Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

侵入ポリシーの基本

侵入ポリシーは定義済みの侵入検知のセットであり、セキュリティ違反についてトラフィックを検査し、インライン展開の場合は、悪意のあるトラフィックをブロックまたは変更することができます。侵入ポリシーは、アクセスコントロールポリシーによって呼び出され、システムの最終防御ラインとして、トラフィックが宛先に到達することを許可するかどうかを判定します。

各侵入ポリシーの中核となるのは、侵入ルールです。ルールを有効にすると、ルールに一致するトラフィックに対して侵入イベントが生成されます（さらに、必要に応じてトラフィックがブロックされます）。ルールを無効にすると、ルールの処理が停止されます。

Firepower システムが提供するいくつかの基本的な侵入ポリシーにより、Cisco Talos Security Intelligence and Research Group（Talos）の経験を活用できます。これらのポリシーに対して、Talos は侵入およびプリプロセッサルールの状態（有効または無効）を設定し、他の詳細設定の初期設定も行います。

ヒント

システム提供の侵入ポリシーとネットワーク分析ポリシーには同じような名前が付けられていますが、異なる設定が含まれています。たとえば、「Balanced Security and Connectivity」ネットワーク分析ポリシーと「Balanced Security and Connectivity」侵入ポリシーは連携して動作し、どちらも侵入ルールのアップデートで更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。

カスタム侵入ポリシーを作成すると、以下を実行できます。

ルールを有効化/無効化することに加え、独自のルールを作成して追加し、検出を調整する。
ネットワーク上で検出されたオペレーティングシステム、サーバ、およびクライアントアプリケーションプロトコルをそれらの資産を保護するために明確に書き込まれたルールに関連付けるには、Firepower の推奨事項を使用します。
外部アラート、センシティブデータの前処理、グローバルルールのしきい値設定など、さまざまな詳細設定を設定する。
レイヤを構成要素として使用し、複数の侵入ポリシーを効率的に管理する。

インライン展開では、侵入ポリシーによってトラフィックを変更したりブロックすることができます。

廃棄ルールを使用すると、一致したパケットをドロップして、侵入イベントを生成できます。侵入またはプリプロセッサの廃棄ルールを設定するには、そのステータスを [ドロップしてイベントを生成する（Drop and Generate Events）] に設定します。
侵入ルールでは、replace キーワードを使用して悪意のあるコンテンツを置き換えることができます。

侵入ルールがトラフィックに影響を与えるようにするには、廃棄ルールおよびコンテンツを置き換えるルールを適切に設定し、さらに管理対象デバイスを適切にインライン展開する（つまり、インラインインターフェイスセットを設定する）必要があります。最後に、侵入ポリシーのドロップ動作（[インライン時にドロップ（Drop when Inline）] 設定）を有効にします。

留意事項として、侵入ポリシーを調整する場合（特にルールを有効化して追加する場合）、一部の侵入ルールでは、最初に特定の方法でトラフィックをデコードまたは前処理する必要があります。侵入ポリシーによって検査される前に、パケットはネットワーク分析ポリシーの設定に従って前処理されます。必要なプリプロセッサを無効にすると、システムは自動的に現在の設定でプリプロセッサを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。

注意	前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。前処理の調整、特に複数のカスタムネットワーク分析ポリシーを使用して調整することは、高度なタスクです。

カスタム侵入ポリシーを設定した後、それを 1 つ以上のアクセスコントロールルールまたはアクセスコントロールポリシーのデフォルトアクションに関連付けることによって、カスタム侵入ポリシーをアクセスコントロール設定の一部として使用できます。これによって、システムは、最終宛先に渡す前に、特定の許可されたトラフィックを侵入ポリシーによって検査します。変数セットを侵入ポリシーと組み合わて使用することにより、ホームネットワークと外部ネットワークに加えて、必要に応じてネットワーク上のサーバを正確に反映させることができます。

デフォルトでは、暗号化ペイロードの侵入インスペクションは無効化されます。これにより、侵入インスペクションが設定されているアクセスコントロールルールと暗号化された接続を照合する際の誤検出が減少し、パフォーマンスが向上します。

侵入ポリシーの管理


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

[侵入ポリシー（Intrusion Policy）] ページ（[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]）では、次に示す情報とともに、現在のカスタム侵入ポリシーを表示できます。

