ハードウェアと仮想ハードウェア

FMC モデル MC1600、2600、および 4600

Firepower Management Center モデル MC1600、2600、および 4600 を導入しました。なお、これらのモデルではバージョン 6.3.x もサポートされています。

FMCv Azure 上

Microsoft Azure 上に Firepower Management Center Virtual を導入しました。

FTD Firepower 1010、1120、1140 上

Firepower 1010、1120、および 1140 を導入しました。

FTD Firepower 4115、4125、および 4145

Firepower 4115、4125、および 4145 が導入されました。

Firepower 9300 SM-40、SM-48、および SM-56 のサポート

新しい 3 つのセキュリティ モジュール（SM-40、SM-48、SM-56）を導入しました。

ASA および FTD（同じ Firepower 9300 上）

ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。FXOS 2.6.1 が必要です。

ライセンス

の新しいライセンス機能 ISA 3000

ASA FirePOWER および FTD の導入環境では、 ISA 3000 は URL フィルタリングおよびマルウェアのライセンスとそれらの関連機能をサポートするようになりました。

FTD のみ、ISA 3000 は、承認された顧客向けに特定のライセンスの予約をサポートするようになりました。

サポートされているプラットフォーム： ISA 3000

Firepower Threat Defense ルーティング

OSPFv2 ルーティングの循環（キーチェーン）認証

OSPFv2 ルーティングを設定すると、循環（キーチェーン）認証を使用できるようになりました。

新規/変更された画面：

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [キーチェーン（Key Chain）] オブジェクト

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ > [OSPF 設定（OSPF settings）] > [インターフェイス（Interface）] タブ > [インターフェイスの追加/編集（add/edit interface）] > [認証（Authentication）] オプション

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ > [OSPF 設定（OSPF settings）] > [エリア（Area）] タブ > [エリアの追加/編集（add/edit area）] > [仮想リンク（Virtual Link）] サブタブ > [仮想リンクの追加/編集（add/edit virtual link）]> [認証（Authentication）] オプション

サポートされているプラットフォーム： FTD

Firepower Threat Defense 暗号化と VPN

RA VPN：セカンダリ認証

セカンダリ認証（二重認証とも呼ばれる）は、2 つの異なる認証サーバを使用して、RA VPN 接続にさらにもう 1 つのセキュリティのレイヤを追加します。セカンダリ認証が有効になっている場合、AnyConnect VPN のユーザは VPN ゲートウェイにログインするために 2 組のクレデンシャルを提供する必要があります。

RA VPN は、AAA のみのセカンダリ認証と、クライアント証明書認証方式および AAA 認証方式をサポートします。

新規/変更された画面：[デバイス（Devices）] > [VPN] > [リモート アクセス（Remote Access）] > [設定の追加/編集（add/edit configuration）] > [接続プロファイル（Connection Profile）] > [AAA] 領域

サポートされているプラットフォーム： FTD

サイト間 VPN：エクストラネット エンドポイントのダイナミック IP アドレス

エクストラネット エンドポイントにダイナミック IP アドレスを使用するように、サイト間 VPN を設定できるようになりました。ハブアンドスポーク導入環境では、ハブをエクストラネット エンドポイントとして使用できます。

新規/変更された画面：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [FTD VPN トポロジの追加/編集（add/edit FTD VPN topology）] > [エンドポイント（Endpoints）] タブ > [エンドポイントの追加（add endpoint）] > [IP アドレス（IP Address）] オプション

サポートされているプラットフォーム： FTD

サイト間 VPN：ポイントツーポイント トポロジのためのダイナミック暗号マップ

ポイントツーポイントおよびハブアンドスポーク VPN トポロジでは、ダイナミック暗号マップを使用できるようになりました。フル メッシュ トポロジについては、ダイナミック暗号マップはまだサポートされていません。

トポロジを設定するときは、暗号マップ タイプを指定します。トポロジ内のピアの 1 つに対して、ダイナミック IP アドレスも指定する必要があります。

新規/変更された画面：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [FTD VPN トポロジの追加/編集（add/edit FTD VPN topology）] > [IPsec] タブ > [暗号マップ タイプ（Crypto Map Type）] オプション

サポートされているプラットフォーム： FTD

TLS 暗号化アクセラレーション

SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。バージョン 6.4 のアップグレード プロセスでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。

ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。ただし、Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、モジュール/セキュリティ エンジンごとに、1 つのコンテナ インスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナ インスタンスに対してアクセラレーションは無効になっていますが、ネイティブ インスタンスには有効になっています。

