機密データの検出

ここでは、機密データ検出とその設定方法について説明します。

機密データ検出の基本

社会保障番号、クレジットカード番号、運転免許証番号などのセンシティブデータは、インターネットに意図的に、または誤って漏洩される可能性があります。システムには、ASCII テキストのセンシティブデータに関するイベントを検出し、生成できるセンシティブデータプロセッサが用意されています。このプロセッサは、特に誤って漏洩されたデータの検出に役立ちます。

グローバルセンシティブデータプリプロセッサオプションは、プリプロセッサの動作を制御します。以下のことを指定するグローバルオプションを変更できます。

プリプロセッサが、ルールをトリガーしたパケットで、クレジットカード番号または社会保障番号の下位 4 桁を除くすべての桁を置換するかどうか
センシティブデータをモニタする、ネットワーク上の宛先ホスト
イベントの生成基準となる、単一のセッションでの全データタイプの合計オカレンス数

個別のデータタイプによって、指定した宛先ネットワークトラフィックで検出しイベントを生成できるセンシティブデータを特定します。以下のことを指定するデータタイプオプションのデフォルト設定を変更できます。

検出されたデータタイプに対して単一のセッションごとのイベントを生成する基準とするしきい値
各データタイプをモニタする宛先ポート
各データタイプをモニタするアプリケーションプロトコル

指定するデータパターンを検出するためのカスタムデータタイプを作成および変更することができます。たとえば、病院で患者番号を保護するためのデータタイプを作成したり、大学で固有の番号パターンを持つ学生番号を検出するためのデータタイプを作成したりすることが考えられます。

システムはトラフィックに対して個別のデータタイプを照合することによって、TCP セッションごとにセンシティブデータを検出します。侵入ポリシーの、各データタイプのデフォルト設定およびすべてのデータタイプに適用されるグローバルオプションのデフォルト設定は変更できます。Firepower システムには、一般的に使用されているデータタイプがすでに定義されています。カスタムデータタイプを作成することも可能です。

センシティブデータのプリプロセッサルールは、各データタイプに関連付けられます。各データタイプのセンシティブデータ検出とイベント生成を有効にするには、そのデータタイプに対応するプリプロセッサルールを有効にします。設定ページのリンクを使用すると、センシティブデータルールにフィルタリングされたビューが [ルール（Rules）] ページに表示されます。このビューで、ルールを有効または無効にしたり、その他のルール属性を設定したりできます。

変更を侵入ポリシーに保存する際に提示されるオプションによって、データタイプに関連付けられたルールが有効になっていてセンシティブデータ検出が無効になっている場合には、自動的にセンシティブデータプリプロセッサを有効にすることができます。

ヒント

機密データプリプロセッサでは、FTP または HTTP を使用してアップロードおよびダウンロードされる暗号化されていない Microsoft Word ファイル内の機密データを検出できます。これが可能である理由は、Word ファイルが ASCII テキストとフォーマット設定コマンドを分けてグループ化する方式だからです。

このシステムは、暗号化または難読化された機密データ、あるいは圧縮または符号化された形式の機密データ（たとえば、Base64 でエンコードされた電子メールの添付ファイルなど）の検出は行いません。たとえば、システムは電話番号 (555)123-4567 を検出しますが、(5 5 5) 1 2 3 - 4 5 6 7 のようにスペースで難読化されたバージョン、あるいは (555)-123‑-4567 のように HTML コードが介在するバージョンは検出しません。ただし、(555)‑123‑4567 のように、HTML にコーディングされた番号のパターンの途中にコードが入っていなければ検出されます。

グローバルセンシティブデータ検出オプション

グローバルセンシティブデータオプションはポリシーに固有であり、すべてのデータタイプに適用されます。

マスク

ルールをトリガーしたパケットで、クレジットカード番号および社会保障番号の下位 4 桁を除くすべての桁を「X」に置換します。Web インターフェイスの侵入イベントパケットビューおよびダウンロードされたパケットでは、マスクされた番号が表示されます。

