デバイスのセットアップ

FDM を使用して、FMC による管理用に FTD を設定します。

デバイスのアップグレード

正常なデバイスアップグレードを元に戻します。

メジャーおよびメンテナンスアップグレードを FTD に戻すことができるようになりました。復元すると、ソフトウェアは、最後のアップグレードの直前の状態に戻ります（スナップショットとも呼ばれます）。パッチのインストール後にアップグレードを元に戻すと、パッチだけでなく、メジャーアップグレードやメンテナンスアップグレードも元に戻されます。

この機能は、Firepower 4100/9300 のコンテナインスタンスではサポートされません。

クラスタ化された高可用性デバイスのアップグレードワークフローの改善。

クラスタ化された高可用性デバイスのアップグレードワークフローが次のように改善されました。

• アップグレードウィザードは、個々のデバイスとしてではなく、グループとして、クラスタ化された高可用性ユニットを正しく表示するようになりました。システムは、発生する可能性のあるグループ関連の問題を特定し、報告し、事前に修正を要求できます。たとえば、Firepower Chassis Manager で非同期の変更を行った場合は、Firepower 4100/9300 のクラスタをアップグレードできません。

• アップグレードパッケージをクラスタおよび高可用性ペアにコピーする速度と効率が向上しました。以前は、FMC はパッケージを各グループメンバーに順番にコピーしていました。これで、グループメンバーは通常の同期プロセスの一部として、相互にパッケージを取得できるようになりました。

• クラスタ内のデータユニットのアップグレード順序を指定できるようになりました。コントロールユニットは常に最後にアップグレードされます。

Snort 3 の場合、新しい機能と解決済みのバグでは、FMC とその管理対象デバイスを完全にアップグレードしている必要があります。Snort 2 とは異なり、新しい FMC（たとえば、バージョン 7.1）から展開して、古いデバイス（たとえば、バージョン 7.0）の検査エンジンを更新することはできません。

古いデバイスに展開すると、サポートされない設定が一覧表示され、それらの設定がスキップされることが警告されます。環境全体を常に更新することをお勧めします。

デバイス管理

新しい Cisco Secure Firewall 3100 の設定と機能をサポート。

次の画面と CLI コマンドは、Secure Firewall 3100 に関連付けられています。これらの新しいモデルの詳細については、バージョン 7.1 の新しいハードウェアと仮想プラットフォームを参照してください。

新規/変更された画面：

• [Devices] > [Device Management] > [Add Cluster]

• [Devices] > [Device Management] > [More]

• [Devices] > [Device Management] > [Cluster]

• [Devices] > [Device Management] > [Chassis Operations]

• [Devices] > [Device Management] > [Interfaces] > 物理インターフェイスを編集 > [Hardware Configuration]

• [Devices] > [Device Management]

新規/変更された FTD CLI コマンド： configure network speed 、configure raid 、show raid 、show ssd

AWS インスタンスでの FTDv に対する Geneve インターフェイスサポート。

AWS ゲートウェイロードバランサ（GWLB）のシングルアームプロキシをサポートするために、Geneve カプセル化サポートが追加されました。AWS GWLB は、透過的なネットワークゲートウェイ（全トラフィックの唯一の出入口）と、トラフィックを分散し、トラフィックの需要に合わせて FTDv を拡張するロードバランサを組み合わせます。

このサポートには、Snort 3 が有効になっている FMC が必要であり、次のパフォーマンス階層で利用できます。

• FTDv20

• FTDv30

• FTDv50

• FTDv100

OCI 上の FTDv に対する Single Root I/O Virtualization（SR-IOV）のサポート

OCI 上の FTDv に Single Root Input/Output Virtualization（SR-IOV）を実装できるようになりました。SR-IOV により、FTDv のパフォーマンスを向上させることができます。SR-IOV モードでの vNIC としての Mellanox 5 はサポートされていません。

