合クラウドの場合、[EU クラウド（EU Cloud）] を選択します。
• 米国クラウドの場合、[US クラウド（US Cloud）] を選択します。
• プライベート クラウドの場合、[プライベート クラウド（Private Cloud）] を選択し、FireAMP プライベート クラウドの操作に示されている追加の手順に従います。

手順 4 [登録（Register）] をクリックします。

手順 5 FireAMP ポータルに移動してもよいことを確認し、ポータルにログインします。

ポータルの [アプリケーション（Applications）] ページが表示されます。このページを使用して、シスコ クラウドがマルウェア イベントを Defense Center に送信することを承認します。

手順 6 オプションで、マルウェア イベントの受信対象となる組織内の特定のグループを選択できます。

受信するイベントを制限する必要がある場合にのみ、グループを選択してください。デフォルトで、Defense Center はすべてのグループに関するマルウェア イベントを受信します。

ヒント グループを管理するには、FireAMP ポータルで [Management] > [Groups] を選択します。詳細については、ポータルのオンライン ヘルプを参照してください。

手順 7 [許可（Allow）] をクリックします。

Defense Center の [FireAMP Management] ページに戻ります。接続が有効になり、Defense Center はクラウドからマルウェア イベントを受信し始めます。

なお、[拒否（Deny）] をクリックした場合にも Defense Center に戻りますが、クラウド接続には拒否マークが付きます。同様に、接続を拒否/許可しないまま FireAMP ポータルの [Applications] ページから別のページに移動した場合、Defense Center の Web インターフェイスでは接続に保留中のマークが付きます。どちらの場合も、ヘルス モニタはアラートを 出しません 。後でクラウドに接続するには、失敗した接続または保留中の接続を削除してから再作成する必要があります。

エンドポイント ベース FireAMP 接続の登録が完了していない場合、ネットワークベース AMP 接続は無効になりません。

クラウド接続の削除または無効化

ライセンス： 任意（Any）

クラウドからマルウェア イベントを受信する必要がなくなった場合は、シスコ クラウド接続またはプライベート クラウド接続を削除します。ネットワークベース AMP で有効なクラウド接続は削除できません。

一時的に特定の接続でのマルウェア イベント受信を停止するには、接続を削除するのではなく、接続を無効にすることができます。その場合、接続が再び有効にされるまでクラウドはイベントを保存し、有効になった後、保存済みイベントがクラウドから送信されます。

注意 まれに、イベント レートが非常に高い場合や接続が長期間無効になっていた場合など、接続無効中に生成されたすべてのイベントをクラウドで保存できないことがあります。

---

なお（Defense Center の Web インターフェイスではなく）FireAMP ポータルを使用して接続の登録を解除すると、イベント送信が停止しますが、Defense Center からは接続が削除されないことに注意してください。登録解除された接続は [FireAMP Management] ページで失敗状態として表示され、それを削除する必要があります。

Defense Center を使用してクラウド接続を有効または無効にする方法：

アクセス： 管理

手順 1 [AMP 管理（AMP Management）] ページで、削除する接続の横のスライダをクリックしてから、接続を有効または無効にすることを確認します。

接続を有効にすると、クラウドは Defense Center にイベントを送信し始めます。このとき、接続が無効だった間に発生したイベントも送信されます。クラウドは、無効化された接続のイベントを送信しません。

Defense Center を使用してクラウド接続を削除する方法：

アクセス： 管理

手順 1 [AMP 管理（AMP Managemenet）] ページで、削除する接続の横の削除アイコン（ ）をクリックしてから、接続の削除を確認します。

接続が削除され、クラウドは Defense Center へのイベントの送信を停止します。

FireAMP プライベート クラウドの操作

ライセンス： 任意（Any）

組織のプライバシーやセキュリティ上の理由で、モニタ対象ネットワークと外部クラウド サーバとの間で頻繁に接続することが困難、または不可能な場合があります。この場合、FireAMP プライベート クラウドを入手して設定することができます。これはシスコ独自の仮想マシンであり、ネットワークとシスコ FireAMP クラウドの間のセキュアなメディエータとして機能します。多くのアプライアンスからの識別可能な接続の代わりに、パブリックの外部 シスコ クラウドへのすべての必要な接続が一括してプライベート クラウド経由で流れます。プライベート クラウドは匿名化されたプロキシとして動作することで、モニタ対象ネットワークのセキュリティとプライバシーを確保します。各プライベート クラウドは、最大で 10,000 個のコネクタをサポートできます。組織の必要に応じて、ネットワーク上に複数のプライベート クラウドを設定できます。

