Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

Chapter Title

マルウェアおよび禁止されたファイルのブロッキング

検索結果

Updated:
2019年4月2日

章のタイトル: マルウェアおよび禁止されたファイルのブロッキング

マルウェアおよび禁止されたファイルのブロッキング

悪意のあるソフトウェア、つまりマルウェアは、複数のルートで組織のネットワークに入る可能性があります。マルウェアの影響を特定して軽減するために、ASA FirePOWER モジュールのファイル制御、および高度なマルウェア防御の各コンポーネントを使用すると、ネットワーク トラフィックで伝送されるマルウェアやその他の種類のファイルを検出、追跡、保存、分析し、必要に応じてブロックできます。

全体的なアクセス制御設定の一部として、マルウェア対策とファイル制御を実行するようにシステムを設定できます。作成してアクセス コントロール ルールに関連付けたファイル ポリシーは、ルールに一致するネットワーク トラフィックを処理します。

ファイル ポリシーはどのライセンスでも作成可能ですが、マルウェア防御とファイル制御の一部の操作を行うには、次の表に示すように、ライセンス供与される特定の機能を ASA FirePOWER モジュールで有効にする必要があります。

表 1. 侵入インスペクションおよびファイル インスペクションのライセンスおよびアプライアンスの要件

機能

説明

追加する必要のあるライセンス

侵入防御

侵入およびエクスプロイトを検出し、任意でブロックします

Protection

ファイル制御

ファイル タイプの伝送を検出し、任意でブロックします

Protection

高度なマルウェア防御(AMP)

マルウェアの伝送を検出、追跡し、任意でブロックします

Malware

マルウェア防御とファイル制御について

ライセンス:Protection、Malware、または任意

高度なマルウェア防御機能を使用すると、ネットワークで伝送されるマルウェア ファイルを検出、追跡、分析し、必要に応じてブロックするように ASA FirePOWER モジュールを設定できます。

システムは、PDF、Microsoft Office 文書など多数のファイル タイプに潜むマルウェアを検出し、オプションでブロックできます。ASA FirePOWER モジュールは、特定のアプリケーション プロトコル ベースのネットワーク トラフィックで、これらのファイル タイプの伝送をモニタします。ASA FirePOWER モジュールは該当するファイルを検出し、ファイルの SHA256 ハッシュ値を使用してマルウェア クラウド ルックアップを実行します。その結果に基づき、Cisco Cloud は ASA FirePOWER モジュールにファイルの性質を返します。

クラウドにあるファイルの性質が不正確だとわかっている場合、次のようにして、ファイルの SHA-256 値をファイル リストに追加できます。

  • クラウドがクリーンの性質を割り当てた場合と同じ方法でファイルを扱うには、クリーン リストにファイルを追加します。

  • クラウドがマルウェアの性質を割り当てた場合と同じ方法でファイルを扱うには、カスタム検出リストにファイルを追加します。

あるファイルの SHA-256 値がファイル リスト内で検出されると、システムはマルウェア ルックアップの実行もファイルの性質の検査も行わずに、適切なアクションを実行します。ファイルの SHA 値を計算するには、マルウェア クラウド ルックアップ アクションとマルウェア ブロック アクションのどちらか、および一致するファイル タイプを使用して、ファイル ポリシー内のルールを設定する必要があることに注意してください。ファイル ポリシーごとに、クリーン リストまたはカスタム検出リストの使用を有効にできます。

ファイルを検査またはブロックするには、ASA FirePOWER モジュールで Protection ライセンスを有効にする必要があります。ファイルをファイル リストに追加するには、Malware ライセンスも有効にする必要があります。

ファイルの性質について

システムは、Cisco Cloud から返される性質に基づいてファイルの性質を決定します。ファイル リストへの追加操作の結果、または脅威スコアに応じて、Cisco Cloud クラウドから返されるファイルの性質は次のいずれかになります。

  • Malware は、クラウドがマルウェアとしてファイルを分類したことを示します。

  • Clean は、クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。

  • Unknown は、クラウドが性質を割り当てる前にマルウェア クラウド ルックアップが行われたことを示します。クラウドはそのファイルをまだ分類していません。

  • [Custom Detection] は、ファイルをユーザがカスタム検出リストに追加したことを示します。

  • Unavailable:ASA FirePOWER モジュールがマルウェア クラウド ルックアップを実行できなかったことを示します。この性質で見られるイベントはごくわずかである可能性があります。これは予期された動作です。


