Firepower 推奨ルールについて
Firepower の侵入ルールの推奨事項を使用して、ネットワーク上で検出されたオペレーティング システム、サーバ、およびクライアント アプリケーション プロトコルを、それらのアセットを保護するために作成されたルールに関連付けることができます。これにより、モニタ対象のネットワークの特定ニーズに合わせて侵入ポリシーを調整できます。
システムは、侵入ポリシーごとに個別の推奨事項のセットを作成します。これにより、通常、標準テキスト ルールと共有オブジェクト ルールのルール状態の変更が推奨されます。ただし、プリプロセッサおよびデコーダのルールの変更も推奨されます。
ルール状態の推奨事項を生成する場合は、デフォルト設定を使用するか、詳細設定を指定できます。詳細設定では次の操作が可能です。
-
システムが脆弱性をモニタするネットワーク上のホストを再定義する。
-
ルール オーバーヘッドに基づき、システムが推奨するルールに影響を与える。
-
ルールを無効にする推奨事項を生成するかどうかを指定する。
推奨事項をすぐに使用するか、推奨事項(および影響を受けるルール)を確認してから受け入れることができます。
推奨ルール状態を使用することを選択すると、読み取り専用の Firepower 推奨レイヤが侵入ポリシーに追加されますが、後で、推奨ルール状態を使用しないことを選択すると、そのレイヤが削除されます。
侵入ポリシーに最近保存された構成設定に基づいて自動的に推奨を生成するためのタスクをスケジュールできます。
システムは、手動で設定されたルール状態を変更しません。
-
推奨を生成する前に指定したルールの状態を手動で設定すると、その後、システムはそのルールの状態を変更できなくなる。
-
推奨の生成後に指定したルールの状態を手動で設定すると、そのルールの推奨状態が上書きされる。
ヒント
侵入ポリシー レポートには、推奨状態と異なるルール状態を持つルールのリストを含めることができます。
推奨が絞り込まれた [ルール(Rules)] ページを表示している最中に、あるいは、ナビゲーション パネルまたは [ポリシー情報(Policy Information)] ページから [ルール(Rules)] ページに直接アクセスした後に、手動で、ルール状態を設定したり、ルールをソートしたり、[ルール(Rules)] ページで可能なその他の操作(ルールの抑制やルールしきい値の設定など)を実行することができます。
(注) |
Cisco Talos Security Intelligence and Research Group(Talos)は、システム提供のポリシーでの各ルールの適切な状態を決定します。システム提供のポリシーを基本ポリシーとして使用し、システムがルールを Firepower の推奨ルール状態に設定できるようにする場合、侵入ポリシーのルールは、シスコが推奨するネットワーク アセットの設定と一致します。 |
推奨ルールおよびマルチテナンシー
システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、先祖ドメインの侵入ポリシーでこの機能を有効にすると、システムはすべての子孫のリーフ ドメインからのデータを使用して、推奨事項を生成します。これにより、侵入ルールをすべてのリーフ ドメインに存在しない可能性があるアセットに調整することができ、パフォーマンスに影響を与えることができます。