Firepower 1100 の LLDP サポート。

インターフェイスの自動ネゴシエーションが速度とデュプレックスから独立して設定されるようになり、インターフェイスの同期が改善されました。

信頼された DNS サーバの指定のサポート。

デバイス設定のインポート/エクスポート。

高可用性/拡張性

高可用性

• AWS 用 FMCv

• OCI 用 FMCv

AWS 用 FMCv および OCI 用 FMCv で高可用性がサポートされるようになりました。

FTD の展開では、2 つの同一ライセンスの FMC と、各管理対象デバイスに 1 つの FTD 権限が必要です。たとえば、FMCv10 高可用性ペアで 10 台の FTD デバイスを管理するには、2 個の FMCv10 権限と 10 個の FTD 権限が必要です。バージョン 6.5.0 ～ 7.0.x のクラシックデバイス（NGIPSv または ASA FirePOWER）のみを管理している場合は、FMCv 権限は必要ありません。

サポートされるプラットフォーム：FMCv10、FMCv25、FMCv300（FMCv2 ではサポートされません）

OCI 用 FTDv の自動スケール。

OCI 用 FTDv で自動スケーリングがサポートされるようになりました。

クラウドベースの展開におけるサーバレス インフラストラクチャでは、キャパシティのニーズに基づいて、自動スケールグループ内の FTDv インスタンスの数が自動的に調整されます。これには、管理側の FMC との自動登録/登録解除が含まれています。

ファイアウォールの変更に対するクラスタの展開がより迅速に完了します。

ハイアベイラビリティ グループまたはクラスタ内のルートのクリア。

NAT

変換後の宛先としての完全修飾ドメイン名（FQDN）オブジェクトの手動 NAT サポート。

www.example.com を指定する FQDN ネットワークオブジェクトを、手動 NAT ルールの変換後の宛先アドレスとして使用できます。システムでは、DNS サーバーから返された IP アドレスに基づいてルールが設定されます。

ルーティング

仮想ルータを相互接続するための BGP 設定。

ユーザー定義の仮想ルータ間、およびグローバル仮想ルータとユーザー定義の仮想ルータ間でルートを動的にリークするように BGP 設定を構成できます。ルートのインポートおよびエクスポート機能が導入され、仮想ルータにルートターゲットのタグを付け、必要に応じて、一致したルートをルートマップでフィルタリングすることにより、仮想ルータ間でルートを交換します。この BGP 機能は、ユーザー定義の仮想ルータを選択した場合にのみ利用できます。

新規/変更された画面：選択したユーザー定義の仮想ルータについて、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [BGPv4/v6] > [ルートのインポート/エクスポート（Route Import/Export）]

ユーザー定義の仮想ルータでの BGPv6 サポート。

FTD は、ユーザー定義の仮想ルータでの BGPv6 の設定をサポートするようになりました。

新規/変更された画面：選択したユーザー定義の仮想ルータについて、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [BGPv6]

Equal-Cost-Multi-Path（ECMP）ゾーンのサポート。

トラフィックゾーンのインターフェイスをグループ化し、FMC で Equal-Cost-Multi-Path（ECMP）ルーティングを設定できるようになりました。

ECMP ルーティングは、以前は FlexConfig ポリシーを通じてサポートされていました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [ECMP]

ダイレクト インターネット アクセス/ポリシーベースルーティング

ポリシーベースルーティングによるダイレクト インターネット アクセス。

FMC を介してポリシーベースルーティングを設定して、アプリケーションに基づいてネットワークトラフィックを分類し、ダイレクト インターネット アクセス（DIA）を実装して、ブランチ展開からインターネットにトラフィックを送信できるようになりました。PBR ポリシーを定義し、入力インターフェイスに設定して、一致基準と出力インターフェイスを指定できます。アクセス コントロール ポリシーに一致するネットワークトラフィックは、ポリシーで設定されている優先順位または順序に基づいて、出力インターフェイスを介して転送されます。

新規/変更された画面：ポリシー ベース ルーティング ポリシーを設定するための新しいポリシーページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [ポリシーベースルーティング（Policy Based Routing）]

サポートされるプラットフォーム：FTD

ダイレクト インターネット アクセスとポリシーベースルーティングのための FMC REST API の機能拡張。

FMC REST API を使用して、ポリシーベースルーティングによるダイレクト インターネット アクセスを設定できます。これをサポートするために、FMC REST API に次の機能拡張が加えられました。