ヒント
高速連続で複数のUnavailable マルウェア イベントが発生した場合は、クラウド接続およびポート設定を確認してください。詳細については、「セキュリティ、インターネット アクセス、および通信ポート」を参照してください。

ファイルの性質に基づいて、ASA FirePOWER モジュールはファイルをブロックするか、またはファイルのアップロードやダウンロードをブロックします。パフォーマンス向上のために、SHA256 値に基づくファイルの性質がすでにわかっている場合、アプライアンスは Cisco Cloud にクエリする代わりに、キャッシュ済みの性質を使用します。

ファイルの性質は変更される可能性があることに注意してください。たとえば、クラウドによる判定の結果、以前はクリーンであると考えられていたファイルが今はマルウェアとして識別されるようになったり、その逆、つまりマルウェアと識別されたファイルが実際にはクリーンであったりする可能性があります。あるファイルに関するマルウェア ルックアップを前の週に実行した後、そのファイルの性質が変更された場合、クラウドから ASA FirePOWER モジュールに通知が送信されるため、そのファイルの伝送が次回検出されたときにシステムは適切なアクションを実行できます。変更されたファイルの性質は、レトロスペクティブな性質と呼ばれます。

マルウェア クラウド ルックアップから戻されたファイルの性質には、存続可能時間(TTL)値が割り当てられます。ファイルの性質が更新されないまま、TTL 値で指定された期間にわたって保持された後は、キャッシュ情報が消去されます。性質には、次の TTL 値があります。

  • [Clean]:4 時間

  • [Unknown]:1 時間

  • [Malware]:1 時間

キャッシュに照らしたマルウェア クラウド ルックアップの結果、キャッシュ済み性質がタイムアウトになったことが識別されると、システムはファイルの性質を判別するために新しいルックアップを実行します。

ファイル制御について

マルウェア ファイル伝送のブロックに加えて、(マルウェアを含むかどうかにかかわらず)特定のタイプのすべてのファイルをブロックする必要がある場合は、ファイル制御機能により防御網を広げることができます。マルウェア防御の場合と同様に、ASA FirePOWER モジュールはネットワーク トラフィック内で特定のファイル タイプの伝送をモニタし、そのファイルをブロックまたは許可します。

システムでマルウェアを検出できるすべてのファイル タイプだけでなく、さらに多数のファイル タイプに対するファイル制御がサポートされています。これらのファイル タイプは、マルチメディア(swf、mp3)、実行可能ファイル(exe、トレント)、PDF などの基本的なカテゴリにグループ分けされます。ファイル制御はマルウェア防御とは異なり、Cisco Cloud へのクエリを必要としないことに注意してください。

マルウェア防御とファイル制御の設定

ライセンス:Protection または Malware

ファイル ポリシーをアクセス コントロール ルールに関連付けることで、全体的なアクセス制御設定の一部として、マルウェア対策とファイル制御を設定します。この関連付けにより、アクセス コントロール ルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。

ファイル ポリシーには、親アクセス コントロール ポリシーと同様に、各ルールの条件に一致するファイルの処理方法を決定するルールがいくつか含まれています。ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別個のファイル ルールを設定できます。

あるファイルがルールに一致する場合、ルールで以下を実行できます。

  • 単純なファイル タイプ照合に基づいてファイルを許可またはブロックする

  • マルウェア ファイルの性質に基づいてファイルをブロックする

さらに、ファイル ポリシーは、クリーン リストまたはカスタム検出リストのエントリに基づいて、ファイルがクリーンまたはマルウェアである場合と同じように自動的にファイルを扱うことができます。

単純な例として、ユーザによる実行可能ファイルのダウンロードをブロックするファイル ポリシーを導入できます。ファイル ポリシーについて、およびファイル ポリシーとアクセス コントロール ルールとの関連付けについての詳細は、ファイル ポリシーの概要と作成 を参照してください。

マルウェア防御とファイル制御に基づくイベントのロギング

ライセンス:Protection または Malware

ASA FirePOWER モジュールは、システムによるファイル インスペクションの記録、ファイル イベントおよびマルウェア イベント処理の記録をログに記録します。