Firepower 4100/9300 シャーシ向けの新しい FXOS CLI コマンド：

• show hwCrypto

• config hwCrypto

新しい FTD CLI コマンド：

• show crypto accelerator status （system support ssl-hw-status の代替）

削除された FTD CLI コマンド：

• system support ssl-hw-accel

• system support ssl-hw-status

サポートされているプラットフォーム：Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ

イベント、ロギング、および分析

ファイルおよびマルウェア イベントの syslog メッセージの改良

完全修飾ファイルおよびマルウェアのイベント データが syslog 経由で管理対象デバイスから送信できるようになりました。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセスコントロール（Access Control）] > [ポリシーの追加/編集（add/edit policy）] > [ロギング（Logging）] タブ > [ファイルおよびマルウェアの設定（File and Malware Settings）] 領域

サポートされているプラットフォーム：すべて

CVE ID による侵入イベントの検索

特定の CVE エクスプロイトの結果として生成された侵入イベントを検索できるようになりました。

新規/変更された画面：[分析（Analysis）] > [検索（Search）]

サポートされているプラットフォーム： FMC

[IntrusionPolicy] フィールドが syslog に含まれるようになりました。

侵入イベントの syslog メッセージは、イベントをトリガーした侵入ポリシーを指定するようになりました。

サポートされているプラットフォーム：すべて

Cisco Threat Response（CTR）の統合

Cisco Threat Response は、脅威の迅速な検出、調査、および対応に役立つ新しい Cisco Cloud を提供しています。CTR を使用すると、Firepower Threat Defense などの複数の製品から集約されたデータを使用してインシデントを分析できます。詳細については、Firepower および Cisco Threat Response の統合ガイドを参照してください。

新規/変更された画面：[システム（System）] > [統合（Integration）] > [クラウド サービス（Cloud Services）]

サポートされているプラットフォーム： FTD

Splunk の統合

Splunk のユーザは、新しい個別の Splunk アプリケーションである Cisco Firepower App for Splunk を使用してイベントを分析できます。どの機能を使用できるかは、Firepower のバージョンによって異なります。

サポートされているプラットフォーム： FMC

管理

VMware の FTDv はデフォルトで vmxnet3 インターフェイスに設定される

VMware 上の FTDv は、仮想デバイスを作成するときにデフォルトで vmxnet3 インターフェイスに設定されるようになりました。以前は、デフォルトは e1000 でした。Vmxnet3 のデバイス ドライバとネットワーク処理は ESXi ハイパーバイザと統合されているため、使用するリソースが少なくなり、ネットワーク パフォーマンスが向上します。

サポートされているプラットフォーム：VMware 上の FTDv

管理インターフェイスで重複アドレス検出（DAD）を無効にする機能

IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用するとサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。

新規/変更された画面：[システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [インターフェイス（Interfaces）] 領域 > [インターフェイスの編集（edit interface）] > [IPv6 DAD] チェックボックス

サポートされているプラットフォーム：FMC、7000 および 8000 シリーズ

管理インターフェイス上の ICMPv6 エコー応答と宛先到達不能メッセージを無効にする機能

IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

新規/変更された画面：

[システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [ICMPv6]

新規/変更されたコマンド：

• configure network ipv6 destination-unreachable

• configure network ipv6 echo-reply

サポートされているプラットフォーム：FMC（Web インターフェイスのみ）、管理対象デバイス（CLI のみ）

RADIUS サーバに定義されている FTD ユーザの Service-Type 属性のサポート

FTD CLI ユーザの RADIUS の認証では、以前は RADIUS 外部認証オブジェクトにユーザ名をあらかじめ定義してから、RADIUS サーバに定義されているユーザ名とリストが一致していることを手動で確認する必要がありました。Service-Type 属性を使用して RADIUS サーバで CLI ユーザを定義できるようになりました。また、Basic と Config の両方のユーザ ロールも定義できます。このメソッドを使用するには、外部認証オブジェクトのシェル アクセス フィルタを空白のままにしてください。

新規/変更された画面：[システム（System）] > [ユーザ（Users）] > [外部認証（External Authentication）] タブ > [外部認証オブジェクトの追加/編集（add/edit external authentication object）] > [シェル アクセス フィルタ（Shell Access Filter）]