• ポリシーベースルーティング設定を作成、表示、編集、および削除できるようにする新しい API が追加されました。

• アプリケーションを定義する拡張アクセス制御リストの既存の API に新しいパラメータが追加されました。

• インターフェイスの優先順位を定義するデバイスインターフェイスの既存の API に新しいパラメータが追加されました。

リモートアクセス VPN

RA VPN ポリシーのコピー。

既存のポリシーをコピーして、新しい RA VPN ポリシーを作成できるようになりました。[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）]の各ポリシーの横にコピーボタンが追加されました。

AnyConnect VPN SAML 外部ブラウザ。

AnyConnect VPN SAML 外部ブラウザを設定して、パスワードなしの認証、WebAuthN、FIDO、SSO、U2F、Cookie の永続性による SAML エクスペリエンスの向上など、追加の認証の選択肢を有効にできるようになりました。リモートアクセス VPN 接続プロファイルのプライマリ認証方式として SAML を使用する場合は、AnyConnect クライアントが AnyConnect 組み込みブラウザではなく、クライアントのローカルブラウザを使用して Web 認証を実行するように選択できます。このオプションは、VPN 認証と他の企業ログインの間のシングルサインオン（SSO）を有効にします。また、生体認証や Yubikeys など、埋め込みブラウザでは実行できない Web 認証方法をサポートする場合は、このオプションを選択します。

リモートアクセス VPN 接続プロファイルウィザードが更新され、SAML ログインエクスペリエンスを設定できるようになりました。

Microsoft Azure 上の SAML ID プロバイダーにおける複数のトラストポイント。

Microsoft Azure の要求に応じて、SAML ID プロバイダーに複数の RA VPN トラストポイントを追加できるようになりました。

Microsoft Azure ネットワークでは、Azure は同じエンティティ ID に対して複数のアプリケーションをサポートできます。（通常は別のトンネルグループにマップされる）各アプリケーションには、一意の証明書が必要です。この機能により、Microsoft Azure 向け FTDv で RA VPN に複数のトラストポイントを追加できます。

サイト間 VPN

VPN フィルタ。

トンネリングされたデータパケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって許可するか拒否するかを決定するルールを使用して、サイト間 VPN フィルタを設定できるようになりました。

VPN フィルタは、トンネルから出た後の復号化後のトラフィックと、トンネルに入る前の暗号化前のトラフィックに適用されます。

IKEv2 の一意のローカルトンネル ID。

ポリシーベースとルートベースのサイト間 VPN の両方に IKEv2 トンネルごとのローカルトンネル ID を設定できるようになりました。FMC Web インターフェイスまたは REST API からローカルトンネル ID を設定できます。

このローカルトンネル ID 設定により、FTD との Umbrella SIG 統合が可能になります。

複数の IKE ポリシー。

ポリシーベースとルートベースのサイト間 VPN の両方に複数の IKE ポリシーを設定できるようになりました。

FMC GUI および REST API を使用して複数の IKE ポリシーを設定できます。

VPN 監視ダッシュボード。

ベータ版。

サイト間 VPN 監視ダッシュボードは次の機能を提供します。

• 全デバイスのトンネルステータス分布の可視化

• VPN トンネルで構成されるネットワークトポロジの可視化

• トポロジ、デバイス、ステータスなどの基準に基づいてトンネルを視覚的に切り離して調べる機能

Snort 3 では、IP アドレスが HTTP リクエストに埋め込まれている HTTP プロキシトラフィックにセキュリティ インテリジェンスを適用できるようになりました。たとえば、ユーザーが IP アドレスまたはネットワークを含むブロックリストまたは許可リストをアップロードすると、システムはプロキシ IP ではなく宛先サーバーの IP を照合します。その結果、宛先サーバーへのトラフィックを（セキュリティ インテリジェンスの設定に応じて）ブロック、監視、または許可することができます。

侵入検知と防御

バージョン 7.1 FMC は、バージョン 7.0 デバイスを含む、Snort 3 を使用した FTD デバイスで次の侵入ルールアクションをサポートするようになりました。

• ドロップ：一致するパケットをドロップし、この接続でそれ以上のトラフィックをブロックしません。侵入イベントを生成します。

• 拒否：一致するパケットをドロップし、この接続の以降のトラフィックもブロックします。TCP トラフィックの場合、TCP リセットを送信します。UDP トラフィックの場合、送信元および宛先ホストに ICMP ポート到達不能を送信します。侵入イベントを生成します。