ネットワーク

センシティブデータをモニタする 1 つ以上の宛先ホストを指定します。単一の IP アドレス、アドレスブロック、あるいはこのいずれかまたは両方のカンマ区切りリストを指定できます。空白のフィールドは、any として解釈されます。これは、任意の宛先 IP アドレスを意味します。

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバルコンフィギュレーションを自分のローカル環境に調整できます。

グローバルしきい値（Global Threshold）

グローバルしきい値イベントの生成基準となる、単一セッションでの全データタイプの合計オカレンス数を指定します。データタイプの組み合わせを問わず、プリプロセッサは指定された数のデータタイプを検出すると、グローバルしきい値イベントを生成します。1 ～ 65535 の値を指定できます。

シスコでは、このオプションに、ポリシーで有効にする個々のデータタイプに対するしきい値のどれよりも大きい値を設定することを推奨しています。

グローバルしきい値については、以下の点に注意してください。

複数のデータタイプを合わせたオカレンス数を検出してイベントを生成し、インライン展開では、違反パケットをドロップします。するには、プリプロセッサルールの 139:1 を有効にする必要があります。
プリプロセッサが生成するグローバルしきい値イベントは、セッションあたり最大 1 件です。
グローバルしきい値イベントと個別データタイプイベントは、互いに独立しています。つまり、グローバルしきい値に達すると、個別データタイプに対するイベントしきい値に達しているかどうかに関わらず、プリプロセッサがイベントを生成します。その逆も当てはまります。

個別のセンシティブデータタイプのオプション

最低でも、カスタムデータタイプごとにイベントしきい値を指定し、モニタする少なくとも 1 つのポートまたはアプリケーションプロトコルを指定する必要があります。

各システム定義済みデータタイプでは、デフォルト値が変更されない限り、アクセス不能な sd_pattern キーワードを使用して、トラフィックで検出する組み込みデータパターンを定義します。カスタムデータタイプを作成して、そのデータタイプに対し、単純な正規表現を使用して独自のデータパターンを指定することもできます。

センシティブデータタイプは、センシティブデータ検出が有効になっているすべての侵入ポリシーに表示されます。システム提供のデータタイプは読み取り専用として表示されます。カスタムデータタイプの場合、名前とパターンフィールドは読み取り専用として表示されますが、他のオプションはポリシー固有の値に設定できます。

マルチドメイン展開では、現在のドメインで作成されたセンシティブデータタイプが表示されます。これは編集できます。また、先祖ドメインで作成されたデータタイプも表示されます。これは限定的な方法で編集できます。先祖データタイプの場合、名前とパターンフィールドは読み取り専用として表示されますが、他のオプションはポリシー固有の値に設定できます。

表 1. 個別のデータタイプのオプション
オプション	説明
データタイプ	データタイプの一意の名前を指定します。
しきい値（Threshold）	イベント生成の基準とする、データタイプのオカレンス数を指定します。1 ～ 255 の値を指定できます。プリプロセッサが検出したデータタイプに対して生成するイベント数は、セッションごとに 1 つであることに注意してください。グローバルしきい値イベントと個別データタイプイベントは、互いに独立していることにも注意してください。つまり、データタイプイベントしきい値に達すると、グローバルイベントしきい値に達しているかどうかに関わらず、プリプロセッサがイベントを生成します。その逆も同様です。
宛先ポート（Destination Ports）	データタイプでモニタする宛先ポートを指定します。単一のポート、複数のポートをカンマで区切ったリスト、または任意の宛先ポートを意味する `any` を指定できます。
アプリケーションプロトコル（Application Protocols）	データタイプでモニタする最大 8 つのアプリケーションプロトコルを指定します。モニタするアプリケーションプロトコルを識別するには、アプリケーションディテクタをアクティブにする必要があります。従来のデバイスの場合、この機能には制御ライセンスが必要であることに注意してください。
パターン	検出するパターンを指定します。このフィールドは、カスタムデータタイプの場合にのみ存在します。