  • ファイル イベントは、システムがネットワーク トラフィック内で検出した(さらにオプションでブロックした)ファイルを表します。

  • マルウェア イベントは、システムがネットワーク トラフィック内で検出した(さらにオプションでブロックした)マルウェア ファイルを表します。

  • 遡及的マルウェア イベントは、マルウェア ファイルの性質が変更されたファイルを表します。

システムがネットワーク トラフィックでのマルウェアの検出またはブロックに基づいてマルウェア イベントを生成する場合、ファイル イベントも生成します。ファイル内のマルウェアを検出するために、システムはまずファイル自体を検出する必要があるからです。

ファイル ポリシーの概要と作成

ライセンス:Protection または Malware

ファイル ポリシーは、システムが全体的なアクセス制御設定の一環として、高度なマルウェア防御とファイル制御を実行するために使用する一連の設定です。

このポリシーには 2 つのアクセス コントロール ルールがあり、両方とも許可アクションを使用し、ファイル ポリシーに関連付けられています。このポリシーのデフォルト アクションもまた「トラフィックの許可」ですが、ファイル ポリシー インスペクションはありません。このシナリオでは、トラフィックは次のように処理されます。

  • Rule 1 に一致するトラフィックは File Policy A で検査されます。

  • Rule 1 に一致しないトラフィックは Rule 2 に照らして評価されます。Rule 2 に一致するトラフィックはFile Policy B で検査されます。

  • どちらのルールにも一致しないトラフィックは許可されます。デフォルト アクションにファイル ポリシーを関連付けることはできません。

ファイル ポリシーには、親アクセス コントロール ポリシーと同様に、各ルールの条件に一致するファイルの処理方法を決定するルールがいくつか含まれています。ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別個のファイル ルールを設定できます。

ファイルがルールに一致する場合、ルールで以下を実行できます。

  • 単純なファイル タイプ照合に基づいてファイルを許可またはブロックする

  • マルウェア ファイルの性質に基づいてファイルをブロックする

さらに、ファイル ポリシーは、クリーン リストまたはカスタム検出リストのエントリに基づいて、ファイルがクリーンまたはマルウェアである場合と同じように自動的にファイルを扱うことができます。

1 つのファイル ポリシーを、許可インタラクティブ ブロック、または リセット付きインタラクティブ ブロック アクションを含むアクセス コントロール ルールに関連付けることができます。その後、システムはそのファイル ポリシーを使用して、アクセス コントロール ルールの条件を満たすネットワーク トラフィックを検査します。異なるファイル ポリシーを個々のアクセス コントロール ルールに関連付けることにより、ネットワークで伝送されるファイルを識別/ブロックする方法をきめ細かく制御できます。ただし、アクセス制御のデフォルト アクションによって処理されるトラフィックを検査するためにファイル ポリシーを使用できないことに注意してください。詳細については、許可されたトラフィックに対する侵入およびマルウェアの有無のインスペクションを参照してください。

ファイル ルール

ファイル ポリシーの中でファイル ルールを設定します。次の表に、ファイル ルールのコンポーネントを示します。

表 2. ファイル ルールのコンポーネント

ファイル ルールのコンポーネント

説明

アプリケーション プロトコル

システムは、FTP、HTTP、SMTP、IMAP、POP3、NetBIOS-ssn(SMB)を介して伝送されるファイルを検出し、検査できます。パフォーマンスを向上させるには、ファイル ルールごとに、これらのアプリケーション プロトコルのうち 1 つだけでファイルを検出するよう限定できます。

転送の方向

ダウンロードされるファイルに対して、FTP、HTTP、IMAP、POP3、および NetBIOS-ssn(SMB)の着信トラフィックを検査できます。アップロードされるファイルに対しては、FTP、HTTP、SMTP、および NetBIOS-ssn(SMB)の発信トラフィックを検査できます。

ファイルのカテゴリとタイプ

システムは、さまざまなタイプのファイルを検出できます。これらのファイル タイプは、マルチメディア(swf、mp3)、実行可能ファイル(exe、トレント)、PDF などの基本的なカテゴリにグループ分けされます。個々のファイル タイプを検出したり、ファイル タイプ カテゴリ全体を検出したりするよう、ファイル ルールを設定できます。

たとえば、すべてのマルチメディア ファイルをブロックしたり、Shockwave Flash(swf)ファイルのみをブロックしたりできます。または、ユーザが BitTorrent(torrent)ファイルをダウンロードしたときにアラートを出すよう、システムを設定できます。

注意     
頻繁にトリガーされるファイル ルールは、システム パフォーマンスに影響を与える可能性があります。たとえば、HTTP トラフィックでマルチメディア ファイルを検出しようとすると(たとえば YouTube は多量の Flash コンテンツを伝送します)、膨大な数のイベントが生成される可能性があります。