ポリシーが最後に変更された日時（ローカル時間）とそれを変更したユーザ
[インライン時にドロップ（Drop when Inline）] 設定が有効になっているかどうか。この設定が有効な場合、インライン展開でトラフィックをドロップしたり変更することができます。
トラフィックの検査に侵入ポリシーを使用しているアクセスコントロールポリシーとデバイス
ポリシーに保存されていない変更があるかどうか、およびポリシーを現在編集している人（いれば）に関する情報
マルチドメイン展開では、ポリシーが作成されたドメイン

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]を選択します。

ステップ 2

侵入ポリシーを管理します。

[比較（Compare）]：[ポリシーの比較（Compare Policies）] をクリックします（ポリシーの比較を参照）。
作成：[ポリシーの作成（Create Policy）] をクリックします。カスタム侵入ポリシーの作成を参照してください。
削除：削除するポリシーの横にある削除アイコン（）をクリックします。別のユーザが保存していないポリシーの変更がある場合は、システムによって確認と通知のプロンプトが表示されます。[OK] をクリックして確認します。

コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
編集：編集するポリシーの横にある編集アイコン（）をクリックします。侵入ポリシーの編集を参照してください。

代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
エクスポート：別の Firepower Management Center にインポートするために、侵入ポリシーをエクスポートするには、エクスポートアイコン（）をクリックします。設定のエクスポートを参照してください。
展開：[展開（Deploy）] をクリックします（設定変更の展開を参照）。
[レポート（Report）]：レポートアイコン（）をクリックします（現在のポリシーレポートの生成を参照）。

カスタム侵入ポリシーの作成

新しい侵入ポリシーを作成する場合は、一意の名前を付けて基本ポリシーを指定し、ドロップ動作を指定する必要があります。

基本ポリシーは侵入ポリシーのデフォルト設定を定義します。新しいポリシーの設定の変更は、基本ポリシーの設定を変更するのではなく、オーバーライドします。システム提供のポリシーまたはカスタムポリシーを基本ポリシーとして使用できます。

侵入ポリシーのドロップ動作、または [インライン時にドロップ（Drop when Inline）] の設定によって、廃棄ルール（ルール状態が [ドロップしてイベントを生成する（Drop and Generate Events）] に設定されている侵入ルールまたはプリプロセッサルール）、およびトラフィックに影響を与えるその他の侵入ポリシー設定のシステムにおける処理方法が決まります。悪意のあるパケットをドロップまたは置き換える場合は、インライン展開でドロップ動作を有効にする必要があります。パッシブ展開では、ドロップ動作に関わらず、システムはトラフィックフローに影響を与えることはできません。

カスタム侵入ポリシーの作成


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]を選択します。
ステップ 2	[ポリシーの作成（Create Policy）] をクリックします。別のポリシー内に未保存の変更が存在する場合は、[侵入ポリシー（Intrusion Policy）] ページに戻るかどうか尋ねられたときに [キャンセル（Cancel）] をクリックします。
ステップ 3	[名前（Name）] に一意の名前を入力し、オプションで [説明（Description）] を入力します。
ステップ 4	[基本ポリシー（Base Policy）] で最初の基本ポリシーを指定します。システム提供のポリシーまたは別のカスタムポリシーを基本ポリシーとして使用できます。
ステップ 5	インライン展開でのドロップ動作の設定の説明に従って、インライン導入でのシステムのドロップ動作を設定します。
ステップ 6	ポリシーを作成します。新しいポリシーを作成して、[侵入ポリシー（Intrusion Policy）] ページに戻るには、[ポリシーの作成（Create Policy）] をクリックします。新しいポリシーには基本ポリシーと同じ設定項目が含まれています。ポリシーを作成し、高度な侵入ポリシーエディタでそれを開いて編集するには、[ポリシーの作成と編集（Create and Edit Policy）] をクリックします（侵入ポリシーの変更を参照）。