システム提供のセンシティブデータのタイプ

それぞれの侵入ポリシーには、よく使用されるデータパターンを検出するためのシステム提供のデータタイプが含まれています。これらのデータパターンには、クレジットカード番号、電子メールアドレス、米国の電話番号、および米国の社会保障番号などがあります（番号にはハイフン付きのパターン、ハイフン抜きのパターンがあります）。

それぞれのシステム提供のデータタイプは、ジェネレータ ID（GID）が 138 に設定された単一のセンシティブデータのプリプロセッサルールに関連付けられます。侵入ポリシーで関連する機密データルールを有効にして、ポリシーで使用する各データタイプに対してイベントを生成し、インライン展開では、違反パケットをドロップします。する必要があります。

次の表に、各データタイプの説明と対応するプリプロセッサルールの一覧を示します。

表 2. システム提供のセンシティブデータのタイプ
データタイプ	説明	プリプロセッサルール GID:SID
クレジットカード番号	Visa®、MasterCard®、Discover®、および American Express® の 15 桁または 16 桁のクレジットカード番号（通常の区切り文字として使用されるハイフンまたはスペースが含まれるパターンと含まれないパターン）に一致します。また、Luhn アルゴリズムを使用してクレジットカード番号の検査数字を確認します。	138:2
電子メールアドレス	電子メールアドレスに一致します。	138:5
米国の電話番号	米国の電話番号（`(\d\{3\}) ?\d\{3\}-\d\{4\}` のパターンに準拠）に一致します。	138:6
米国の社会保障番号（ハイフンなし）	米国の 9 桁の社会保障番号（有効な 3 桁のエリア番号と有効な 2 桁のグループ番号が含まれ、ハイフンを使用していない番号）に一致します。	138:4
米国の社会保障番号（ハイフンあり）	米国の 9 桁の社会保障番号（有効な 3 桁のエリア番号と有効な 2 桁のグループ番号が含まれ、ハイフンを使用している番号）に一致します。	138:3

社会保障番号以外の 9 桁の番号からの誤検出を軽減するために、プリプロセッサでは、各社会保障番号の 4 桁のシリアル番号の前にある 3 桁のエリア番号と 2 桁のグループ番号を検証するアルゴリズムを使用します。プリプロセッサは 2009 年 11 月末までの社会保障グループ番号を検証します。

センシティブデータ検出の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
脅威	保護またはコントロール	任意（Any）	任意（Any）	Admin/Intrusion Admin

センシティブデータ検出は、Firepower システムのパフォーマンスに非常に大きな影響を与える可能性があるため、以下のガイドラインに従うことをお勧めします。

基本侵入ポリシーとして [アクティブなルールなし（No Rules Active）] デフォルトポリシーを選択します。
次の設定が対応するネットワーク分析ポリシーで有効になっていることを確認します。
- [アプリケーション層プリプロセッサ（Application Layer Preprocessors）] の下の [FTP と Telnet の構成（FTP and Telnet Configuration）]
- [トランスポートまたはネットワークレイヤプロセッサ（Transport/Network Layer Preprocessors）] の下の [IP 最適化（IP Defragmentation）] および [TCP ストリームの構成（TCP Stream Configuration）]

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）] を選択します。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

ナビゲーションパネルで [詳細設定（Advanced Settings）] をクリックします。

ステップ 4

[特定の脅威検出（Specific Threat Detection）] の下の [センシティブデータ検出（Sensitive Data Detection）] が無効になっている場合は、[有効化（Enabled）] をクリックします。

ステップ 5

[センシティブデータ検出（Sensitive Data Detection）] の横にある編集アイコン（）をクリックします。

ステップ 6

次の選択肢があります。

グローバルセンシティブデータ検出オプションの説明に従って、グローバル設定を変更します。
[ターゲット（Targets）] セクションでデータタイプを選択し、個別のセンシティブデータタイプのオプションの説明に従って、データタイプ構成を変更します。
カスタムセンシティブデータを検査するには、カスタム機密データタイプを参照してください。

