- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: ネットワーク分析ポリシーの準備
ネットワーク分析ポリシーの準備
ネットワーク分析ポリシー は、多数のトラフィックの前処理オプションを制御し、アクセス コントロール ポリシーの詳細設定で呼び出されます。ネットワーク分析に関連する前処理は、セキュリティ インテリジェンスによるブラックリスト化や SSL 復号化の後、侵入またはファイル検査の開始前に実行されます。
デフォルトでは、システムは Balanced Security and Connectivity ネットワーク分析ポリシーを使用して、アクセス コントロール ポリシーによって処理されるすべてのトラフィックを前処理します。ただし、この前処理を実行するために別のデフォルトのネットワーク分析ポリシーを選択できます。ユーザの利便性を考え、いくつかの変更できないネットワーク分析ポリシーが用意されています。これらのポリシーは、シスコ 脆弱性調査チーム(VRT)によってセキュリティおよび接続性の一定のバランスがとれるように調整されています。カスタム前処理設定を使用して、このデフォルト ポリシーをカスタム ネットワーク分析ポリシーと置き換えることもできます。
ヒント
システム提供の侵入ポリシーとネットワーク分析ポリシーには同じような名前が付けられていますが、異なる設定が含まれています。たとえば、「Balanced Security and Connectivity」ネットワーク分析ポリシーと「Balanced Security and Connectivity」侵入ポリシーは連携して動作し、どちらも侵入ルールのアップデートで更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。ネットワーク分析ポリシーおよび侵入ポリシーについてには、ネットワーク分析ポリシーと侵入ポリシーが連携してトラフィックを検査するしくみの概要、およびナビゲーション パネルの使用、競合の解決、変更のコミットに関する基本事項が記載されています。
複数のカスタム ネットワーク分析ポリシーを作成し、それらに異なるトラフィックの前処理を割り当てることによって、特定のセキュリティ ゾーン、ネットワーク、VLAN 用に前処理オプションを調整できます。(ASA FirePOWER デバイスでは、VLAN に応じて前処理を制限することはできません)。
(注) 前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。システムはユーザに合わせてポリシーを調整しません。詳細については、カスタム ポリシーに関する制約事項を参照してください。
この章では、単純なカスタム ネットワーク分析ポリシーを作成する方法について説明します。この章には、ネットワーク分析ポリシーの管理(編集、比較など)に関する基本情報も含まれています。詳細については、以下を参照してください。
カスタム ネットワーク分析ポリシーの作成
新しいネットワーク分析ポリシーを作成するときは、一意の名前を付け、基本ポリシーを指定し、 インライン モード を選択する必要があります。
基本ポリシーはネットワーク分析ポリシーのデフォルト設定を定義します。新しいポリシーの設定の変更は、基本ポリシーの設定を変更するのではなく、オーバーライドします。システム提供のポリシーまたはカスタム ポリシーを基本ポリシーとして使用できます。詳細については、基本レイヤについてを参照してください。
ネットワーク分析ポリシーのインライン モードでは、プリプロセッサでトラフィックを変更(正規化)したりドロップしたりして、攻撃者が検出を回避する可能性を最小限にすることができます。パッシブな展開では、インライン モードに関係なく、システムはトラフィック フローに影響を与えることができないことに注意してください。詳細については、インライン展開でプリプロセッサがトラフィックに影響を与えることを許可するを参照してください。
ネットワーク分析ポリシーを作成するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
FireSIGHT システム のユーザ アカウントのロールが侵入ポリシーまたは修正侵入ポリシーに限定されている場合は、ネットワーク分析ポリシーに加えて、侵入ポリシーを作成して編集できます。[ネットワーク分析ポリシー(Network Analysis Policy)] ページにアクセスするには、[ポリシー(Policies)] > [侵入(Intrusion)] を選択し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。詳細については、カスタム ユーザ ロールの管理を参照してください。
手順 2 [ポリシーの作成(Create Policy)] をクリックします。
別のポリシー内に未保存の変更が存在する場合は、[ネットワーク分析ポリシー(Network Analysis Policy)] ページに戻るかどうか尋ねられたときに [キャンセル(Cancel)] をクリックします。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。