ファイル ルール アクション

ファイル ルール アクションは、ルールの条件に一致するトラフィックがシステムによってどのように処理されるかを決定します。

(注)   
複数のファイル ルールは(数値順ではなく)ルール アクション順に評価されます。詳細については、次の「ファイル ルール アクションと評価順序」を参照してください。

ファイル ルール アクションと評価順序

各ファイル ルールには、ルールの条件に一致するトラフィックがシステムによってどのように処理されるかを決定する 1 つのアクションが関連付けられます。1 つのファイル ポリシー内に、ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別々のルールを設定できます。複数のルール アクションは、以下のようなルール アクション順になります。

  • ファイル ブロック ルールを使用すると、特定のファイル タイプをブロックできます。

  • マルウェア ブロック ルールを使用すると、特定のファイル タイプの SHA-256 ハッシュ値を計算した後、クラウド ルックアップ プロセスを使用して、ネットワークを通過するファイルにマルウェアが含まれているかどうかまず判断し、脅威を示すファイルをブロックできます。

  • マルウェア クラウド ルックアップ ルールを使用すると、ネットワークを通過するファイルの伝送を許可しながら、クラウド ルックアップに基づいてそのファイルのマルウェアの性質をログに記録できます。

  • ファイル検出ルールを使用すると、ファイルの伝送を許可しながら、特定のファイル タイプの検出をログに記録できます。

各ファイル ルール アクションに対して、ファイル転送がブロックされると接続をリセットするというオプションを設定できます。次の表に、各ファイル アクションで使用可能なオプションの詳細を示します。

表 3. ファイル ルール アクション

アクション

接続をリセットするか

ファイル ブロック(Block Files)

はい(推奨)

マルウェア ブロック(Block Malware)

はい(推奨)

ファイル検出(Detect Files)

いいえ

マルウェア クラウド ルックアップ(Malware Cloud Lookup)

いいえ

ファイルとマルウェアの検出、キャプチャ、およびブロッキングに関する注意事項と制約事項

ファイルとマルウェアの検出、キャプチャ、およびブロッキングの動作に関して、以下の詳細および制限に注意してください。

  • ファイルがセッションで検出されブロックされるまで、セッションからのパケットは侵入インスペクションの対象になる場合があります。

  • ファイルの終わりを示す End of File マーカーが検出されない場合、転送プロトコルとは無関係に、そのファイルはマルウェア ブロック ルールでもカスタム検出リストでもブロックされません。システムは、End of File マーカーで示されるファイル全体の受信が完了するまでファイルのブロックを待機し、このマーカーが検出された後にファイルをブロックします。

  • FTP ファイル転送で End of File マーカーが最終データ セグメントとは別に伝送される場合、マーカーがブロックされ、ファイル転送失敗が FTP クライアントに表示されますが、実際にはそのファイルは完全にディスクに転送されます。

  • FTP は、さまざまなチャネルを介してコマンドおよびデータを転送します。パッシブ展開では、FTP データ セッションとその制御セッションからのトラフィックが同じ Snort に負荷分散されない場合があります。

  • ファイルがアプリケーション プロトコル条件を持つルールに一致する場合、ファイル イベントの生成は、システムがファイルのアプリケーション プロトコルを正常に識別した後に行われます。識別されていないファイルは、ファイル イベントを生成しません。

  • FTP に関する [マルウェア ブロック(Block Malware)] ルールを持つファイル ポリシーを使用するアクセス コントロール ポリシーでは、[インライン時にドロップ(Drop when Inline)] を無効にした侵入ポリシーをデフォルト アクションに設定した場合、システムはルールに一致するファイルやマルウェアの検出でイベントを生成しますが、ファイルをドロップしません。FTP ファイア転送をブロックし、ファイル ポリシーを選択するアクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを使用するには、[Drop when Inline] を有効にした侵入ポリシーを選択する必要があります。

  • [ファイル ブロック(Block Files)] アクションおよび [マルウェア ブロック(Block Malware)] アクションを持つファイル ルールでは、最初のファイル転送試行後 24 時間で検出される、同じファイル、URL、サーバ、クライアント アプリケーションを使った新しいセッションをブロックすることにより、HTTP 経由のファイル ダウンロードの自動再開をブロックします。

