Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月14日
章のタイトル: 侵入ポリシーの使用を開始するには
侵入ポリシーの使用を開始するには
ここでは、侵入ポリシーの使用を開始する方法について説明します。
侵入ポリシーの基本
侵入ポリシーは定義済みの侵入検知のセットであり、セキュリティ違反についてトラフィックを検査し、インライン展開の場合は、悪意のあるトラフィックをブロックまたは変更することができます。侵入ポリシーは、アクセス コントロール ポリシーによって呼び出され、システムの最終防御ラインとして、トラフィックが宛先に到達することを許可するかどうかを判定します。
各侵入ポリシーの中核となるのは、侵入ルールです。ルールを有効にすると、ルールに一致するトラフィックに対して侵入イベントが生成されます(さらに、必要に応じてトラフィックがブロックされます)。ルールを無効にすると、ルールの処理が停止されます。
Firepower システムが提供するいくつかの基本的な侵入ポリシーにより、Cisco Talos Security Intelligence and Research Group(Talos)の経験を活用できます。これらのポリシーに対して、Talos は侵入およびプリプロセッサ ルールの状態(有効または無効)を設定し、他の詳細設定の初期設定も行います。
-
ネットワーク上で検出されたオペレーティング システム、サーバ、およびクライアント アプリケーション プロトコルをそれらの資産を保護するために明確に書き込まれたルールに関連付けるには、Firepower の推奨事項を使用します。
インライン展開では、侵入ポリシーによってトラフィックを変更したりブロックすることができます。
-
廃棄ルールを使用すると、一致したパケットをドロップして、侵入イベントを生成できます。侵入またはプリプロセッサの廃棄ルールを設定するには、そのステータスを [ドロップしてイベントを生成する(Drop and Generate Events)] に設定します。
侵入ルールがトラフィックに影響を与えるようにするには、廃棄ルールおよびコンテンツを置き換えるルールを適切に設定し、さらに管理対象デバイスを適切にインライン展開する(つまり、インライン インターフェイス セットを設定する)必要があります。最後に、侵入ポリシーのドロップ動作([インライン時にドロップ(Drop when Inline)] 設定)を有効にします。
留意事項として、侵入ポリシーを調整する場合(特にルールを有効化して追加する場合)、一部の侵入ルールでは、最初に特定の方法でトラフィックをデコードまたは前処理する必要があります。侵入ポリシーによって検査される前に、パケットはネットワーク分析ポリシーの設定に従って前処理されます。必要なプリプロセッサを無効にすると、システムは自動的に現在の設定でプリプロセッサを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。
 注意 | 前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。 |
カスタム侵入ポリシーを設定した後、それを 1 つ以上のアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションに関連付けることによって、カスタム侵入ポリシーをアクセス コントロール設定の一部として使用できます。これによって、システムは、最終宛先に渡す前に、特定の許可されたトラフィックを侵入ポリシーによって検査します。変数セットを侵入ポリシーと組み合わて使用することにより、ホーム ネットワークと外部ネットワークに加えて、必要に応じてネットワーク上のサーバを正確に反映させることができます。
デフォルトでは、暗号化ペイロードの侵入インスペクションは無効化されます。これにより、侵入インスペクションが設定されているアクセス コントロール ルールと暗号化された接続を照合する際の誤検出が減少し、パフォーマンスが向上します。
侵入ポリシーの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
[侵入ポリシー(Intrusion Policy)] ページ()では、次に示す情報とともに、現在のカスタム侵入ポリシーを表示できます。
-
[インライン時にドロップ(Drop when Inline)] 設定が有効になっているかどうか。この設定が有効な場合、インライン展開でトラフィックをドロップしたり変更することができます。
-
マルチドメイン展開では、ポリシーが作成されたドメイン
| ステップ 1 | を選択します。 |
