Encrypted Visibility Engine の概要
暗号化された可視性エンジン(EVE)は、復号を必要とせずに暗号化セッションの可視性を高めるために使用されます。暗号化されたセッションに関する洞察は、シスコの脆弱性データベース(VDB)にパッケージ化されているシスコのオープンソースライブラリによって取得されます。ライブラリは、着信暗号化セッションをフィンガープリントして分析し、一連の既知のフィンガープリントと照合します。この既知のフィンガープリントのデータベースも、Cisco VDB で利用できます。
(注) |
暗号化された可視性エンジンの機能は、Snort 3 を実行している Management Center の管理対象デバイスでのみサポートされます。この機能は、Snort 2 デバイス、Device Manager の管理対象管理デバイス、または CDO ではサポートされていません。 |
EVE の重要な機能の一部を次に示します。
-
EVE から取得した情報を使用して、トラフィックに対してアクセス コントロール ポリシー アクションを実行できます。
-
Cisco Secure Firewall に含まれる VDB には、EVE によって高い信頼値で検出された一部のプロセスにアプリケーションを割り当てる機能があります。または、次の目的でカスタム アプリケーション ディテクタを作成できます。
-
EVE で検出されたプロセスを新しいユーザー定義アプリケーションにマッピングする。
-
EVE で検出されたプロセスにアプリケーションを割り当てるために使用されるプロセス確実性の組み込み値を上書きする。
『Cisco Secure Firewall Management Center Device Configuration Guide』の「Application Detection」の章にある項「Configuring Custom Application Detectors」と「Specifying EVE Process Assignments」を参照してください。
-
-
EVE は、暗号化されたトラフィックで Client Hello パケットを作成したクライアントのオペレーティングシステムのタイプとバージョンを検出できます。
-
EVE は、Quick UDP Internet Connections(QUIC)トラフィックのフィンガープリントと分析もサポートします。Client Hello パケットからのサーバー名は、[接続イベント(Connection Events)] ページの [URL] フィールドに表示されます。
注目 |
Management Center で EVE を使用するには、デバイスに有効な IPS ライセンスが必要です。IPS ライセンスがない場合、ポリシーによって警告が表示され、展開は許可されません。 |
(注) |
EVE は SSL セッションのオペレーティングシステムのタイプとバージョンを検出できます。アプリケーションやパッケージ管理ソフトウェアの実行など、オペレーティングシステムの通常の使用により、OS 検出がトリガーされる可能性があります。クライアント OS 検出を表示するには、EVE トグルボタンを有効にすることに加えて、 を有効にする必要があります。ホスト IP アドレスで使用可能なオペレーティングシステムのリストを表示するには、 をクリックし、該当するホストを選択します。 で [ホスト(Hosts)] |
関連リンク