  • まれに、HTTP アップロード セッションからのトラフィックが不適切である場合、システムはトラフィックを正しく再構築できなくなり、トラフィックのブロックやファイル イベントの生成を行いません。

  • ファイル ブロック ルールでブロックされる NetBios-ssn 経由ファイル転送(SMB ファイル転送など)の場合、宛先ホストでファイルが見つかることがあります。ただし、ダウンロード開始後にファイルがブロックされ、結果としてファイル転送が不完全になるため、そのファイルは使用できません。

  • (SMB ファイル転送など)NetBios-ssn 経由で転送されるファイルを検出またはブロックするファイル ルールを作成した場合、ファイル ポリシーを呼び出すアクセス コントロール ポリシーの適用前に開始された、確立済み TCP または SMB セッションで転送されるファイルに対しては、検査が行われません。このため、これらのファイルは検出/ブロックされません。

  • パッシブ展開でファイルをブロックするよう設定されたルールは、一致するファイルをブロックしません。接続ではファイル伝送が続行されるため、接続の開始をログに記録するルールを設定した場合、この接続に関して複数のイベントが記録されることがあります。

  • POP3、POP、SMTP、または IMAP セッションでのすべてのファイル名の合計バイト数が 1024 を超えると、セッションのファイル イベントでは、ファイル名バッファがいっぱいになった後で検出されたファイルの名前が正しく反映されないことがあります。

  • SMTP 経由でテキストベースのファイルを送信すると、一部のメール クライアントは改行を CRLF 改行文字標準に変換します。MAC ベースのホストはキャリッジ リターン(CR)文字を使用し、Unix/Linux ベースのホストはライン フィード(LF)文字を使用するので、メール クライアントによる改行変換によってファイルのサイズが変更される場合があります。一部のメール クライアントは、認識できないファイル タイプを処理する際に改行変換を行うようデフォルト設定されていることに注意してください。

  • シスコでは、[Block Files] アクションと [Block Malware] アクションで [Reset Connection] を有効にすることを推奨しています。これにより、ブロックされたアプリケーション セッションが TCP 接続リセットまで開いたままになることを防止できます。接続をリセットしない場合、TCP 接続が自身をリセットするまで、クライアント セッションが開いたままになります。

  • マルウェア クラウド ルックアップ アクションまたは マルウェア ブロック アクションを使用してファイル ルールが設定されている場合、ASA FirePOWER モジュールがクラウドとの接続を確立できないと、クラウド接続が復元されるまで、システムは設定済みルール アクション オプションを実行できません。

ファイル ルールの評価例

番号順にルールが評価されるアクセス コントロール ポリシーとは異なり、ファイル ポリシーでは「ファイル ルール アクションと評価順序」に従ってファイルが処理されます。つまり、(優先度の高い順に)単純なブロッキング、次にマルウェア インスペクションとブロッキング、さらにその次に単純な検出とロギングとなります。例として、1 つのファイル ポリシー内に、PDF ファイルを処理する 4 つのルールがあるとします。モジュール インターフェイスで表示される順序に関係なく、これらのルールは次の順序で評価されます。

表 4. ファイル ルールの評価順序の例

アプリケーションプロトコル

方向

アクション

アクションのオプション

結果

SMTP

アップロード

ファイル ブロック

接続のリセット

ユーザが電子メールで PDF ファイルを送信することをブロックし、接続をリセットします。

FTP

ダウンロード

マルウェア ブロック

接続のリセット

ファイル転送によるマルウェア PDF ファイルのダウンロードをブロックし、接続をリセットします。

POP3

IMAP

ダウンロード

マルウェア クラウド ルックアップ

なし

電子メールで受信した PDF ファイルについてマルウェアを検査します。

任意

任意

ファイル検出

なし

ユーザが Web 上で(つまり HTTP 経由で)PDF ファイルを表示すると、それを検出してログに記録しますが、トラフィックは許可します。

ASA FirePOWER モジュールでは、矛盾するファイル ルールを示すために警告アイコンが使用されます。

システムで検出されるすべてのファイル タイプに対してマルウェア分析を実行できるわけではないことに注意してください。[Application Protocol] 、[Direction of Transfer]、および [Action] ドロップダウン リストで値を選択すると、システムはファイル タイプのリストを限定します。

ファイル イベント、マルウェア イベント、およびアラートのロギング

ファイル ポリシーをアクセス コントロール ルールに関連付けると、一致するトラフィックに関するファイル イベントとマルウェア イベントのロギングが自動的に有効になります。ファイルを検査するときに、システムは次のタイプのイベントを生成できます。