[ネットワーク分析ポリシーの作成(Create Network Analysis Policy)] ポップアップ ウィンドウが表示されます。
手順 3 [名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。
手順 4 [基本ポリシー(Base Policy)] で最初の基本ポリシーを指定します。
システム提供のポリシーまたはカスタム ポリシーを基本ポリシーとして使用できます。
手順 5 プリプロセッサがインライン展開でトラフィックに影響を与えるようにするかどうかを指定します。
- 新しいポリシーを作成して [ネットワーク分析ポリシー(Network Analysis Policy)] ページに戻るには、[ポリシーの作成(Create Policy)] をクリックします。新しいポリシーには基本ポリシーと同じ設定項目が含まれています。
- ポリシーを作成し、高度なネットワーク分析ポリシー エディタでそれを開いて編集するには、[ポリシーの作成と編集(Create and Edit Policy)] をクリックします(ネットワーク分析ポリシーの編集を参照)。
ネットワーク分析ポリシーの管理
[ネットワーク分析ポリシー(Network Analysis Policy)] ページ([ポリシー(Policies)] > [アクセス コントロール(Access Control)] を選択し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリック)で、現在のカスタム ネットワーク分析ポリシーと共に次の情報を表示できます。
- ポリシーが最後に変更された日時(ローカル時間)とそれを変更したユーザ
- プリプロセッサがトラフィックに影響を与えることを許可する [インライン モード(Inline Mode)] 設定が有効になっているかどうか
- トラフィックを前処理するためにアクセス コントロール ポリシーおよびデバイスがどのネットワーク分析ポリシーを使用しているか
- ポリシーに保存されていない変更があるかどうか、およびポリシーを現在編集している人(いれば)に関する情報
お客様が独自に作成するカスタム ポリシーに加えて、システムは初期インライン ポリシーと初期パッシブ ポリシーの 2 つのカスタム ポリシーを提供しています。これら 2 つのネットワーク分析ポリシーは、ベースとして「Balanced Security and Connectivity」ネットワーク分析ポリシーを使用します。両者の唯一の相違点はインライン モードです。インライン ポリシーではプリプロセッサによるトラフィックの影響が有効化され、パッシブ ポリシーでは無効化されています。これらのシステム付属のカスタム ポリシーは編集して使用できます。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページのオプションを使用することで、次の表にあるアクションを実行できます。
|
|
|
|
|---|---|---|
| 削除アイコン( |
||
)をクリックし、ポリシーを削除することを確認します。アクセス コントロール ポリシーが参照しているネットワーク分析ポリシーは削除できません。ただし、FireSIGHT システム のユーザ アカウントのロールが侵入ポリシーまたは修正侵入ポリシーに限定されている場合は、ネットワーク分析ポリシーに加えて、侵入ポリシーを作成して編集できます。[ネットワーク分析ポリシー(Network Analysis Policy)] ページにアクセスするには、[ポリシー(Policies)] > [侵入(Intrusion)] を選択し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。詳細については、カスタム ユーザ ロールの管理を参照してください。
ネットワーク分析ポリシーの編集
新しいネットワーク分析ポリシーを作成すると、そのポリシーには基本ポリシーと同じ設定が付与されます。次の表に、ニーズに合わせて新しいポリシーを調整するために実行できる最も一般的な操作を示します。
ネットワーク分析ポリシーの調整時、特にプリプロセッサを無効化するときは、プリプロセッサおよび侵入ルールによっては、トラフィックを特定の方法で最初にデコードまたは前処理する必要があることに留意してください。必要なプリプロセッサを無効にすると、システムは自動的に現在の設定でプリプロセッサを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。
(注) 前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。詳細については、カスタム ポリシーに関する制約事項を参照してください。
システムは、ユーザごとに 1 つのネットワーク分析ポリシーをキャッシュします。ネットワーク分析ポリシーの編集中に、任意のメニューまたは別のページへの他のパスを選択した場合、変更内容はそのページを離れてもシステム キャッシュにとどまります。上の表に示す実行可能な操作の他に、ネットワーク分析ポリシーおよび侵入ポリシーについてでは、ナビゲーション パネルの使用、競合の解決、および変更のコミットに関する情報を記載しています。
ネットワーク分析ポリシーを編集するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 設定するネットワーク分析ポリシーの横にある編集アイコン(