ステップ 7

データタイプでモニタするアプリケーションプロトコルを追加または削除します。監視対象のアプリケーションプロトコルおよび機密データを参照してください。

（注）

FTP トラフィックでセンシティブデータを検出するには、Ftp data アプリケーションプロトコルを追加します。

ステップ 8

オプションで、センシティブデータプリプロセッサルールを表示するには、[センシティブデータ検出のルールの設定（Configure Rules for Sensitive Data Detection）] をクリックします。

リストされているルールを有効または無効にすることができます。[ルール（Rules）] ページで使用可能なその他の操作（ルールの抑制、レートベース攻撃防止など）のセンシティブデータルールも設定できます。詳細については、侵入ルールのタイプを参照してください。

ステップ 9

最後のポリシー確定後にこのポリシーで行った変更を保存するには、ナビゲーションパネルで [ポリシー情報（Policy Information）] をクリックして、[変更を確定（Commit Changes）] をクリックします。

ポリシーでセンシティブデータプリプロセッサルールを有効にして、センシティブデータ検出を有効にしていなければ、変更をポリシーに保存する際に、センシティブデータ検出を有効にするよう求めるプロンプトが出されます。

変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。

次のタスク

侵入イベントを生成する場合は、センシティブデータ検出ルール（138:2、138:3、138:4、138:5、138:6、138:>999999、または 139:1）を有効にします。詳細については、侵入ルールの状態、グローバルセンシティブデータ検出オプション、システム提供のセンシティブデータのタイプ、およびカスタム機密データタイプを参照してください。
設定変更を展開します。設定変更の展開を参照してください。

監視対象のアプリケーションプロトコルおよび機密データ

各データタイプでモニタするアプリケーションプロトコルを最大 8 つ指定できます。選択するアプリケーションプロトコルごとに、少なくとも 1 つのディテクタを有効にする必要があります。デフォルトでは、すべてのディテクタがアクティブになっています。有効になっているディテクタがないアプリケーションプロトコルについては、システム提供のすべてのディテクタが自動的に有効になります。ディテクタが存在しない場合は、そのアプリケーションについて最後に変更されたユーザ定義ディテクタが有効になります。

各データタイプをモニタするアプリケーションプロトコルまたはポートを少なくとも 1 つ指定する必要があります。ただし、FTP トラフィックでセンシティブデータを検出する場合を除き、シスコでは最も包括的なカバレッジにするために、アプリケーションプロトコルを指定する際には対応するポートを指定することを推奨しています。たとえば、HTTP を指定するとしたら、既知の HTTP ポート 80 を設定することお勧めします。このように設定すると、ネットワークの新しいホストが HTTP を実装する場合には、システムは新しい HTTP アプリケーションプロトコルを検出する間、ポート 80 をモニタします。

FTP トラフィックでセンシティブデータを検出する場合は、FTP data アプリケーションプロトコルを指定する必要があります。この場合、ポート番号を指定する利点はありません。

モニタ対象のアプリケーションプロトコルの選択


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
脅威	Control	任意（Any）	任意（Any）	Admin/Intrusion Admin

モニタ対象のアプリケーションプロトコルは、システムが提供するセンシティブデータタイプとカスタムのセンシティブデータタイプの両方で指定できます。選択するアプリケーションプロトコルはポリシー固有になります。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）]を選択します。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 3	ナビゲーションパネルで [詳細設定（Advanced Settings）] をクリックします。
ステップ 4	[特定の脅威検出（Specific Threat Detection）] の下の [センシティブデータ検出（Sensitive Data Detection）] が無効になっている場合は、[有効化（Enabled）] をクリックします。
ステップ 5	[センシティブデータの検出（Sensitive Data Detection）] の横にある編集アイコン（）をクリックします。
ステップ 6	[データタイプ（Data Types）] の下でデータタイプの名前をクリックします。
ステップ 7	[アプリケーションプロトコル（Application Protocols）] フィールドの横にある編集アイコン（）をクリックします。
ステップ 8	次の選択肢があります。モニタするアプリケーションプロトコルを追加するには、[使用可能（Available）] リストからアプリケーションプロトコルを 1 つ以上選択して、右矢印（[>]）ボタンをクリックします。モニタするアプリケーションプロトコルは、8 つまで追加できます。モニタ対象からアプリケーションプロトコルを削除するには、[有効（Enabled）] リストから削除するプロトコルを選択して、左矢印（[<]）ボタンをクリックします。
ステップ 9	[OK] をクリックします。
ステップ 10	最後のポリシーの確定以降に、このポリシーに加えた変更を保存するには、ナビゲーションウィンドウで [ポリシー情報（Policy Information）] をクリックして、[変更を確定（Commit Changes）] をクリックします。ポリシーの変更を確定しない場合、最後の確定以降の変更は、別のポリシーを編集するときに破棄されます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