| ステップ 2 | 侵入ポリシーを管理します。
|
)をクリックします。別のユーザが保存していないポリシーの変更がある場合は、システムによって確認と通知のプロンプトが表示されます。[OK]
)が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
)をクリックします。
)をクリックします(カスタム侵入ポリシーの作成
新しい侵入ポリシーを作成する場合は、一意の名前を付けて基本ポリシーを指定し、ドロップ動作を指定する必要があります。
基本ポリシーは侵入ポリシーのデフォルト設定を定義します。新しいポリシーの設定の変更は、基本ポリシーの設定を変更するのではなく、オーバーライドします。システム提供のポリシーまたはカスタム ポリシーを基本ポリシーとして使用できます。
侵入ポリシーのドロップ動作、または [インライン時にドロップ(Drop when Inline)] の設定によって、廃棄ルール(ルール状態が [ドロップしてイベントを生成する(Drop and Generate Events)] に設定されている侵入ルールまたはプリプロセッサ ルール)、およびトラフィックに影響を与えるその他の侵入ポリシー設定のシステムにおける処理方法が決まります。悪意のあるパケットをドロップまたは置き換える場合は、インライン展開でドロップ動作を有効にする必要があります。パッシブ展開では、ドロップ動作に関わらず、システムはトラフィック フローに影響を与えることはできません。
カスタム侵入ポリシーの作成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | [ポリシーの作成(Create Policy)] をクリックします。別のポリシー内に未保存の変更が存在する場合は、[侵入ポリシー(Intrusion Policy)] ページに戻るかどうか尋ねられたときに [キャンセル(Cancel)] をクリックします。 |
| ステップ 3 | [名前(Name)] に一意の名前を入力し、オプションで [説明(Description)] を入力します。 |
| ステップ 4 | [基本ポリシー(Base Policy)] で最初の基本ポリシーを指定します。
システム提供のポリシーまたは別のカスタム ポリシーを基本ポリシーとして使用できます。 |
| ステップ 5 | インライン展開でのドロップ動作の設定の説明に従って、インライン導入でのシステムのドロップ動作を設定します。 |
| ステップ 6 | ポリシーを作成します。
|
侵入ポリシーの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
| ステップ 1 | を選択します。 |
| ステップ 2 | 設定する侵入ポリシーの横にある編集アイコン( )をクリックします。
|
| ステップ 3 | ポリシーを編集します。
|
| ステップ 4 | 最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] を選択して、[変更を確定(Commit Changes)] をクリックします。
変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
侵入ポリシーの変更
新しい侵入ポリシーを作成すると、そのポリシーには基本ポリシーと同じ侵入ルールと詳細設定が付与されます。
システムは、ユーザごとに 1 つのセキュリティ ポリシーをキャッシュします。侵入ポリシーの編集中に、メニューまたは別のページへのパスを選択すると、そのページから移動しても、変更内容はシステム キャッシュに残ります。
インライン展開でのドロップ動作
実際にトラフィックを変更せず、使用している設定がインライン展開(つまり、ルーテッド、スイッチド、またはトランスペアレント インターフェイス、あるいはインライン インターフェイス ペアを使用して、関連する設定がデバイスに展開されている)でどのように機能するかを評価する場合は、ドロップ動作を無効にすることができます。その場合、システムは侵入イベントを生成しますが、廃棄ルールをトリガーしたパケットをドロップしません。結果を確認したら、ドロップ動作を有効化できます。
パッシブ展開またはタップ モードでのインライン展開では、ドロップ動作に関わらず、システムはトラフィックに影響を与えることはできません。つまり、パッシブ展開では、[ドロップしてイベントを生成する(Drop and Generate Events)] に設定されたルールは [イベントを生成する(Generate Events)] に設定されたルールと同様に動作します。システムは侵入イベントを生成しますが、パケットをドロップできません。