• 書き換え：ルールの置換オプションに基づいて一致するパケットを上書きします。侵入イベントを生成します。

• パス：一致するパケットが他の侵入ルールによる評価なしで通過することを許可します。侵入イベントを生成しません。

これらの新しいルールアクションを設定するには、侵入ポリシーの Snort 3 バージョンを編集し、各ルールの [ルールアクション（Rule Action）] ドロップダウンを使用します。

TLS ベースの侵入ルールに対する Snort 3 のサポート。

Snort 3 で復号化された TLS トラフィックを検査する TLS ベースの侵入ルールを作成できるようになりました。この機能により、Snort 3 侵入ルールで TLS 情報を使用できます。

SMB2 上の DCE/RPC のインスペクションに対する Snort 3 のサポート。

アップグレードの影響。

Snort 3 を使用したバージョン 7.1 は、SMB2 での DCE/RPC インスペクションをサポートします。

Snort 3 デバイスへの最初のアップグレード後の展開の後、既存の DCE/RPC ルールは、SMB2 での DCE/RPC の検査を開始します。以前は、これらのルールは SMB1 での DCE/RPC のみを検査していました。

侵入ルールの推奨に対する Snort 3 のサポート。

バージョン 7.1 FMC は、バージョン 7.0 デバイスを含む、Snort 3 を使用した FTD デバイスで侵入ルールの推奨をサポートするようになりました。

この機能を設定するには、侵入ポリシーの Snort 3 バージョンを編集し、左側のペインの [すべてのルール（All Rules）] の横にある [推奨（Recommendations）] ボタンをクリックします。

ssl_version および ssl_state キーワードに対する Snort 3 のサポート。

アップグレードの影響。

Snort 3 を使用したバージョン 7.1 では、ssl_version および ssl_state 侵入ルールキーワードがサポートされています。

シスコが提供する侵入ポリシーには、これらのキーワードを使用するアクティブルールが含まれます。これらを使用して、カスタム/サードパーティルールを作成、アップロード、および展開することもできます。バージョン 7.0.x では、これらのキーワードは Snort 2 でのみサポートされていました。Snort 3 では、これらのキーワードを含むルールはトラフィックに一致しないため、アラートを生成したり、トラフィックに影響を与えたりすることはできませんでした。ルールが予期したとおりに機能していないという通知はありませんでした。バージョン 7.1 以降の Snort 3 デバイスへの最初のアップグレード後の展開の後、これらのキーワードを含む既存のルールはトラフィックと一致します。

Identity Services およびユーザー制御

HTTP/2 トラフィックのインターセプトに対する Snort 3 キャプティブポータルのサポート。

キャプティブポータルを使用したユーザー認証のために、HTTP/2 トラフィックをインターセプトしてリダイレクトできるようになりました。

ブラウザがリダイレクトを受信すると、ブラウザはリダイレクトに従い、HTTP/1 キャプティブポータルと同じプロセスを使用して idhttpsd（Apache Web サーバー）で認証します。認証後、idhttpsd によりユーザーは元の URL にリダイレクトされます。

ホスト名ベースのリダイレクトに対する Snort 3 キャプティブポータルのサポート。

ID ポリシールールのアクティブ認証を設定して、ユーザーの接続をデバイスに入力するインターフェイスの IP アドレスではなく、完全修飾ドメイン名（FQDN）にユーザーの認証をリダイレクトできます。

FQDN は、デバイス上のいずれかのインターフェイスの IP アドレスに解決される必要があります。FQDN を使用すると、クライアントが認識するアクティブ認証用の証明書を割り当てることができます。これにより、IP アドレスにリダイレクトされたときにユーザに表示される信頼できない証明書の警告を回避できます。証明書では、FQDN、ワイルドカード FQDN、または複数の FQDN をサブジェクト代替名（SAN）に指定できます。

新規/変更された画面：ID ポリシー設定に [ホスト名にリダイレクト（Redirect to Host Name）] オプションが追加されました。

暗号化トラフィックの処理（TLS/SSL）

TLS 証明書フィード。

ライブ TLS 証明書フィードに基づいて TLS/SSL ルールを作成できるようになりました。ライブ TLS 証明書フィードを使用すると、TLS 証明書フィンガープリントの管理オーバーヘッドが削減され、より最新の情報に基づいたルールが可能になります。