サポートされているプラットフォーム： FTD

オブジェクトの使用状況の表示

オブジェクト マネージャでネットワーク、ポート、VLAN、または URL オブジェクトが使用されているポリシー、設定、およびその他のオブジェクトを表示できるようになりました。

新規/変更された画面：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > でオブジェクトのタイプを選択し [使用状況の検索（Find Usage）]（双眼鏡）アイコン

サポートされているプラットフォーム： FMC

署名済みの SRU、VDB、および GeoDB の更新（セキュリティの拡張）

Firepower は正しい更新ファイルを使用していることが確認できるため、バージョン 6.4 以降では署名済みの更新を侵入ルール（SRU）、脆弱性データベース（VDB）、および地理位置情報データベース（GeoDB）に使用します。以前のバージョンでは、引き続き未署名の更新が使用されます。シスコ サポートおよびダウンロード サイト から手動で更新をダウンロードしない限り（たとえば、エアギャップ導入環境の場合）、機能の違いはわかりません。

ただし、SRU、VDB、および GeoDB の更新を手動でダウンロードしてインストールする場合は、必ず現在のバージョンに対応した正しいパッケージをダウンロードしてください。バージョン 6.4 以降の署名付きの更新ファイルの先頭は「Sourcefire」ではなく「Cisco」で、末尾は .sh ではなく .sh.REL.tar です。

• SRU：Cisco_Firepower_SRU-date-build-vrt.sh.REL.tar

• VDB：Cisco_VDB_Fingerprint_Database-4.5.0-version.sh.REL.tar

• GeoDB：Cisco_GEODB_Update-date-build.sh.REL.tar

バージョン 5.x ～ 6.3 の更新ファイルでは、引き続き古い命名方式が使用されています。

• SRU：Sourcefire_Rule_Update-date-build-vrt.sh

• VDB：Sourcefire_VDB_Fingerprint_Database-4.5.0-version.sh

• GeoDB：Sourcefire_Geodb_Update-date-build.sh

シスコは、署名なしの更新を必要とするバージョンのサポートが終了するまで、署名付きと署名なしの両方の更新を提供します。 署名付きの（.tar）パッケージは解凍しないでください。

サポートされているプラットフォーム：すべて

管理対象デバイスのスケジュールされたリモート バックアップ

FMC を使用して、特定の管理対象デバイスのリモートバックアップをスケジュールできるようになりました。以前、スケジュールされたバックアップをサポートしていたのは Firepower 7000/8000 シリーズのデバイスのみで、デバイスのローカル GUI を使用する必要がありました。

新規/変更された画面：[システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）] > [タスクの追加/編集（add/edit task）] > [ジョブ タイプ：バックアップ（Job Type: Backup）] を選択 > [バックアップのタイプ（Backup Type）] を選択

サポートされているプラットフォーム：FTD の物理プラットフォーム、VMware 用 FTDv、Firepower 7000/8000 シリーズ

例外：FTD のクラスタ化されたデバイスまたはコンテナ インスタンスはサポートされていません。

モニタリングおよびトラブルシューティング

URL フィルタリング モニタの改善

URL フィルタリング モニタ アラートの時間しきい値を設定できるようになりました。

新規/変更された画面：[システム（System）] > [健全性（Health）] > [ポリシー（Policy）] > [ポリシーの追加/編集（add/edit policy）] > [URL フィルタリング モニタ（URL Filtering Monitor）]

サポートされているプラットフォーム：すべて

アクセス制御ルールと事前フィルタ ルールのヒット カウント

FTD デバイスのアクセス制御ルールと事前フィルタ ルールのヒット カウントにアクセスできるようになりました。

新規/変更された画面：

• [ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセス制御（Access Control）] > [ポリシーの追加/編集（add/edit policy）] > [ヒット カウントの分析（Analyze Hit Counts）]

• [ポリシー（Policies）] > [アクセス制御（Access Control）] > [事前フィルタ（Prefilter）] > [ポリシーの追加/編集（add/edit policy）] > [ヒット カウントの分析（Analyze Hit Counts）]

新しいコマンド：

• show rule hits

• clear rule hits

• cluster exec show rule hits

• cluster exec clear rule hits

• show cluster rule hits

変更されたコマンド：

• show failover に HA ピア間のヒット カウントの同期に関連するオブジェクトのスタティック カウントが含まれるようになりました。

サポートされているプラットフォーム： FTD

接続ベースのトラブルシューティング

接続ベースのトラブルシューティングまたはデバッグにおいて、モジュール間で一貫したデバッグが提供され、特定の接続について適切なログを収集します。また、レベルベースのデバッグを最大 7 レベルまでサポートし、lina ログと Snort ログで一貫したログ収集メカニズムを使用できます。