特別なケース：FTP トラフィックでのセンシティブデータの検出

一般に、センシティブデータをモニタするトラフィックを決めるには、導入でのモニタ対象のポートを指定するか、アプリケーションプロトコルを指定します。

ただし、FTP トラフィックでセンシティブデータを検出するには、ポートまたはアプリケーションプロトコルを指定するだけでは不十分です。FTP トラフィックのセンシティブデータは、FTP アプリケーションプロトコルのトラフィックで検出されますが、FTP アプリケーションプロトコルは断続的に発生し、一時的なポート番号を使用するため、センシティブデータを検出するのが困難です。FTP トラフィックでセンシティブデータを検出するには、以下の設定を含めることが必須となります。

FTP data アプリケーションプロトコルを指定すると、FTP トラフィックでのセンシティブデータの検出が可能になります。

FTP トラフィックでセンシティブデータを検出するという特殊な場合では、FTP data アプリケーションプロトコルを指定すると、検出が呼び出される代わりに、FTP トラフィックでセンシティブデータを検出するために FTP/Telnet プロセッサの高速処理が呼び出されます。

FTP データディテクタが有効であることを確認します（デフォルトで有効にされています）。
設定に、センシティブデータをモニタするポートが少なくとも 1 つ含まれていることを確認します。

FTP トラフィックでセンシティブデータを検出することだけが目的の場合を除き（そのような場合はほとんどありません）、FTP ポートを指定する必要はありません。通常のセンシティブデータ設定には、HTTP ポートや電子メールポートなどの他のポートが含まれることになります。モニタ対象の FTP ポートを 1 つだけ指定し、他のポートを指定しない場合、シスコでは FTP コマンドポート 23 を指定することを推奨しています。

カスタム機密データタイプ

作成するカスタムデータタイプごとに、単一の機密データプリプロセッサルールも作成します。このルールのジェネレータ ID（GID）は 138 で、Snort ID（SID）は 1000000 以上（これは、ローカルルールの SID）です。マルチドメイン展開では、子孫ドメインで作成されたか、または子孫ドメインにインポートされたカスタムルールの SID の先頭にドメイン番号が追加されます。たとえば、グローバルドメインに追加されたルールに 1000000 以上の SID があり、子孫ドメインに追加されたルールには [ドメイン番号]000000 以上の SID があります。

ポリシーで使用する各カスタムデータタイプに対し、関連付けられた機密データルールを有効にして検出を有効にし、イベントを生成し、インライン展開では、違反パケットをドロップします。する必要があります。

機密データルールを有効にするには、設定ページに表示されるリンクを利用できます。このリンクを使用すると、すべてのシステム定義済み機密データルールおよびカスタム機密データルールを表示するフィルタリングされたビューの侵入ポリシーの [ルール（Rules）] ページが表示されます。また、侵入ポリシーの [ルール（Rules）] ページでローカルフィルタリングカテゴリを選択することで、カスタム機密データルールをカスタムローカルルールとともに表示できます。カスタム機密データルールは、侵入ルールエディタページ（[オブジェクト（Objects）] > [侵入ルール（Intrusion Rules）]）には表示されないことに注意してください。