  • ファイル イベント:検出またはブロックされたファイル、および検出されたマルウェア ファイルを表します。

  • マルウェア イベント:検出されたマルウェア ファイルを表します。

  • レトロスペクティブ マルウェア イベント:以前に検出されたファイルに関するマルウェア ファイルの性質が変更された場合に生成されます。

ファイル ポリシーでファイル イベントまたはマルウェア イベントが生成されるか、ファイルがキャプチャされると、システムは(起動元のアクセス コントロール ルールにおけるロギング設定とは無関係に)関連する接続の終了を自動的に記録します。


(注)  
NetBIOS-ssn(SMB)トラフィックの検査によって生成されるファイル イベントは、即座には接続イベントを生成しません。これは、クライアントとサーバが持続的接続を確立するためです。システムはクライアントまたはサーバがセッションを終了した後に接続イベントを生成します。

これらの接続イベントごとに、

  • [Files] フィールドには、接続で検出されたファイル数(マルウェア ファイルを含む)を示すアイコン()が含まれます。このアイコンをクリックすると、それらのファイルのリスト、およびマルウェア ファイルの性質が表示されます。

  • [Reason] フィールドには、接続イベントがログに記録された理由が示されます。これはファイル ルール アクションに応じて次のように異なります。

    • [File Monitor]:ファイル検出ルールおよびマルウェア クラウド ルックアップ ルールの場合、およびクリーン リスト内のファイルの場合

    • [File Block]:ファイル ブロック ルールまたはマルウェア ブロック ルールの場合

    • [File Custom Detection]: カスタム検出リストにあるファイルをシステムが検出した場合

    • [File Resume Allow]:ファイル ブロック ルールまたはマルウェア ブロック ルールによってファイル伝送が最初にブロックされた場合。ファイルを許可する新しいアクセス コントロール ポリシーが適用された後、HTTP セッションが自動的に再開しました。

    • [File Resume Block]:ファイル検出ルールまたはマルウェア クラウド ルックアップ ルールによってファイル伝送が最初に許可された場合。ファイルをブロックする新しいアクセス コントロール ポリシーが適用された後、HTTP セッションが自動的に停止しました。

  • ファイルやマルウェアがブロックされた接続の場合、[Action] は [Block] です。

ファイル イベントやマルウェア イベントは、ASA FirePOWER モジュールによって生成される各種イベントと同じように表示できます。また、SNMP や syslog によって警告されたマルウェア イベントを使用することもできます。

インターネット アクセス

システムはポート 443 を使用して、ネットワークベース AMP 用のマルウェア クラウド ルックアップを実行します。ASA FirePOWER モジュールで発信ポートを開く必要があります。

ファイル ポリシーの管理

[File Policies] ページ([Policies] > [Files])でファイル ポリシーの作成、編集、削除、および比較を行います。このページには既存のファイル ポリシーのリストと、ポリシーの最終更新日が表示されます。

ファイル ポリシーの適用アイコンをクリックするとダイアログボックスが表示され、そのファイル ポリシーを使用するアクセス コントロール ポリシーが示された後、[Access Control Policy] ページにリダイレクトされます。これは、ファイル ポリシーが親アクセス コントロール ポリシーの一部と見なされ、ファイル ポリシーを単独で適用できないためです。新しいファイル ポリシーを使用したり、既存のファイル ポリシーの変更内容を適用したりするには、親アクセス コントロール ポリシーを適用/再適用する必要があります。

保存済みまたは適用済みのアクセス コントロール ポリシーで使われているファイル ポリシーは削除できないことに注意してください。

ファイル ポリシーの作成

ライセンス:Protection または Malware

ファイル ポリシーを作成して、その中でルールを設定すると、それをアクセス コントロール ポリシーで使用できるようになります。


ヒント
既存のファイル ポリシーのコピーを作成するには、コピー アイコンをクリックして、表示されるダイアログボックスで新しいポリシーの一意の名前を入力します。その後、そのコピーを変更できます。

ファイル ポリシーを作成する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Files] の順に選択します。

[File Policies] ページが表示されます。

新しいポリシーの場合、ポリシーが使用中でないことがモジュール インターフェイスに示されます。使用中のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用しているアクセス コントロール ポリシーの数がモジュール インターフェイスに示されます。どちらの場合も、テキストをクリックすると [Access Control Policies] ページに移動できます(アクセス コントロール ポリシーの開始を参照)。