侵入ポリシーの編集


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]を選択します。
ステップ 2	設定する侵入ポリシーの横にある編集アイコン（）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 3	ポリシーを編集します。基本ポリシーの変更：[基本ポリシー（Base Policy）] ドロップダウンリストから基本ポリシーを選択します。ベースポリシーの変更を参照してください。詳細設定の構成：ナビゲーションパネルで [詳細設定（Advanced Settings）] をクリックします。侵入ポリシーの詳細設定を参照してください。 Firepower 推奨ルールの設定：ナビゲーションパネルで [Firepower 推奨ルール（Firepower Recommended Rules）] をクリックします。Firepower の推奨事項の生成と適用を参照してください。インライン展開でのドロップ動作：[インライン時にドロップ（Drop when Inline）] をオンまたはオフにします。インライン展開でのドロップ動作の設定を参照してください。推奨ルール状態によるルールのフィルタ：推奨を生成した後、各推奨タイプの横にある [表示（View）] をクリックします。すべての推奨を表示するには、[推奨される変更の表示（View Recommended Changes）] をクリックします。現在のルール状態によるルールのフィルタ：ルール状態タイプ（イベントを生成する、ドロップしてイベントを生成する）の横にある [表示（View）] をクリックします。侵入ポリシー内の侵入ルールフィルタを参照してください。ポリシー階層の管理：ナビゲーションパネルで、[ポリシー層（Policy Layers）] をクリックします。レイヤ管理を参照してください。侵入ルールの管理：[ポリシー情報（Policy Information）] をクリックします。侵入ポリシー内の侵入ルールの表示を参照してください。基本ポリシーの設定の表示：[基本ポリシーの管理（Manage Base Policy）] をクリックします。基本レイヤを参照してください。
ステップ 4	最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報（Policy Information）] を選択して、[変更を確定（Commit Changes）] をクリックします。変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

侵入ポリシーの変更

新しい侵入ポリシーを作成すると、そのポリシーには基本ポリシーと同じ侵入ルールと詳細設定が付与されます。

システムは、ユーザごとに 1 つのセキュリティポリシーをキャッシュします。侵入ポリシーの編集中に、メニューまたは別のページへのパスを選択すると、そのページから移動しても、変更内容はシステムキャッシュに残ります。

インライン展開でのドロップ動作

実際にトラフィックを変更せず、使用している設定がインライン展開（つまり、ルーテッド、スイッチド、またはトランスペアレントインターフェイス、あるいはインラインインターフェイスペアを使用して、関連する設定がデバイスに展開されている）でどのように機能するかを評価する場合は、ドロップ動作を無効にすることができます。その場合、システムは侵入イベントを生成しますが、廃棄ルールをトリガーしたパケットをドロップしません。結果を確認したら、ドロップ動作を有効化できます。

パッシブ展開またはタップモードでのインライン展開では、ドロップ動作に関わらず、システムはトラフィックに影響を与えることはできません。つまり、パッシブ展開では、[ドロップしてイベントを生成する（Drop and Generate Events）] に設定されたルールは [イベントを生成する（Generate Events）] に設定されたルールと同様に動作します。システムは侵入イベントを生成しますが、パケットをドロップできません。

（注）

FTP を介してマルウェアの転送をブロックするには、ネットワーク向け AMP を正しく設定するだけでなく、アクセスコントロールポリシーのデフォルトの侵入ポリシーで [インライン時にドロップ（Drop when Inline）] を有効にする必要があります。

侵入イベントを表示する際に、ワークフローにインライン結果を含めることができます。インライン結果は、トラフィックが実際にドロップされたのか、あるいはドロップが想定に過ぎなかったのかを示します。

インライン展開でのドロップ動作の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]を選択します。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 3	ポリシーのドロップ動作を設定します。 [インライン時にドロップ（Drop when Inline）] チェックボックスをオンにして、侵入ルールのトラフィックへの適用とイベントの生成を許可します。 [インライン時にドロップ（Drop when Inline）] チェックボックスをオフにすると、侵入ルールのトラフィックへの適用が禁止されますが、イベントは生成されます。
ステップ 4	[変更を確定（Commit Changes）] をクリックして、最後のポリシーの確定以降に、このポリシーに加えた変更を保存します。ポリシーの変更を確定しない場合、最後の確定以降の変更は、別のポリシーを編集するときに破棄されます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

デュアルシステム展開でのドロップ動作

ネットワーク内で 2 つのシステムが連続して接続されている場合、最初のシステムでドロップイベントが発生しても、2 番目のシステムでドロップイベントまたは「ドロップ想定」イベントが記録されることは正常です。最初のシステムがファイルの最後のパケットをスキャンするまでにパケットをドロップすることを決定する一方で、2 番目のシステムもトラフィックを調査して「ドロップされる」と識別します。