カスタムデータタイプを作成すると、システム内の任意の侵入ポリシーで、マルチドメイン展開の場合は現在のドメイン内の侵入ポリシーでそれを有効にすることができます。カスタムデータタイプを有効にするには、そのカスタムデータタイプの検出に使用するポリシーで、関連する機密データルールを有効にする必要があります。

カスタム機密データタイプのデータパターン

カスタムデータタイプのデータパターンを定義するには、以下の要素からなる単純な正規表現のセットを使用します。

3 つのメタ文字
メタ文字をリテラル文字として使用するためのエスケープ文字
6 文字クラス

メタ文字は正規表現内で特別な意味を持つリテラル文字です。

表 3. 機密データパターンのメタ文字
メタ文字	説明	例
`?`	先行する文字またはエスケープシーケンスのゼロまたは 1 つのオカレンスに一致します。つまり、先行する文字またはエスケープシーケンスはオプションです。	`colou?r` は、`color` または `colour` に一致します。
`{`n`}`	先行する文字またはエスケープシーケンスの n 回の繰り返しに一致します。	たとえば、`\d{2}` は `55`、`12` などに一致し、`\l{3}` は `AbC`、`www` などに、`\w{3}` は `a1B`、25C などに、`x{5}` は `xxxxx` に一致します。
`\`	メタ文字を実際の文字として使用できます。また、事前定義された文字クラスを指定するためにも使われます。	その他、`\?` は疑問符に、`\\` はバックスラッシュに、`\d` は数字に一致します

特定の文字をリテラル文字として機密データプリプロセッサに正しく解釈させるには、バックスラッシュで文字をエスケープする必要があります。

表 4. 機密データパターンのエスケープ文字
使用するエスケープ文字	表現されるリテラル文字
\?	?
\{	{
\}	}
\\	\

カスタム機密データパターンを定義するときは、文字クラスを使用できます。

表 5. 機密データパターンの文字クラス
文字クラス	説明	文字クラスの定義
\d	ASCII 文字の数字 0 ～ 9 に一致します。	0 ～ 9
\D	ASCII 文字の数字ではないバイトに一致します。	0 ～ 9 以外
\l（小文字の「エル」）	任意の ASCII 文字に一致します。	a ～ z および A ～ Z
\L	ASCII 文字ではないバイトに一致します。	a ～ z および A ～ Z 以外
\w	任意の ASCII 英数字に一致します。 PCRE 正規表現とは異なり、アンダースコア（_）は含まれないことに注意してください。	a ～ z、A ～ Z、および 0 ～ 9
\W	ASCII 英数字でないバイトに一致します。	a-zA-Z0-9 以外

プリプロセッサは、そのまま入力された文字を、正規表現の一部ではなく、リテラル文字として扱います。たとえば、データパターン 1234 は 1234 に一致します。

以下に、システム定義済み機密データルール 138:4 で使用するデータパターンの例を示します。このパターンでは、エスケープされた数値の文字クラス、複数個を示すメタ文字およびオプション指定子のメタ文字、リテラルハイフン（-）文字、および左右の括弧 () 文字を使用して、米国の電話番号を検出します。


(\d{3}) ?\d{3}-\d{4}

カスタムデータパターンを作成する際には注意が必要です。以下に、電話番号を検出するための別のデータパターンを示します。このパターンでは有効な構文を使用しているものの、多数の誤検出が発生する可能性があります。


(?\d{3})? ?\d{3}-?\d{4}

上記の 2 番目の例では、オプションの括弧、オプションのスペース、オプションのハイフンを組み合わせているため、目的とする以下のパターンの電話番号が検出されます。

(555)123-4567
555123-4567
5551234567

ただし、2 番目の例のパターンでは、以下の潜在的に無効なパターンも検出されて、結果的に誤検出となります。

(555 1234567
555)123-4567
555) 123-4567

最後に、説明目的の極端な例として、小規模な企業ネットワーク上のすべての宛先トラフィックで小さいイベントしきい値を使用して、小文字の a を検出するデータパターンを作成するとします。このようなデータパターンは、わずか数分で文字通り数百万ものイベントを生成することになり、システムを過負荷に陥らせる可能性があります。