ステップ 2

新しいポリシーの [Name] とオプションの [Description] を入力してから、[Save] をクリックします。

[File Policy Rules] タブが表示されます。
ステップ 3

ファイル ポリシーに 1 つ以上のルールを追加します。

ファイル ルールを使用すると、ロギング、ブロック、またはマルウェア スキャンの対象となるファイル タイプを詳細に制御できます。ファイル ルールの追加については、ファイル ルールの操作を参照してください。

ステップ 4

詳細オプションを設定します。詳細については、「ファイル ポリシーの詳細オプション(General)の設定」を参照してください。

ステップ 5

[Store ASA FirePOWER Changes] をクリックします。

新しいポリシーを使用するには、アクセス コントロール ルールにファイル ポリシーを追加してから、アクセス コントロール ポリシーを適用する必要があります。既存のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

ファイル ルールの操作

ライセンス:Protection または Malware

効果を発揮するには、ファイル ポリシーに 1 つ以上のルールが含まれている必要があります。新しいファイル ポリシーを作成するとき、または既存のポリシーを編集するときに表示される [File Policy Rules] ページで、ルールを作成、編集、および削除します。このページには、ポリシー内のすべてのルールがリストされ、各ルールの基本的な特性も示されます。

また、このページでは、このファイル ポリシーを使用するアクセス コントロール ポリシーの数も通知されます。この通知をクリックすると、親ポリシーのリストが表示され、オプションで [Access Control Policies] ページに進むことができます。

ファイル ルールを作成する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Files] を選択します。

[File Policies] ページが表示されます。
ステップ 2

次の選択肢があります。

  • 新しいポリシーにルールを追加するには、[New File Policy] をクリックして、新しいポリシーを作成します(ファイル ポリシーの作成を参照)。

  • 既存のポリシーにルールを追加するには、ポリシーの横にある編集アイコンをクリックします。
ステップ 3

表示される [File Policy Rules] ページで、[Add File Rule] をクリックします。

[Add File Rule] ダイアログボックスが表示されます。
ステップ 4

ドロップダウンリストから、[Application Protocol] を選択します。

デフォルトの [Any] は、HTTP、SMTP、IMAP、POP3、FTP、および NetBIOS-ssn(SMB)トラフィック内のファイルを検出します。

ステップ 5

ドロップダウンリストから [Direction of Transfer] を選択します。

ダウンロードされるファイルに関して、以下のタイプの着信トラフィックを検査できます。

  • HTTP

  • IMAP

  • POP3

  • FTP

  • NetBIOS-ssn(SMB)

アップロードされるファイルに関して、以下のタイプの発信トラフィックを検査できます。

  • HTTP

  • FTP

  • SMTP

  • NetBIOS-ssn(SMB)

[Any] を使用すると、ユーザが送信しているか受信しているかには関係なく、多数のアプリケーション プロトコルを介したファイルが検出されます。

ステップ 6

ファイル ルールの [Action] を選択します。詳細については、表「ファイル ルール アクション」を参照してください。

[Block Files] または [Block Malware] を選択すると、[Reset Connection] がデフォルトで有効になります。ファイル転送のブロックが発生した接続をリセットしないようにするには、[Reset Connection] チェックボックスをクリアします。

(注)   
シスコでは、[Reset Connection] を有効のままにしておくことを推奨しています。これにより、ブロックされたアプリケーション セッションが TCP 接続リセットまで開いたままになることを防止できます。

ファイル ルールのアクションの詳細については、「ファイル ルール アクションと評価順序」を参照してください。

ステップ 7

[File Types] を 1 つ以上選択します。複数のファイル タイプを選択するには、Shift キーと Ctrl キーを使用します。ファイル タイプのリストを、次のようにフィルタ処理できます。

  • [File Type Categories] を 1 つ以上選択します。

  • 名前または説明でファイル タイプを検索します。たとえば、Microsoft Windows 固有のファイルのリストを表示するには、[Search name and description] フィールドに「Windows」と入力します。

ファイル ルールで使用できるファイル タイプは、[Application Protocol] 、[Direction of Transfer] 、および [Action] での選択内容に応じて変化します。

たとえば、[Direction of Transfer] で [Download] を選択すると、ファイル イベントが過剰になるのを防止するために、[Graphics] カテゴリから [GIF]、[PNG]、[JPEG]、[TIFF]、および [ICO] が削除されます。