たとえば、最初のパケットがルールをトリガーする 5 パケット HTTP GET リクエストは、最初のシステムによりブロックされ、最後のパケットのみがドロップされます。2 番目のシステムは 4 パケットのみを受信し、接続はドロップされますが、2 番目のシステムがセッションをプルーニングしている間に部分的な GET リクエストを最後にフラッシュすると、インライン結果として「ドロップ想定」と同じルールがトリガーされます。

侵入ポリシーの詳細設定

侵入ポリシーの詳細設定を設定するには、特定の専門知識が必要です。デフォルトで有効になる詳細設定や、詳細設定ごとのデフォルトは、侵入ポリシーの基本ポリシーに応じて決まります。

侵入ポリシーのナビゲーションパネルで [詳細設定（Advanced Settings）] を選択すると、ポリシーの詳細設定がタイプ別に一覧表示されます。[詳細設定（Advanced Settings）] ページでは、侵入ポリシーの詳細設定を有効または無効にしたり、詳細設定の設定ページにアクセスすることができます。詳細設定を行うには、それを有効にする必要があります。

詳細設定を無効にすると、サブリンクと [編集（Edit）] リンクは表示されなくなりますが、設定は保持されます。侵入ポリシーの一部の設定（センシティブデータルール、侵入ルールの SNMP アラート）では、詳細設定を有効化して適切に設定する必要があります。このように誤って設定された侵入ポリシーは保存できません。

詳細設定を変更する場合、変更する設定と、その変更がネットワークに及ぼす可能性のある影響について理解していることが必要です。

特定の脅威の検出（Specific Threat Detection）

機密データプリプロセッサは、ASCII テキストのクレジットカード番号や社会保障番号などの機密データを検出します。

特定の脅威（Back Orifice 攻撃、何種類かのポートスキャン、および過剰なトラフィックによってネットワークを過負荷状態に陥らせようとするレートベース攻撃）を検出するプリプロセッサは、ネットワーク分析ポリシーで設定します。

侵入ルールしきい値（Intrusion Rule Thresholds）

グローバルルールのしきい値を設定すると、しきい値を使用して、システムが侵入イベントを記録したり表示したりする回数を制限できるので、多数のイベントでシステムが圧迫されないようにすることができます。

外部レスポンス（External Responses）

Web インターフェイス内での侵入イベントをさまざまな形式で表示することに加えて、システムログ（syslog）ファシリティへのロギングを有効にしたり、イベントデータを SNMP トラップサーバに送信したりできます。ポリシーごとに、侵入イベントの通知限度を指定したり、外部ロギングファシリティに対する侵入イベントの通知をセットアップしたり、侵入イベントへの外部応答を設定したりできます。

これらのポリシー単位のアラート設定に加えて、各ルールまたはルールグループの侵入イベントを通知する電子メールアラートをグローバルに有効化/無効化できます。どの侵入ポリシーがパケットを処理するかに関わらず、ユーザの電子メールアラート設定が使用されます。

侵入検知および防御のパフォーマンスの最適化


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	任意（Any）	任意（Any）	任意（Any）	Admin/Access Admin/Network Admin (access control); Admin/Discovery Admin (network discovery)

Firepower システムを使用して侵入検知および防御を実行するものの検出データを利用する必要がない場合は、以下の説明に従って新しい検出を無効にしてパフォーマンスを最適化できます。

手順

ステップ 1	ターゲットデバイスに導入したアクセスコントロールポリシーと関連付けられたルールを変更または削除します。そのデバイスに関連付けられたアクセス制御ルールはいずれも、ユーザ、アプリケーション、または URL の条件を指定できません（アクセスコントロールルールの作成および編集を参照）。
ステップ 2	ターゲットデバイスのネットワーク検出ポリシーからすべてのルールを削除します（ネットワーク検出ルールの設定を参照）。
ステップ 3	変更された設定をターゲットデバイスに導入します（設定変更の展開を参照）。

偏向のない言語

翻訳について

Book Title

Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

Chapter Title

侵入ポリシーの使用を開始するには

検索結果

章のタイトル：侵入ポリシーの使用を開始するには

侵入ポリシーの使用を開始するには

侵入ポリシーの基本

侵入ポリシーの管理

手順