カスタムセンシティブデータタイプの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

マルチドメイン展開では、現在のドメインで作成されたセンシティブデータタイプが表示されます。これは編集できます。また、先祖ドメインで作成されたデータタイプも表示されます。これは限定的な方法で編集できます。先祖のデータタイプについては、名前およびパターンフィールドは読み取り専用として表示されますが、その他のオプションはポリシー固有の値に設定できます。

データタイプのセンシティブデータルールがいずれかの侵入ポリシーで有効にされている場合、そのデータタイプを削除することはできません。

手順

ステップ 1

[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）] を選択します。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

ナビゲーションパネルで [詳細設定（Advanced Settings）] をクリックします。

ステップ 4

ステップ 5

[センシティブデータ検出（Sensitive Data Detection）] の横にある編集アイコン（）をクリックします。

ステップ 6

[データタイプ（Data Types）] の横にある追加アイコン（）をクリックします。

ステップ 7

データタイプの名前を入力します。

ステップ 8

このデータタイプで検出するパターンを入力します。カスタム機密データタイプのデータパターンを参照してください。

ステップ 9

[OK] をクリックします。

ステップ 10

必要に応じて、データタイプ名をクリックし、個別のセンシティブデータタイプのオプションで説明されているオプションを変更します。

ステップ 11

必要に応じて、削除アイコン（）をクリックしてカスタムデータタイプを削除し、[OK] をクリックして確認します。

（注）

いずれかの侵入ポリシーでデータタイプのセンシティブデータルールが有効になっている場合は、そのデータタイプを削除できないことが警告されます。再度削除を試みる前に、影響を受けるポリシーでセンシティブデータルールを無効にする必要があります。侵入ルール状態の設定を参照してください。

ステップ 12

変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。

次のタスク

データ型を使用する各ポリシーで、関連付けられたカスタムセンシティブデータの前処理ルールを有効にします。侵入ルール状態の設定を参照してください。
設定変更を展開します。設定変更の展開を参照してください。

カスタムセンシティブデータタイプの編集


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
脅威	保護	任意（Any）	任意（Any）	Admin/Intrusion Admin

カスタムセンシティブデータタイプのすべてのフィールドを編集できます。ただし、名前またはパターンフィールドを変更すると、システム内のすべての侵入ポリシーのこれらの設定が変更されることに注意してください。その他のオプションは、ポリシー固有の値に設定できます。

手順

ステップ 1	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [侵入（Intrusion）] を選択します。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 3	ナビゲーションパネルで [詳細設定（Advanced Settings）] をクリックします。
ステップ 4	[特定の脅威検出（Specific Threat Detection）] の下の [センシティブデータ検出（Sensitive Data Detection）] が無効になっている場合は、[有効（Enabled）] をクリックします。
ステップ 5	[センシティブデータ検出（Sensitive Data Detection）] の横にある [編集（Edit）] をクリックします。
ステップ 6	[ターゲット（Targets）] セクションで、カスタムデータタイプの名前をクリックします。
ステップ 7	[データタイプの名前およびパターンの編集（Edit Data Type Name and Pattern）] をクリックします。
ステップ 8	データタイプの名前およびパターンを変更します。カスタム機密データタイプのデータパターンを参照してください。
ステップ 9	[OK] をクリックします。
ステップ 10	残りのオプションをポリシー固有の値に設定します。個別のセンシティブデータタイプのオプションを参照してください。
ステップ 11	最後のポリシー確定後にこのポリシーで行った変更を保存するには、ナビゲーションパネルで [ポリシー情報（Policy Information）] をクリックして、[変更を確定（Commit Changes）] をクリックします。変更を確定せずにポリシーをそのままにした場合は、別のポリシーを編集すると、最後の確定後の変更は破棄されます。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

偏向のない言語

翻訳について

Book Title

Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

Chapter Title