ステップ 8

選択したファイル タイプを [Selected Files Categories and Types] リストに追加します。

  • [Add] をクリックすると、選択したファイル タイプがルールに追加されます。

  • 1 つ以上のファイル タイプを [Selected Files Categories and Types] リストの中にドラッグ アンド ドロップします。

  • カテゴリを選択して [All types in selected Categories] をクリックしてから、[Add] をクリックするか、選択項目を [Selected Files Categories and Types] リストの中にドラッグ アンド ドロップします。

ステップ 9

[Store ASA FirePOWER Changes] をクリックします。

ファイル ルールがポリシーに追加されます。既存のファイル ポリシーを編集している場合、変更内容を有効にするには、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

ファイル ポリシーの詳細オプション(General)の設定

ライセンス:Malware

ファイル ポリシーでは、[General] セクションにある以下の詳細オプションを設定できます。

表 5. ファイル ポリシーの詳細オプション(General)

フィールド

説明

デフォルト値

Enable Custom Detection List

これを選択すると、カスタム検出リストにあるファイルが検出されたときに、そのファイルをブロックします。

有効(enabled)

Enable Clean List

これを選択すると、クリーン リストにあるファイルが検出されたときに、そのファイルを許可します。

有効(enabled)

ファイル ポリシーの詳細オプション(General)を設定するには、次の手順を実行します。

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Files] の順に選択します。

[File Policies] ページが表示されます。
ステップ 2

編集するポリシーの横にある編集アイコンをクリックします。

[File Policy Rule] ページが表示されます。

ステップ 3

[Advanced] タブを選択します。

[Advanced] タブが表示されます。

ステップ 4

表「ファイル ポリシーの詳細オプション(General)」の説明に従い、オプションを変更します。

ステップ 5

[Store ASA FirePOWER Changes] をクリックします。

編集したファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。

2 つのファイル ポリシーの比較

ライセンス:Protection

変更後のポリシーが組織の標準に準拠することを確かめたり、システム パフォーマンスを最適化したりする目的で、任意の 2 つのファイル ポリシー間の違いや、同じポリシーの 2 つのリビジョン間の違いを調べることができます。

ファイル ポリシーの比較ビューには、2 つのポリシーまたはリビジョンが並んで表示され、各ポリシー名の横には最終変更時刻と最後に変更したユーザが表示されます。2 つのポリシー間の違いは次のように強調表示されます。

  • 青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。

  • グリーンは、強調表示されている設定項目が一方のポリシーに含まれ、もう一方のポリシーには含まれないことを示します。

[Previous] と [Next] をクリックすると、前後の相違箇所に移動できます。左側と右側の間にある二重矢印アイコンが移動し、[Difference] 番号が調整されて、表示中の差異が示されます。必要に応じて、ファイル ポリシーの比較レポートを生成できます。これは PDF 版の比較ビューです。

2 つのファイル ポリシーを比較する方法:

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Files] の順に選択します。

[File Policies] ページが表示されます。
ステップ 2

[Compare Policies] をクリックします。

[Select Comparison] ダイアログボックスが表示されます。
ステップ 3

[Compare Against] ドロップダウン リストから、比較するタイプを次のように選択します。

  • 2 つの異なるポリシーを比較するには、[Running Configuration] または [Other Policy] を選択します。この 2 つのオプションの違いは、[Running Configuration] を選択した場合、現在適用されている一連のファイル ポリシーの中からのみ、比較対象の 1 つを選択できます。

  • 同じポリシーのバージョン間を比較するには、[Other Revision] を選択します。

ダイアログ ボックスの表示が更新され、比較オプションが示されます。
ステップ 4

選択した比較タイプに応じて、次の選択肢があります。

  • 2 つの異なるポリシーを比較する場合、比較対象のポリシーとして [Policy A] または [Target/Running Configuration A] のどちらかと、[Policy B] とを選択します。

  • 同じポリシーのバージョン間を比較する場合、対象の [Policy] を選択してから、2 つのリビジョン [Revision A] と [Revision B] を選択します。リビジョンは、日付とユーザ名別にリストされます。

ステップ 5

[OK] をクリックします。

比較ビューが表示されます。
ステップ 6

オプションで、[Comparison Report] をクリックして、ファイル ポリシー比較レポートを生成します。コンピュータにレポートを保存するように求められます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