拡張 TLS/SSL ポリシーオプション。

[SSLポリシー（SSL Policy）] ページの [詳細設定（Advanced Settings）] タブで、次の拡張 TLS/SSL ポリシーオプションを設定できるようになりました。

• ESNI（暗号化されたサーバー名識別）を要求するフローをブロックする

• HTTP/3 アドバタイズメントを無効にする

• 信頼できないサーバー証明書をクライアントに伝播する

暗号化されたセッションを可視化するための暗号化された可視性エンジン。

ベータ版。

暗号化された可視性エンジンを有効にすると、復号を必要とせずに暗号化されたセッションを可視化することができます。このエンジンによってトラフィックのフィンガープリントが収集され、分析されます。FMC 7.1 では、暗号化された可視性エンジンにより、TLS や QUIC などのプロトコルを含む暗号化されたトラフィックの可視性が向上します。そのトラフィックに対してアクションは適用されません。

暗号化された可視性エンジンは、デフォルトで無効になっています。これは、[実験段階の機能（Experimental Features）] セクションのアクセス コントロール ポリシーの [詳細（Advanced）] タブで有効にすることができます。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [Access Control Policy name] > [詳細（Advanced）]

初期接続の最大セグメントサイズ（MSS）を設定します。

サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバーの最大セグメントサイズ（MSS）を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。

新規/変更された画面：[サービスポリシーの追加/編集（Add/Edit Service Policy）] ウィザードの [接続設定（Connection Settings）]。

ネットワークディスカバリ

ネットワーク検出とリモート ネットワーク アクセスのサポートの改善により、Snort 3 はこれらの機能について Snort 2 と同等になりました。強化された機能は次のとおりです。

• SMB トラフィックのホストとアプリケーションの検出：ネットワーク上の SMB トラフィックの場合、ホストはネットワークマップで検出され、SMB アプリケーションプロトコルと関連するオペレーティングシステム情報が検出されます。

• NetBIOS トラフィックの検出：NetBIOS トラフィックの場合、NetBIOS 名と、クライアント アプリケーションやオペレーティングシステムなどのアプリケーション関連情報が検出されます。

• ネットワーク検出ポリシーによって監視されるホスト/ネットワークのみのアプリケーションの検出：このフィルタリングロジックの機能拡張により、ネットワーク検出ルールに基づいて監視されているネットワークのアプリケーションを検出できます。

Snort 3 では、デフォルトですべてのネットワークに対してアプリケーション検出が常に有効になっています。

イベントロギングおよび分析

エレファントフローの識別とモニタリングに対する Snort 3 のサポート。

Snort 3 を実行する FTD では、エレファントフロー（システム全体のパフォーマンスに影響を与えるのに十分な大きさのシングルセッション ネットワーク接続）を識別できるようになりました。デフォルトでは、エレファントフローの検出は自動的に有効になり、1GB/10 秒を超える接続を追跡および記録します。

接続イベントの新しい定義済み検索（Reason = Elephant Flow）を使用すると、エレファントフローをすばやく特定できます。ヘルスモニタを使用して、デバイス上のアクティブなエレファントフローを表示し、エレファントフローの発生率を CPU 使用率などの他のデバイスメトリックと関連付けるカスタム ヘルス ダッシュボードを作成することもできます。

新規/変更された FTD CLI コマンド：

• show elephant-flow status

• show elephant-flow detection-config

• system support elephant-flow-detection enable

• system support elephant-flow-detection disable

• system support elephant-flow-detection bytes-threshold bytes-in-MB

• system support elephant-flow-detection time-threshold time-in-seconds

FMC からセキュアネットワーク分析クラウドに侵入イベントとレトロスペクティブ マルウェア イベントを送信します。

アップグレードの影響。

Cisco Security Analytics and Logging（SaaS）を使用してセキュリティイベントを Stealthwatch クラウドに送信するようにシステムを設定すると、FMC は次を送信します。

• 侵入イベント。これにより、リモートで保存された侵入イベントに影響フラグデータを含めることができます。以前は、これらのイベントは FTD によってクラウドに送信され、影響フラグは含まれていませんでした。