新規/変更されたコマンド：

• clear packet debugs

• debug packet start

• debug packet stop

• show packet debugs

サポートされているプラットフォーム： FTD

Cisco Success Network の新しいモニタリング機能

Cisco Success Network の次のモニタリング機能を追加しました。

• CSPA（Cisco Security Packet Analyzer）のクエリ情報

• FMC で有効になっているコンテキスト クロス起動インスタンス

• TLS/SSL インスペクション イベント

• Snort の再起動

Cisco Success Network は、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。いつでもオプトインまたはオプトアウトできます。

サポートされているプラットフォーム： FMC

Firepower Management Center REST API

新しい REST API 機能

バージョン 6.4 の機能をサポートするための REST API オブジェクトを追加しました。

• cloudeventsconfigs：Cisco Threat Response の統合を管理します。

• ftddevicecluster：シャーシのクラスタリングを管理します。

• hitcounts：アクセス制御ルールと事前フィルタ ルールのヒット カウント統計情報を管理します。

• keychain：OSPFv2 ルーティングの設定時に、認証のローテーションに使用されるキー チェーン オブジェクトを管理します。

• loggingsettings：アクセス コントロール ポリシーのロギング設定を管理します。

サポートされているプラットフォーム： FMC

OAS に基づく API エクスプローラ

バージョン 6.4 は OpenAPI 仕様（OAS）に基づいて、新しい API エクスプローラを使用します。OAS の一部として、CodeGen を使用してサンプル コードを生成するようになりました。必要に応じて、レガシー API エクスプローラにもアクセスできます。

サポートされているプラットフォーム： FMC

パフォーマンス

Snort 再起動の改善

バージョン 6.4 より以前では、Snort の再起動中、暗号化された接続のうち、「復号しない」 SSL ルールまたはデフォルト ポリシー アクションに一致したものがシステムによってドロップされていました。現在は、大きなフロー オフロードまたは Snort preserve-connection を無効にしていない限り、ルーテッド/透過トラフィックはドロップされずにインスペクションなしで通過します。

サポートされているプラットフォーム：Firepower 4100/9300

選択された IPS トラフィックのパフォーマンスの向上

出力最適化は、選択された IPS トラフィックを対象としたパフォーマンス機能です。この機能は、すべての FTD プラットフォームでデフォルトで有効になっています。

バージョン 6.4 のアップグレード プロセスでは、対象デバイスでの出力最適化が有効になります。詳細については、『Cisco Firepower Threat Defense コマンド リファレンス（Cisco Firepower Threat Defense Command Reference）』を参照してください。出力最適化に関する問題をトラブルシューティングCisco TACするには、にお問い合わせください。

サポートされているプラットフォーム： FTD

新規/変更されたコマンド：

• asp inspect-dp egress optimization

• show asp inspect-dp egress optimization

• clear asp inspect-dp egress optimization

• show conn state egress_optimization

SNMP イベント ロギングの高速化

外部 SNMP トラップ サーバに侵入イベントと接続イベントを送信する際のパフォーマンスが向上しました。

サポートされているプラットフォーム：すべて

展開の高速化

アプライアンスの通信と展開フレームワークが向上しました。

サポートされているプラットフォーム： FTD

アップグレードの高速化

イベント データベースが向上しました。

サポートされているプラットフォーム：すべて

Firepower 1000 シリーズ デバイス設定

Firepower Device Manager を使用して、Firepower 1000 シリーズ デバイスで Firepower Threat Defense を設定できます。

Power over Ethernet（PoE）ポートを通常のイーサーネット ポートとして使用することはできますが、PoE に関連するプロパティを有効にしたり設定することはできないことにご注意ください。

ISA 3000 のハードウェア バイパス

ISA 3000 のハードウェアバイパスは、[デバイス（Device）] > [インターフェイス（Interfaces）] ページで設定できるようになりました。リリース 6.3 では、FlexConfig を使用してハードウェアバイパスを設定する必要がありました。FlexConfig を使用している場合は、[インターフェイス（Interfaces）] ページの設定をやり直し、FlexConfig から hardware bypass コマンドを削除してください。ただし、TCP シーケンス番号のランダム化を無効にするための FlexConfig 部分の使用は引き続き推奨されます。