)をクリックします。
ネットワーク分析ポリシー エディタが表示され、[ポリシー情報(Policy Information)] ページがフォーカスされ、左側にナビゲーション パネルが配置されます。
手順 3 ポリシーを編集します。上に概要を示したいずれかのアクションを実行します。
手順 4 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残したままの終了を実行します。詳細については、競合の解決とポリシー変更の確定を参照してください。
インライン展開でプリプロセッサがトラフィックに影響を与えることを許可する
インライン展開では、プリプロセッサによってはトラフィックを変更およびブロックできます。次に例を示します。
- インライン正規化プリプロセッサは、パケットを正規化し、他のプリプロセッサおよび侵入ルール エンジンで分析されるようにパケットを準備します。ユーザは、プリプロセッサの [これらの TCP オプションを許可(Allow These TCP Options)] と [回復不能な TCP ヘッダーの異常をブロック(Block Unrecoverable TCP Header Anomalies)] オプションを使用して、特定のパケットをブロックすることもできます。詳細については、インライン トラフィックの正規化を参照してください。
- システムは無効なチェックサムを持つパケットをドロップできます。チェックサムの検証を参照してください。
- システムはレート ベースの攻撃防御設定に一致するパケットをドロップできます。レート ベース攻撃の防止を参照してください。
ネットワーク分析ポリシーで設定したプリプロセッサがトラフィックに影響を与えるようにするには、プリプロセッサを有効化して適切に設定し、さらに管理対象デバイスを適切にインライン展開する(つまり、インライン インターフェイス セットを設定する)必要があります。最後に、ネットワーク分析ポリシーの [インライン モード(Inline Mode)] 設定を有効にする必要があります。
実際にトラフィックを変更せずに、設定がインライン展開でどのように機能するかを評価する場合は、インライン モードを無効にできます。パッシブ展開またはタップ モードでのインライン展開では、インライン モードであっても、システムはトラフィックに影響を与えることはできません。
インライン モードを無効化すると、侵入イベントのパフォーマンス統計グラフが影響を受けることがあるので注意してください。インライン展開でインライン モードが有効になっている場合、[イベント パフォーマンス(Event Performance)] ページ([概要(Overview)] > [サマリ(Summary)] > [侵入イベントのパフォーマンス(Intrusion Event Performance)])には、正規化されたパケットとブロックされたパケットを示すグラフが表示されます。インライン モードを無効化した場合またはパッシブ展開の場合は、正規化またはドロップされた可能性があるトラフィックに関するデータが多数のグラフに表示されます。詳細については、侵入イベントのパフォーマンス統計グラフの生成を参照してください。
ヒント インライン展開では、シスコはインライン モードを有効にし、[TCP ペイロードの正規化(Normalize TCP Payload)] オプションを有効にしたままインライン正規化プリプロセッサを設定することを推奨しています。パッシブ展開の場合、シスコは、適応型プロファイルを設定することを推奨しています。
プリプロセッサがインライン展開でトラフィックに影響を与えることを許可するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 編集するポリシーの横にある編集アイコン(
)をクリックします。
[ポリシー情報(Policy Information)] ページが表示されます。
手順 3 プリプロセッサがトラフィックに影響を与えるようにするかどうかを指定します。
手順 4 ポリシーの保存、編集の継続、変更の破棄、またはシステム キャッシュに変更を残したままの終了を実行します。詳細については、競合の解決とポリシー変更の確定を参照してください。
ネットワーク分析ポリシーでのプリプロセッサの設定
ネットワーク分析ポリシーのナビゲーション パネルで [設定(Settings)] を選択すると、ポリシーによりタイプ別のプリプロセッサがリストされます。[設定(Settings)] ページで、ネットワーク分析ポリシーのプリプロセッサを有効または無効にしたり、プリプロセッサの設定ページにアクセスしたりできます。
プリプロセッサを設定するには、それを有効にする必要があります。プリプロセッサを有効にすると、そのプリプロセッサに関する設定ページへのサブリンクがナビゲーション パネル内の [設定(Settings)] リンクの下に表示され、この設定ページへの [編集(Edit)] リンクが [設定(Settings)] ページのプリプロセッサの横に表示されます。
ヒント プリプロセッサの設定を基本ポリシーの設定に戻すには、プリプロセッサ設定ページで [デフォルトに戻す(Revert to Defaults)] をクリックします。プロンプトが表示されたら、復元することを確認します。