• レトロスペクティブ マルウェア イベント。これらは、デバイスによって引き続きクラウドに送信される「元の性質」ファイルとマルウェアイベントを補完します。

この機能が有効になっている場合、FMC はアップグレードの成功後にこの情報の送信を開始します。

侵入イベントの新しいデータストアによるパフォーマンスの向上。

パフォーマンスを向上させるために、バージョン 7.1 では、侵入イベントに新しいデータストアを使用します。アップグレードが完了し、FMC が再起動すると、履歴イベントが、最新のイベントが先頭になるようにバックグラウンドで移行されます。

この移行の一部として、侵入インシデント、侵入イベントクリップボード、および侵入イベントのカスタムテーブルは廃止されました。詳細については、FMC バージョン 7.1 で廃止された機能を参照してください。

また、侵入イベントテーブルに、[送信元ホストの重要度（Source Host Criticality）] と [宛先ホストの重要度（Destination Host Criticality）] という 2 つの新しいフィールドが導入されました。

接続およびセキュリティ インテリジェンス イベントの NAT IP アドレスおよびポート情報。

NAT 変換の可視性を高めるために、次のフィールドが接続およびセキュリティ インテリジェンス イベントに追加されました。

• NAT 送信元 IP（NAT Source IP）

• NAT 宛先 IP（NAT Destination IP）

• NAT 送信元ポート（NAT Source Port）

• NAT 宛先ポート（NAT Destination Port）

イベントのテーブルビューでは、デフォルトでこれらのフィールドは非表示にされています。表示されるフィールドを変更するには、任意の列名の [x] をクリックしてフィールド選択ツールを表示します。

パケットトレーサの機能拡張。

バージョン 7.1 では、より使いやすくするためにパケット トレーサ インターフェイスが更新されています。さらに、次のことができるようになりました。

• メインメニューから直接パケットトレーサにアクセス：[デバイス（Devices）] > [トラブルシュート（Troubleshoot）] > [パケットトレーサ（Packet Tracer）]

• パケットトレースの保存。

• 複数デバイスでの並列パケットトレースの実行。

• デバイスを介した PCAP の再生。

• Snort 3 デバイスの場合、L2 から L7 までのトラフィック評価のフェーズ（アプリケーション識別、ファイル/マルウェア検出、侵入検出、セキュリティ インテリジェンスなど）、および各フェーズにかかる時間に関して新しい詳細を提供する拡張出力の表示。

新規/変更された FTD CLI コマンド：

• packet-tracer inputsource_interfacepcappcap_filename

オブジェクト管理

HTTP、ICMP、および SSH プラットフォーム設定のネットワークオブジェクトのサポート。

Threat Defense プラットフォーム設定ポリシーで IP アドレスを設定するときに、ホストまたはネットワークのネットワークオブジェクトを含むネットワーク オブジェクト グループを使用できるようになりました。

ネットワーク ワイルドカード マスク オブジェクトの Snort 3 サポート。

[オブジェクト管理（Object Management）] ページで、ネットワーク ワイルドカード マスク オブジェクトを作成および管理できるようになりました。アクセス制御、プレフィルタ、および NAT ポリシーでネットワーク ワイルドカード マスク オブジェクトを使用できます。

オブジェクトの展開プレビューの機能拡張。

統合

Cisco ACI Endpoint Update App バージョン 2.0 および修復モジュールのサポート。

Cisco ACI Endpoint Update App のバージョン 2.0 では、以前のバージョンに比べて次の点が改善されています。

• 最小更新間隔（アプリケーションが FMC を更新する頻度）が 10 秒になりました。以前は 30 秒でした。

• サイトプレフィックス（各 APIC テナントに関連付けられた FMC にネットワーク グループ オブジェクトを作成する文字列）が 10 文字に制限されました。以前は 5 文字でした。

この更新では、新しい Cisco ACI Endpoint 修復モジュールも利用できます。

ユーザビリティ、パフォーマンス、およびトラブルシューティング

ヘルスモニタリングの強化。

ヘルスモニタは次のように更新されました。

• ヘルスポリシーエディタは、類似するヘルスモジュールをグループ化するようになりました。モジュールグループ全体を有効または無効にできます。

• ヘルスポリシー除外エディタが更新され、使いやすくなりました。また、アラートからデバイスまたはヘルスモジュールを除外するときに、除外の期間を 15 分から永久まで指定できるようになりました。