FDM CLI コンソールからシステムを再起動およびシャットダウンする機能

FDM で CLI コンソールを使用して、reboot および shutdown コマンドを発行できるようになりました。以前は、システムを再起動またはシャットダウンするために、デバイスに対して個別の SSH セッションを開く必要がありました。これらコマンドを使用するには、管理者権限が必要です。

RADIUS を使用した FTD CLI ユーザの外部認証および認可。

FTD CLI にログインするユーザを、外部 RADIUS サーバを使用して認証および認可できます。外部ユーザに設定（管理者）または基本（読み取り専用）のアクセス権を付与できます。

[デバイス（Device）] > [システム設定（System Settings）] > [管理アクセス（Management Access）] ページの [AAA設定（AAA Configuration）] タブに SSH の設定を追加しました。

ネットワーク範囲オブジェクトとネストされたネットワーク グループ オブジェクトのサポート

IPv4 または IPv6 アドレスの範囲、および他のネットワークグループ（つまり、ネストされたグループ）を含むネットワーク グループ オブジェクトを指定するネットワークオブジェクトを作成できるようになりました。

これらの機能を含めるためにネットワークオブジェクトとネットワーク グループ オブジェクトの [追加/編集（Add/Edit）] ダイアログボックスが変更されました。また、当該タイプのアドレス指定がポリシーのコンテキスト内で妥当かどうかにより、これらのオブジェクトの使用を許可するためにさまざまなセキュリティポリシーが変更されました。

オブジェクトとルールの全文検索オプション

オブジェクトおよびルールでは、全文検索を実行できます。多数の項目を含むポリシーまたはオブジェクトリストを検索することで、ルールまたはオブジェクト内の任意の場所で検索文字列を含むすべての項目を検索できます。

ルールを含むすべてのポリシー、および [オブジェクト（Objects）] リストのすべてのページに検索ボックスが追加されました。さらに、API でサポートされているオブジェクトの GET コールで filter=fts~search-string オプションを使用して、全文検索に基づいて項目を取得できます。

FDM 管理対象 FTD デバイスでサポートされている API バージョンのリストの取得

GET/api/versions（ApiVersions）メソッドを使用して、デバイスでサポートされる API バージョンのリストを取得できます。API クライアントを使用すると、サポートされているバージョンで有効なコマンドとシンタックスを使用してデバイスと通信し、デバイスを設定できます。

FTD REST API バージョン 3（v3）

ソフトウェア バージョン 6.4 向けの FTD REST API のバージョン番号が 3 になりました。API URL の v1/v2 は v3 に置き換える必要があります。v3 の API には、ソフトウェアバージョン 6.4 で追加されたすべての機能に対応する多数の新しいリソースが含まれています。使用しているリソースモデルに変更が加えられている可能性があるため、既存のすべての呼び出しを再評価してください。リソースを表示できる API エクスプローラを開くには、ログインした後に、Firepower Device Manager の URL の最後を /#/api-explorer に変更します。

アクセス制御ルールのヒット カウント

アクセスコントロールルールのヒットカウントを表示できます。ヒットカウントには、接続がルールに一致した頻度が示されます。

ヒット カウント情報が含まれるようにアクセス コントロール ポリシーを更新しました。FTD API では、HitCounts リソースと includeHitCounts および filter=fetchZeroHitCounts オプションが GET アクセスポリシールールのリソースに追加されました。

ダイナミック アドレス指定と証明書認証のためのサイト間 VPN の強化

ピアの認証に事前共有キーではなく証明書を使用したサイト間 VPN 接続を設定できるようになりました。リモートピアに不明な（ダイナミック）IP アドレスが設定されている接続も設定できます。サイト間 VPN ウィザードと IKEv1 ポリシーオブジェクトにオプションが追加されました。

リモート アクセス VPN での RADIUS サーバと認可変更のサポート

リモートアクセス VPN（RA VPN）ユーザの認証、認可、およびアカウンティングに RADIUS サーバを使用できるようになりました。また、Cisco ISE RADIUS サーバの使用時、認証後にユーザの認証を変更するために、ダイナミック認証とも呼ばれる Change of Authentication（CoA）を設定できます。

RADIUS サーバとサーバ グループ オブジェクトに属性を追加し、RA VPN 接続プロファイル内の RADIUS サーバグループを選択できるようになりました。