プリプロセッサを無効にすると、サブリンクと [編集(Edit)] リンクは表示されなくなりますが、設定は保持されます。特定の分析を実行するには、多くのプリプロセッサおよび侵入ルールで、トラフィックをまず特定の方法でデコードまたは前処理する必要があることに注意してください。必要なプリプロセッサを無効にすると、システムは自動的に現在の設定でプリプロセッサを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。
(注) 多くの場合、プリプロセッサの設定には特定の専門知識が必要で、通常は、ほとんどあるいはまったく変更を必要としません。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。詳細については、カスタム ポリシーに関する制約事項を参照してください。
プリプロセッサの設定を変更するには、その設定とネットワークへの潜在的影響を理解する必要があります。次の各項には、プリプロセッサごとの固有の設定詳細情報へのリンクがあります。
アプリケーション層プロトコル デコーダは、特定のタイプのパケット データを、侵入ルール エンジンで分析できる形式に正規化します。
|
|
|
|---|---|
Modbus と DNP3 のプリプロセッサは、トラフィックの異常を検出し、インスペクションのためにデータを侵入ルール エンジンに提供します。
|
|
|
|---|---|
ネットワーク層とトランスポート層のプリプロセッサは、ネットワーク層とトランスポート層でエクスプロイトを検出します。パケットがプリプロセッサに送信される前に、パケット デコーダにより、パケット ヘッダーとペイロードが、プリプロセッサや侵入ルール エンジンで簡単に使用できる形式に変換されます。また、パケット ヘッダー内でさまざまな異常動作が検出されます。
|
|
|
|---|---|
一部のトランスポートおよびネットワーク プリプロセッサの詳細設定は、アクセス コントロール ポリシーを適用するすべてのネットワークおよびゾーン、および VLAN にグローバルに適用されることに注意してください。これらの詳細設定は、ネットワーク分析ポリシーではなくアクセス コントロール ポリシーで設定します。トランスポート/ネットワークの詳細設定の構成を参照してください。
Back Orifice プリプロセッサは、Back Orifice マジック クッキーについて UDP トラフィックを分析します。スキャン アクティビティを報告するようにポートスキャン ディテクタを設定できます。レート ベースの攻撃防御は、ネットワークを圧迫することを意図した SYN フラッドや膨大な同時接続からネットワークを保護するのに役立ちます。
|
|
|
|---|---|
侵入ポリシーで、ASCII テキストのクレジット カード番号や社会保障番号などのセンシティブ データを検出するセンシティブ データ プリプロセッサを設定することに注意してください。詳細については、センシティブ データの検出を参照してください。
現在のネットワーク分析設定のレポートの生成
ネットワーク分析ポリシー レポートは、特定の時点でのポリシー設定の記録です。システムは、基本ポリシー内の設定とポリシー層の設定を統合して、基本ポリシーに起因する設定とポリシー層に起因する設定を区別しません。
このレポートには、次の情報が含まれており、監査目的や現在の設定の調査目的に使用できます。
|
|
|
|---|---|
ポリシーの名前と説明、ポリシーを最後に変更したユーザの名前、ポリシーが最後に変更された日時が記載されます。また、インライン正規化を有効にできるかどうか、現在のルール更新のバージョン、および基本ポリシーが現在のルール更新にロックされているかどうかも示されます。 |
|
また、2 つのネットワーク分析ポリシーや同じポリシーの 2 つのリビジョンを比較する比較レポートを生成することもできます。詳細については、2 つのネットワーク分析ポリシーまたはリビジョンの比較を参照してください。
ネットワーク分析ポリシー レポートを表示するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 レポートの生成対象とするポリシーの横にあるレポート アイコン(
)をクリックします。ネットワーク分析ポリシー レポートを生成する前に、必ず変更をコミットしてください。コミットされた変更だけがレポートに表示されます。
システムによってレポートが生成されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウで表示されるか、コンピュータにレポートを保存するようにプロンプトが出されることがあります。
2 つのネットワーク分析ポリシーまたはリビジョンの比較
組織の標準に準拠しているかを確認する目的や、システム パフォーマンスを最適化する目的でポリシーの変更を検討するために、2 つのネットワーク分析ポリシーの相違点を調べることができます。2 つのネットワーク分析ポリシーまたは同じネットワーク分析ポリシーの 2 つのリビジョンを比較できます。比較した後に、必要に応じて、2 つのポリシーまたはポリシー リビジョン間の違いを記録した PDF レポートを生成できます。
