Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: 修復
修復
以下のトピックでは、修復の設定について説明します。
修復の概要
修復は Firepower システムが相関ポリシー違反に応じて起動するプログラムです。
修復を実行すると、システムは修復ステータス イベントを生成します。修復ステータス イベントには、修復の名前、相関ポリシー、修復をトリガーしたルール、終了ステータス メッセージなどの詳細が含まれています。
システムは以下に挙げる複数の修復モジュールをサポートしています。
 ヒント | 他のタスクを実行するカスタム モジュールをインストールすることもできます。Firepower System Remediation API Guideを参照してください。 |
修復の実装
修復を実装するには、まず選択したモジュールに対して少なくとも 1 つのインスタンスを作成します。モジュールごとに複数のインスタンスを作成することができ、各インスタンスは別々に設定できます。たとえば、Cisco IOS Null ルート修復モジュールを使用して複数のルータと通信するには、そのモジュールのインスタンスを複数設定します。
次に、ポリシー違反の際に実行するアクションを説明する複数の修復を各インスタンスに追加します。
修復およびマルチテナンシー
マルチドメイン展開では、どのドメインのレベルでもカスタムの修復モジュールをインストールできます。システム提供のモジュールはグローバル ドメインに属します。
先祖ドメインで作成されたインスタンスに修復を追加することはできませんが、現在のドメインで同様に設定されるインスタンスを作成し、そのインスタンスに修復を追加することは可能です。また、先祖ドメインで作成した修復は、相関応答として使用することもできます。
Cisco IOS Null ルート修復
Cisco IOS Null ルート修復モジュールでは、シスコ「null route」コマンドを使って、個別の IP アドレスまたは IP アドレスの範囲をブロックすることができます。これにより、ホストまたはネットワークに送信されるすべてのトラフィックがルータの NULL インターフェイスにルーティングされ、ドロップされます。違反ホストまたはネットワークから送信されるトラフィックはブロックされません。
 (注) | ディスカバリまたはホスト入力イベントに基づく相関ルールへの応答として接続先ベースの修復を使用しないでください。これらのイベントは、送信元ホストに関連付けられます。 |
 注意 | Cisco IOS 修復がアクティブになる際、タイムアウト期間はありません。IP アドレスまたはネットワークのブロックを解除するには、ルータから手動でルーティング変更をクリアする必要があります。 |
Cisco IOS ルータ用修復の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
(注) | 検出またはホスト入力イベントに基づく相関ルールへの応答として、宛先ベースの修復を使用しないでください。これらのイベントは、送信元ホストに関連付けられます。 |
注意 | Cisco IOS 修復がアクティブになる際、タイムアウト期間はありません。IP アドレスまたはネットワークのブロックを解除するには、ルータから手動でルーティング変更をクリアする必要があります。 |
| ステップ 1 | Cisco ルータまたは IOS ソフトウェアに付属のドキュメントの説明に従って、Cisco ルータで Telnet を有効にします。 |
| ステップ 2 | Firepower Management Center で、使用する予定の各 Cisco IOS ルータに対する Cisco IOS ヌル ルート インスタンスを追加します。Cisco IOS インスタンスの追加を参照してください。 |
| ステップ 3 | 相関ポリシーに違反した場合にルータで実現する応答のタイプに基づき、インスタンスごとに修復を作成します。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
Cisco IOS インスタンスの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
次の作業
-
Cisco IOS ブロック宛先の修復の追加、Cisco IOS ブロック宛先ネットワークの修復の追加、Cisco IOS ブロック送信元の修復の追加、および Cisco IOS ブロック送信元ネットワークの修復の追加の説明に従い、相関ポリシーで使用する特定の修復を追加します。
Cisco IOS ブロック宛先の修復の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
Cisco IOS ブロック宛先修復は、ルータから、相関ポリシー違反に関与している宛先ホストに送信されるトラフィックをブロックします。この修復を、検出またはホスト入力イベントに基づく相関ルールへの応答として使用しないでください。これらのイベントは、送信元ホストに関連付けられています。
マルチドメイン展開では、先祖ドメインで作成されたインスタンスに修復を追加することはできません。
-
Cisco IOS インスタンスの追加 の説明に従い、Cisco IOS インスタンスを追加します。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復を追加するインスタンスの横にある表示アイコン( )をクリックします。 |
| ステップ 3 | [設定されている修復(Configured Remediations)] セクションで、[宛先のブロック(Block Destination)] を選択し、[追加(Add)] をクリックします。
コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [修復名(Remediation Name)] と [説明(Description)] を入力します。 |
| ステップ 5 | [作成(Create)] をクリックし、次に [完了(Done)] をクリックします。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
Cisco IOS ブロック宛先ネットワークの修復の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
