修復の検証
修復はさまざまな理由で失敗することがあるため、次の手順を実行して、修復が成功したことを確認します。
手順
|
ステップ 1 |
修復モジュールが関連付けられている相関ルールによってトリガーされた後、修復実行のステータスを確認します。FMC Web インターフェイスで、[分析(Analysis)] > [相関(Correlation)] > [ステータス(Status)] に移動します。 |
|
ステップ 2 |
[修復ステータス(Remediation Status)] テーブルで、ポリシーの行を見つけ、結果のメッセージを確認します。  |
|
ステップ 3 |
修復が完了したら、次の手順を実行します。
 |
次のタスク
隔離されたホストをクリーンアップし、感染がなくなったら、次のいずれかのアクションを実行して隔離の注釈を削除できます。
-
(推奨)Secure Workload を使用して、「quarantine = yes」という注釈を「quarantine = no」に戻します。
-
たとえば、感染がなくなった隔離されたホストが 172.21.208.11 で、デフォルトの範囲内であれば、次のような CSV ファイルを作成します。
IP,VRF,quarantine 172.21.208.11,Default,no -
に移動し、Cisco Secure Workload に CSV ファイルをアップロードします。Cisco Secure Workload に CSV ファイルをアップロードする方法の詳細については、関連資料 のセクションを参照してください。
-
-
FMC 修復モジュールを使用して隔離の注釈を削除します。
重要
この方法は、セキュリティ上の懸念から、実稼働ネットワークでは推奨されません。
-
(「設定」セクションのステップ 1 を参照)隔離解除タイプの修復を使用する新しい修復を追加します。同じインスタンスを編集し、[設定されている修復(Configured Remediations)] で隔離解除タイプの修復(この例では unquarantine-fmc)を選択して追加します。
-
(「設定」セクションのステップ 2 を参照)隔離解除修復をトリガーするために使用できるアクセスコントロールルール(この例では remove-tag)を同じポリシー(この例では rem-policy)に追加します。
-
(「設定」セクションのステップ 3 を参照)アクセスコントロールルール(この例では remove-tag)を使用する相関ルール(この例では unquaran-rule1)を追加します。
-
(「設定」セクションのステップ 4ß を参照)隔離解除応答(この例では un-quaran-rem)を相関ルール(この例では unquaran-rule1)に割り当てます。
-
このルールに一致すると、隔離解除修復がトリガーされ、隔離の注釈が削除されます。
-
フィードバック