リモート アクセス VPN の複数の接続プロファイルとグループ ポリシー

複数の接続プロファイルを設定し、そのプロファイルで使用するグループ ポリシーを作成できます。

接続プロファイルおよびグループ ポリシーが別々のページとなるように [デバイス（Device）] > [リモートアクセスVPN（Remote Access VPN）] ページを変更し、グループ ポリシーを選択できるように RA VPN 接続ウィザードを更新しました。以前はウィザードで設定していた一部の項目がグループポリシーで設定されるようになりました。

証明書ベースの 2 番目の認証ソース、およびリモート アクセス VPN での二要素認証のサポート

ユーザ認証に証明書を使用し、セカンダリ認証ソースを設定して、接続を確立する前にユーザを 2 回認証させることができます。また、2 つ目の要素として RSA トークンまたは Duo パスコードを使用して二要素認証を設定できます。

これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。

複数のアドレス範囲を持つ IP アドレス プールとリモート アクセス VPN 向けの DHCP アドレス プールのサポート

サブネットを指定する複数のネットワークオブジェクトを選択することで、複数のアドレス範囲を持つアドレスプールを設定できるようになりました。さらに、DHCP サーバでアドレスプールを設定し、そのサーバを使用して RA VPN クライアントにアドレスを提供できます。認証に RADIUS を使用する場合は、代わりに RADIUS サーバでアドレスプールを設定できます。

これらの追加オプションの設定をサポートするように RA VPN 接続ウィザードを更新しました。必要に応じて、接続プロファイルではなくグループポリシーでアドレスプールを設定できます。

Active Directory レルムの強化

1 つのレルムに最大 10 の冗長 Active Directory（AD）サーバを含められるようになりました。また、複数のレルムを作成したり、不要になったレルムを削除したりできます。さらに、レルム内のユーザのダウンロードの制限は、以前のリリースの 2,000 から 50,000 に増えています。

複数のレルムとサーバをサポートするように、[オブジェクト（Objects）] > [アイデンティティソース（Identity Sources）] ページを更新しました。レルム内のすべてのユーザにルールを適用するため、アクセス制御と SSL 復号化ルールのユーザの基準でレルムを選択することができます。アイデンティティルールと RA VPN 接続プロファイルでレルムを選択することもできます。

ISE サーバの冗長性サポート

パッシブ認証向けの ID ソースとして Cisco Identity Services Engine（ISE）を設定する際に、ISE ハイアベイラビリティ設定がある場合は、セカンダリ ISE サーバを設定できるようになりました。

ISE アイデンティティ オブジェクトにセカンダリサーバの属性が追加されました。

ファイル/マルウェア イベントを外部 syslog サーバに送信

アクセスコントロールルールに設定されたファイルポリシーによって生成される、ファイルおよびマルウェアイベントを受信するように外部 syslog サーバを設定できるようになりました。ファイルイベントにはメッセージ ID 430004 を使用し、マルウェアイベントには 430005 を使用します。

[デバイス（Device）] > [システム設定（System Settings）] > [ログの設定（Logging Settings）] ページにファイル/マルウェア syslog サーバのオプションが追加されました。

内部バッファのログおよびカスタム イベントのログ フィルタのサポート

内部バッファをシステムロギングの宛先として設定できるようになりました。さらに、イベントログフィルタを作成して、syslog サーバおよび内部バッファロギングの宛先に対して生成されるメッセージをカスタマイズできます。

イベント ログ フィルタ オブジェクトを [オブジェクト（Objects）] ページに追加し、このオブジェクトを使用する機能が [デバイス（Device）] > [システム設定（System Settings）] > [ログの設定（Logging Settings）] ページに追加されました。内部バッファ オプションも [ログの設定（Logging Settings）] ページに追加しました。

Firepower Device Manager の Web サーバ向けの証明書

Firepower Device Manager の設定インターフェイスへの HTTPS 接続に使用される証明書を設定できるようになりました。Web ブラウザがすでに信頼している証明書をアップロードすることで、デフォルトの内部証明書を使用するときに、Untrusted Authority メッセージを回避できます。[デバイス（Device）] > [システム設定（System Settings）] > [管理アクセス（Management Access）] > [管理Webサーバ（Management Web Server）] ページが追加されました。

Cisco Threat Response のサポート

Cisco Threat Response のクラウドベースのアプリケーションに侵入イベントを送信するようにシステムを設定できます。Cisco Threat Response を使用して、侵入を分析できます。

Cisco Threat Response を [デバイス（Device）] > [システム設定（System Settings）] > [クラウド サービス（Cloud Services）] ページに追加しました。