Cisco IOS ブロック宛先ネットワーク修復は、ルータから、相関ポリシー違反に関与している宛先ホストのネットワークに送信されるトラフィックをブロックします。この修復を、検出またはホスト入力イベントに基づく相関ルールへの応答として使用しないでください。 これらのイベントは、送信元ホストに関連付けられています。
マルチドメイン展開では、先祖ドメインで作成されたインスタンスに修復を追加することはできません。
-
Cisco IOS インスタンスの追加 の説明に従い、Cisco IOS インスタンスを追加します。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復を追加するインスタンスの横にある表示アイコン()をクリックします。 |
| ステップ 3 | [設定されている修復(Configured Remediations)] セクションで、[宛先ネットワークのブロック(Block Destination Network)] を選択し、[追加(Add)] をクリックします。
コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [修復名(Remediation Name)] と [説明(Description)] を入力します。 |
| ステップ 5 | [ネットマスク(Netmask)] フィールドに、サブネット マスクを入力するか、または CIDR 表記を使用して、トラフィックをブロックするネットワークを記述します。
たとえば、1 つのホストがルールをトリガーとして使用したときにクラス C ネットワーク全体へのトラフィックをブロックするには、ネットマスクとして 255.255.255.0 または 24 を使用します。 別の例として、トリガーの IP アドレスを含む 30 個のアドレスへのトラフィックをブロックするには、ネットマスクとして 255.255.255.224 または 27 を指定します。この場合、IP アドレス 10.1.1.15 が修復をトリガーとして使用し、10.1.1.1 と 10.1.1.30 の間のすべての IP アドレスがブロックされます。トリガーの IP アドレスのみをブロックするには、このフィールドは空のままにして、32 を入力するか、または 255.255.255.255 を入力します。 |
| ステップ 6 | [作成(Create)] をクリックし、次に [完了(Done)] をクリックします。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
Cisco IOS ブロック送信元の修復の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
Cisco IOS ブロック送信元修復は、ルータから、相関ポリシー違反に関与している送信元ホストに送信されるトラフィックをブロックします。
マルチドメイン展開では、先祖ドメインで作成されたインスタンスに修復を追加することはできません。
-
Cisco IOS インスタンスの追加 の説明に従い、Cisco IOS インスタンスを追加します。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復を追加するインスタンスの横にある表示アイコン()をクリックします。 |
| ステップ 3 | [設定されている修復(Configured Remediations)] セクションで、[送信元のブロック(Block Source)] を選択し、[追加(Add)] をクリックします。
コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [修復名(Remediation Name)] と [説明(Description)] を入力します。 |
| ステップ 5 | [作成(Create)] をクリックし、次に [完了(Done)] をクリックします。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
Cisco IOS ブロック送信元ネットワークの修復の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
Cisco IOS ブロック送信元ネットワーク修復は、ルータから、相関ポリシー違反に関与している送信元ホストのネットワークに送信されるトラフィックをブロックします。
マルチドメイン展開では、先祖ドメインで作成されたインスタンスに修復を追加することはできません。
-
Cisco IOS インスタンスの追加 の説明に従い、Cisco IOS インスタンスを追加します。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復を追加するインスタンスの横にある表示アイコン()をクリックします。 |
| ステップ 3 | [設定されている修復(Configured Remediations)] セクションで、[送信元ネットワークのブロック(Block Source Network)] を選択し、[追加(Add)] をクリックします。
コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [修復名(Remediation Name)] と [説明(Description)] を入力します。 |
| ステップ 5 | [ネットマスク(Netmask)] フィールドに、トラフィックをブロックするネットワークの説明となるサブネット マスクまたは CIDR 表記を入力します。
たとえば、1 つのホストがルールをトリガーとして使用したときにクラス C ネットワーク全体へのトラフィックをブロックするには、ネットマスクとして 255.255.255.0 または 24 を使用します。 別の例として、トリガーの IP アドレスを含む 30 個のアドレスへのトラフィックをブロックするには、ネットマスクとして 255.255.255.224 または 27 を指定します。この場合、IP アドレス 10.1.1.15 が修復をトリガーとして使用し、10.1.1.1 と 10.1.1.30 の間のすべての IP アドレスがブロックされます。トリガーの IP アドレスのみをブロックするには、このフィールドは空のままにして、32 を入力するか、または 255.255.255.255 を入力します。 |