ネットワーク分析ポリシーまたはポリシーのリビジョンを比較するために使用できる、次の 2 つのツールがあります。
- 比較ビューは、2 つのネットワーク分析ポリシーまたはネットワーク分析ポリシー リビジョン間の差異のみを横並び形式で表示します。各ポリシーまたはポリシー リビジョンの名前が比較ビューの左右のタイトル バーに表示されます。
これを使用して、Web インターフェイスで相違点を強調表示したまま、両方のポリシーのリビジョンを表示し移動することができます。
- 比較レポートは、2 つのネットワーク分析ポリシーまたはネットワーク分析ポリシー リビジョン間の差異のみを記録しています。これは PDF 形式であるという以外は、ネットワーク分析ポリシー レポートと類似した形式です。
これを使用して、ポリシーの比較を保存、コピー、出力、共有して、さらに検証することができます。
ポリシー比較ツールの概要と使用法の詳細については、次の項を参照してください。
ネットワーク分析ポリシー比較ビューの使用
比較ビューは、両方のポリシーまたはポリシー リビジョンを横並び形式で表示します。各ポリシーまたはポリシー リビジョンは、比較ビューの左右のタイトル バーに表示される名前で見分けます。ポリシー名とともに、最後に変更された時刻と、最後に変更したユーザが表示されます。
|
|
|
|---|---|
タイトル バーの上にある [前へ(Previous)] または [次へ(Next)] をクリックします。 左側と右側の間にある二重矢印アイコン( |
|
[新しい比較(New Comparison)] をクリックします。 [比較の選択(Select Comparison)] ウィンドウが表示されます。詳細については、ネットワーク分析ポリシー比較レポートの使用を参照してください。 |
|
[比較レポート(Comparison Report)] をクリックします。 ポリシー比較レポートは、2 つのポリシーまたはポリシー リビジョン間の差異のみをリストする PDF ドキュメントを作成します。 |
)が移動し、表示している違いを示す [差異(Difference)] 番号が変わります。
)の上にカーソルを移動します。ネットワーク分析ポリシー比較レポートの使用
ネットワーク分析ポリシー比較レポートは、ネットワーク分析ポリシー比較ビューで特定された 2 つネットワーク分析ポリシー間または同じネットワーク分析ポリシーの 2 つのリビジョン間のすべての差異の記録を示す、PDF 形式のレポートです。このレポートを使用して、2 つのネットワーク分析ポリシーの設定の間の差異をさらに調べ、その結果を保存して配信することができます。
ネットワーク分析ポリシー比較レポートは、アクセス可能な任意のポリシーに関して、比較ビューから生成できます。ポリシー レポートを生成する前に、必ずすべての変更を保存してください。レポートには、保存されている変更だけが表示されます。
ポリシー比較レポートの形式は、ポリシー レポートと同様です。唯一異なる点は、ポリシー レポートにはポリシーのすべての設定が記載される一方、ポリシー比較レポートにはポリシー間で異なる設定だけがリストされることです。ネットワーク分析ポリシー比較レポートは、表 26-7に記載されているセクションで構成されます。
ヒント 同様の手順で、SSL、アクセス コントロール、侵入、ファイル、システム、またはヘルスのポリシーを比較できます。
2 つのネットワーク分析ポリシーまたはポリシー リビジョンを比較するには、次の手順を実行します。
手順 1 [ポリシー(Policies)] > [アクセス制御(Access Control)] を選択して [アクセス コントロール ポリシー(Access Control Policy)] ページを表示し、[ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。
[ネットワーク分析ポリシー(Network Analysis Policy)] ページが表示されます。
手順 2 [ポリシーの比較(Compare Policies)] をクリックします。
[比較の選択(Select Comparison)] ウィンドウが表示されます。
手順 3 [比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。
ページが更新されて、[ポリシー A(Policy A)] と [ポリシー B(Policy B)] という 2 つのドロップダウンリストが表示されます。
ページが更新され、[ポリシー(Policy)]、[リビジョン A(Revision A)] および [リビジョン B(Revision B)] ドロップダウン リストが表示されます。
手順 4 選択した比較タイプに応じて、次のような選択肢があります。
手順 5 ポリシー比較ビューを表示するには、[OK] をクリックします。
手順 6 必要に応じて、ネットワーク分析ポリシー比較レポートを生成するには、[比較レポート(Comparison Report)] をクリックします。
ネットワーク分析ポリシー比較レポートが表示されます。ブラウザの設定によっては、レポートがポップアップ ウィンドウで表示されるか、コンピュータにレポートを保存するようにプロンプトが出されることがあります。
フィードバック