 (注) | FTP を介してマルウェアの転送をブロックするには、Firepower の AMP を正しく設定するだけでなく、アクセス コントロール ポリシーのデフォルトの侵入ポリシーで [インライン時にドロップ(Drop when Inline)] を有効にする必要があります。 |
侵入イベントを表示する際に、ワークフローにインライン結果を含めることができます。インライン結果は、トラフィックが実際にドロップされたのか、あるいはドロップが想定に過ぎなかったのかを示します。
インライン展開でのドロップ動作の設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
侵入ポリシーの詳細設定
侵入ポリシーの詳細設定を設定するには、特定の専門知識が必要です。デフォルトで有効になる詳細設定や、詳細設定ごとのデフォルトは、侵入ポリシーの基本ポリシーに応じて決まります。
侵入ポリシーのナビゲーション パネルで [詳細設定(Advanced Settings)] を選択すると、ポリシーの詳細設定がタイプ別に一覧表示されます。[詳細設定(Advanced Settings)] ページでは、侵入ポリシーの詳細設定を有効または無効にしたり、詳細設定の設定ページにアクセスすることができます。詳細設定を行うには、それを有効にする必要があります。
詳細設定を無効にすると、サブリンクと [編集(Edit)] リンクは表示されなくなりますが、設定は保持されます。侵入ポリシーの一部の設定(センシティブ データ ルール、侵入ルールの SNMP アラート)では、詳細設定を有効化して適切に設定する必要があります。このように誤って設定された侵入ポリシーは保存できません。
詳細設定を変更する場合、変更する設定と、その変更がネットワークに及ぼす可能性のある影響について理解していることが必要です。
特定の脅威の検出(Specific Threat Detection)
機密データ プリプロセッサは、ASCII テキストのクレジット カード番号や社会保障番号などの機密データを検出します。
特定の脅威(Back Orifice 攻撃、何種類かのポートスキャン、および過剰なトラフィックによってネットワークを過負荷状態に陥らせようとするレート ベース攻撃)を検出するプリプロセッサは、ネットワーク分析ポリシーで設定します。
侵入ルールしきい値(Intrusion Rule Thresholds)
グローバル ルールのしきい値を設定すると、しきい値を使用して、システムが侵入イベントを記録したり表示したりする回数を制限できるので、多数のイベントでシステムが圧迫されないようにすることができます。
外部レスポンス(External Responses)
Web インターフェイス内での侵入イベントをさまざまな形式で表示することに加えて、システムログ(syslog)ファシリティへのロギングを有効にしたり、イベント データを SNMP トラップ サーバに送信したりできます。ポリシーごとに、侵入イベントの通知限度を指定したり、外部ロギング ファシリティに対する侵入イベントの通知をセットアップしたり、侵入イベントへの外部応答を設定したりできます。
これらのポリシー単位のアラート設定に加えて、各ルールまたはルール グループの侵入イベントを通知する電子メール アラートをグローバルに有効化/無効化できます。どの侵入ポリシーがパケットを処理するかに関わらず、ユーザの電子メール アラート設定が使用されます。
侵入検知および防御のパフォーマンスの最適化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin (access control); Admin/Discovery Admin (network discovery) |
Firepower システムを使用して侵入検知および防御を実行するものの検出データを利用する必要がない場合は、以下の説明に従って新しい検出を無効にしてパフォーマンスを最適化できます。
| ステップ 1 | ターゲット デバイスに導入したアクセス コントロール ポリシーと関連付けられたルールを変更または削除します。そのデバイスに関連付けられたアクセス制御ルールはいずれも、ユーザ、アプリケーション、または URL の条件を指定できません(アクセス コントロール ルールの作成および編集を参照)。 |
| ステップ 2 | ターゲット デバイスのネットワーク検出ポリシーからすべてのルールを削除します(ネットワーク検出ルールの設定を参照)。 |
| ステップ 3 | 変更された設定をターゲット デバイスに導入します(設定変更の導入を参照)。 |
フィードバック