| ステップ 6 | [作成(Create)] をクリックし、次に [完了(Done)] をクリックします。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
Nmap スキャン修復
Firepower システムには、Nmap™ という、ネットワーク調査およびセキュリティ監査を目的としたオープン ソースのアクティブ スキャナが統合されています。Nmap 修復を使用して、相関ポリシー違反に対応できます。これは、Nmap スキャン修復をトリガーします。
Nmap スキャンの詳細については、Nmap スキャンを参照してください。
セット属性値修復
トリガー イベントが発生したホストでホスト属性値を設定することにより、相関ポリシー違反に応答できます。テキストのホスト属性の場合、イベントの説明を属性値として使用できます。
セット属性修復の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
| ステップ 1 | を選択します。 |
| ステップ 2 | セット属性値インスタンスの追加の説明に従って、セット属性インスタンスを作成します。 |
| ステップ 3 | セット属性値修復の追加の説明に従って、セット属性修復を追加します。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
セット属性値インスタンスの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
次の作業
-
セット属性値修復の追加 の説明に従って、セット属性修復を作成します。
セット属性値修復の追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
セット属性値修復は相関ポリシー違反に関与したホストにホスト属性を設定します。属性を設定する各属性の値について修復を作成します。テキスト属性の場合、トリガーイベントの説明を属性値として使用できます。
マルチドメイン展開では、先祖ドメインで作成されたインスタンスに修復を追加することはできません。
-
セット属性値インスタンスの追加 の説明に従って、セット属性インスタンスを作成します。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復を追加するインスタンスの横にある表示アイコン()をクリックします。 |
| ステップ 3 | [設定されている修復(Configured Remediations)] セクションで、[セット属性値(Set Attribute Value)] を選択し、[追加(Add)] をクリックします。
コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。 |
| ステップ 4 | [修復名(Remediation Name)] と [説明(Description)] を入力します。 |
| ステップ 5 | 送信元データ、宛先データをもつイベントへの応答としてこの修復を使用するには、[イベントが決定するホストを更新(Update Which Host(s) From Event)] オプションを選択します。 |
| ステップ 6 | テキスト属性の場合、以下に従い [属性値にイベントからの説明を使用(Use Description From Event For Attribute Value)] を指定します。 |
| ステップ 7 | [作成(Create)] をクリックし、次に [完了(Done)] をクリックします。 |
次の作業
-
相関ポリシー違反への応答として修復を割り当てます(ルールとホワイトリストに応答を追加する を参照)。
修復モジュールの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
マルチドメイン展開では、現在のドメインでインストールされた修復モジュールが表示されます。このモジュールは削除可能です。また、先祖ドメインでインストールされたモジュールも表示されますが、これは削除できません。下位ドメインの修復モジュールを管理するには、そのドメインに切り替えます。
| ステップ 1 | を選択します。 |
| ステップ 2 | 修復モジュールを管理します。
|
)をクリックします。システム付属のモジュールは削除できません。修復インスタンスの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
[インスタンス(Instances)] ページには、すべての修復モジュールのすべての設定済みインスタンスがリスト表示されます。
マルチドメイン展開では、現在のドメインで作成された修復インスタンスが表示されます。このインスタンスは編集可能です。また、先祖ドメインで作成されたインスタンスも表示されますが、これは編集できません。下位ドメインの修復インスタンスを管理するには、そのドメインに切り替えます。
先祖ドメインで作成したインスタンスに修復を追加することはできませんが、同様の設定済みインスタンスを現在のドメインに作成して、そのインスタンスに修復を追加することはできます。また、先祖ドメインで作成した修復は、相関応答として使用することもできます。
1 つの修復モジュールのインスタンスの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
管理者 |
[モジュール詳細(Module Detail)] ページには、特定の修復モジュールに設定されたインスタンスと修復がすべて表示されます。
マルチドメイン展開では、現在のドメインと先祖ドメインにインストールされた修復モジュールの [モジュール詳細(Module Detail)] ページにアクセスできます。ただし、[モジュール詳細(Module Detail)] ページを使用して、先祖ドメインにインストールされているモジュールに対応する現在のドメイン内のインスタンスを追加、削除または編集することはできません。代わりに、[インスタンス(Instances)] ページ()を使用します。修復インスタンスの管理を参照してください。
| ステップ 1 | を選択します。 |
| ステップ 2 | 管理するインスタンスを持つ修復モジュールの横にある表示アイコン()をクリックします。 |
| ステップ 3 | 修復インスタンスを管理します。 |
フィードバック