• ヘルス モニタ アラート エディタが更新され、使いやすくなりました。

• ヘルスポリシーの展開インターフェイスが更新され、使いやすくなりました。

新規/変更された画面：

• [システム（System）] > [ヘルス（Health）] > [ポリシー（Policy）] > [ポリシーの編集（Edit Policy）]

• [システム（System）] > [ヘルス（Health）] > [除外（Exclude）]

• [システム（System）] > [ヘルス（Health）] > [モニタアラート（Monitor Alerts）]

• [システム（System）] > [ヘルス（Health）] > [ポリシー（Policy）] > [ポリシーの展開（Deploy Policy）]

展開履歴の機能拡張。

展開ジョブをブックマークし、ジョブの展開に関する注意を編集して、レポートを生成できるようになりました。

グローバル検索の機能拡張。

グローバル検索に次の機能が追加されました。

• FMC ウォークスルーの全文を検索できます（how-tos）。

• 拡張コミュニティリスト名または設定値を検索できます。

• ドメインごとに検索を制限できます。

新しいウォークスルー。

次のウォークスルーが追加されました。

• Snort 3 侵入ポリシーの作成。

• 個々のデバイス上での Snort 3 の有効化と無効化。

• Snort 3 ネットワーク分析ポリシーの作成。

• ネットワーク分析ポリシーのマッピングの表示。

• FTD のアップグレード。

• クラスタの作成および管理。

• FMC アクセスインターフェイスの管理からデータへの変更。

• FMC アクセスインターフェイスのデータから管理への変更。

Cisco Success Network に送信された Snort メモリ使用量テレメトリ。

有用性を向上させるために、Snort メモリおよびスワップ使用率（メモリ不足イベントを含む）に関するテレメトリを Cisco Success Network に送信するようになりました。

この情報は、Snort 2 と Snort 3 の両方に送信されます。Cisco Success Network の登録はいつでも変更できます。

Snort 3 は、フロー開始イベントとフロー終了イベントの統計情報をサポートします。

Snort 3 を使用する FTD の場合、show snort statistics コマンドの出力で、フロー開始イベントとフロー終了イベントに関する統計情報が報告されるようになりました。

Web インターフェイスの変更：SecureX、脅威インテリジェンス、およびその他の統合。

バージョン 7.0.2 以降のバージョン 7.0.x メンテナンスリリースからアップグレードする場合、バージョン 7.1 では以下の FMC メニューオプションが変更されます。

FMC REST API

FMC REST API サービス/操作。

新機能と既存の機能をサポートするために、複数の FMC REST API サービス/操作が追加されました。詳細については、Firepower Management Center REST API バージョン 7.1 クイックスタートガイド [英語] を参照してください。

新しい FMC REST API には次のものが含まれます。

• シャーシ管理：管理対象シャーシ、シャーシインターフェイス、ネットワークモジュール、およびブレークアウト インターフェイス用のシャーシ管理 API が追加されました。

• 展開：ジョブ履歴の API が追加されました。

• デバイスクラスタ：準備状況チェックを実行し、クラスタリングを変更するための API が追加されました。

• デバイス：次の API が追加されました。

  • FTD インターフェイスの取得

  • Packet Tracer

  • ルーティング

  • 仮想 LAN

• 正常性：トンネル API が追加されました。

• オブジェクト：次の API が追加されました。

  • 自律サービスパス

  • 拡張コミュニティ リスト

  • 拡張コミュニティ リスト

  • 拡張アクセス リスト

  • IPv4 プレフィックスリスト

  • IPv6 プレフィックスリスト

  • ポリシー リスト

  • ルート マップ

  • 標準アクセス リスト

  • 標準コミュニティ リスト

• ポリシー：自動および手動の NAT ルールを変更するための API が追加されました。

• ユーザー：Duo 設定を取得および変更するための API が追加されました。

• トラブルシューティング：パケットトレーサ PCAP 機能が追加されました。

• 更新：アップグレードを元に戻すための API が追加されました。

• ネットワークマップ：ホストと脆弱性のための API が追加されました。