FireAMP プライベート クラウドは、クラウドベースによるファイルの性質ルックアップ処理、エンドポイント ベースの FireAMP イベント取得、およびレトロスペクティブ マルウェア イベント生成を処理します。パブリック クラウドの代わりに機能するプライベート クラウドは、FireAMP コネクタのエンドポイントからマルウェア イベントを収集して、それらを Defense Center に送信します。匿名化されたプロキシ プライベート クラウド接続を介して、（ファイルの性質や SHA-256 値などを判別するための）パブリックの シスコ クラウドへの照会だけが、ネットワークから発信されます。エンドポイント イベント データは、ネットワークから発信されません。

クラウドベースのファイル機能およびマルウェア機能の詳細については、以下を参照してください。

• マルウェア防御とファイル制御について
• FireAMP と FireSIGHT システムの統合
• 動的分析の操作
• エンドポイントベース（FireAMP）のマルウェア イベント
• レトロスペクティブ マルウェア イベント

本ドキュメンテーション、およびプライベート クラウドでサポートされる機能に関する他のドキュメンテーションで「クラウド」または「シスコ クラウド」に言及する場合、特に明記されない限り、プライベート クラウドを介した接続も当てはまります。プライベート クラウドは標準のクラウド接続と同じオープン ポートを必要とし、同じハイ アベイラビリティ制限事項があります。

（注） FireAMP プライベート クラウドは、マルウェア関連およびファイル関連のクラウドベース機能のみをサポートします。クラウド接続を使用するその他の FireSIGHT システム機能（URL フィルタリングやセキュリティ インテリジェンスなど）はサポートされません。また、プライベート クラウドは動的分析機能をサポートしませんが、プライベート クラウドを使用して、シスコがすでに動的に分析したファイルの脅威スコアを取得できます。

Defense Center と FireAMP プライベート クラウドの間の接続を作成するには、まず FireAMP プライベート クラウドを設定する必要があります（サポート サイトで入手可能な『 FireAMP Private Cloud Administration Portal User Guide 』の手順に従います）。この設定中に、[FireAMP コンソール（FireAMP Console）] フィールドに表示されるプライベート クラウド ホスト名を必ずメモしておいてください。プライベート クラウドを Defense Center に接続するために、このホスト名が必要になります。プライベート クラウドが正常に設定されると、設定済みのパブリック クラウド接続がある場合はそれがすべて自動的に無効化されることに注意してください。

Defense Center と FireAMP プライベート クラウドの間の接続を作成する方法：

アクセス： 管理

手順 1 [AMP（AMP）] > [AMP 管理（AMP Management）] を選択します。

[AMP 管理（AMP Management）] ページが表示されます。

手順 2 [FireAMP 接続の作成（Create FireAMP Connection）] をクリックします。

[Create FireAMP Connection] ダイアログ ボックスが表示されます。

手順 3 [クラウド名（Cloud Name）] ドロップダウンリストから [プライベート クラウド（Private Cloud）] を選択します。

追加のフィールドがダイアログボックスに表示されます。

手順 4 [名前（Name）] フィールドに、プライベート クラウド接続の名前を入力します。この名前は、マルウェア イベントを表示したときに FireAMP クラウド イベント フィールドに表示されます。

手順 5 [ホスト（Host）] フィールドに、プライベート クラウドのホスト名を入力します。これは、FireAMP プライベート クラウド仮想マシンを設定したときに [FireAMP コンソール（FireAMP Console）] フィールドに表示されたものです。

手順 6 [証明書アップロード パス（Certificate Upload Path）] フィールドで、プライベート クラウドの有効な TLS または SSL 暗号化証明書情報の場所を参照します。詳細については、『 FireAMP Private Cloud Administration Portal User Guide 』を参照してください。

手順 7 モニタ対象ネットワーク用に複数のプライベート クラウドが設定されている場合、どのプライベート クラウドでネットワークベースのマルウェア ルックアップを処理するかを決定するには、[ネットワーク AMP に使用（Use For NetworkAMP）] チェックボックスをオンまたはオフにします。1 つのプライベート クラウドだけが設定されている場合、デフォルトでチェックボックスがオンになり、オフにすることはできません。

手順 8 Defense Center で設定されたプロキシ接続があり、そのプロキシ接続をプライベート クラウドに使用する場合は、[接続にプロキシを使用（Use Proxy for Connection）] チェックボックスを選択します。このオプションが選択されていない場合、プライベート クラウドはその通信に設定されたプロキシを使用 しません 。

手順 9 [登録（Register）] をクリックします。

ダイアログボックスが表示され、プライベート クラウド設定を作成すると設定済みのすべてのパブリック クラウド接続が無効になることが通知されます。

手順 10 [Yes] をクリックします。

FireAMP ポータルに移動してもよいことを確認し、ポータルにログインします。

手順 11 プライベート クラウド情報がシステムによって処理され、設定を完了するために FireAMP サイトにリダイレクトされます。詳細な手順については、『 FireAMP Private Cloud Administration Portal User Guide 』を参照してください。