Cisco Secure Firewall 3105。

必要最低限の Threat Defense：7.3.1

プラットフォーム

Management Center Virtual 300 for KVM。

KVM に対応する FMCv300 が導入されました。FMCv300 は、最大 300 台のデバイスを管理できます。

必要最低限の Threat Defense：任意

Cisco Secure Firewall 4100 のネットワークモジュール

次のネットワークモジュールを使用して Cisco Secure Firewall 4100 を管理できるようになりました。

• 2-port 100G Network Module（FPR-NM-2X100G）

必要最低限の Threat Defense：7.3

この機能のサポートが再開されました。ISA 3000 をシャットダウンすると、システム LED が消灯します。その後、少なくとも 10 秒間待ってからデバイスの電源を切ってください。この機能はバージョン 7.0.5 で導入されましたが、バージョン 7.1 ～ 7.2 で一時的に廃止になりました。

インターフェイス

仮想アプライアンスの IPv6 サポート。

Threat Defense Virtual および Management Center Virtual は、次の環境で IPv6 をサポートするようになりました。

• AWS

• Azure

• OCI

• KVM

• VMware

詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドおよびCisco Secure Firewall Management Center Virtual 入門ガイドを参照してください。

VTI のループバック インターフェイス サポート。

静的および動的 VTI VPN トンネルの冗長性のためにループバック インターフェイスを設定できるようになりました。ループバック インターフェイスは、物理インターフェイスをエミュレートするソフトウェア インターフェイスであり、IPv4 および IPv6 アドレスを持つ複数の物理インターフェイスを介して到達できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Devices）] > [インターフェイス（Interfaces）] > [インターフェイスの追加（Add Interfaces）] > [ループバックインターフェイスの追加（Add Loopback Interface）]

詳細については、デバイス コンフィギュレーション ガイドの「Configure Loopback Interfaces」を参照してください。

冗長マネージャ アクセス データ インターフェイス。

マネージャアクセスにデータインターフェイスを使用する場合、プライマリインターフェイスがダウンしたときに管理機能を引き継ぐよう、セカンダリインターフェイスを構成できます。デバイスは、SLA モニタリングを使用して、スタティックルートの実行可能性と、両方のインターフェイスを含む ECMP ゾーンを追跡し、管理トラフィックで両方のインターフェイスが使用できるようにします。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Devices）] > [インターフェイス（Interfaces）] > [マネージャアクセス（Manager Access）]

詳細については、デバイス コンフィギュレーション ガイドの「Configure a Redundant Manager Access Data Interface」を参照してください。

IPv6 DHCP。

IPv6 アドレッシングの次の機能がサポートされるようになりました。

• DHCPv6 アドレスクライアント：Threat Defense は、DHCPv6 サーバーから IPv6 グローバルアドレスとオプションのデフォルトルートを取得します。

• DHCPv6 プレフィックス委任クライアント：Threat Defense は DHCPv6 サーバーから委任プレフィックスを取得します。これらのプレフィックスを使用して他の Threat Defense インターフェイスのアドレスを設定し、ステートレスアドレス自動設定（SLAAC）クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

• 委任プレフィックスの BGP ルータアドバタイズメント。

• DHCPv6 ステートレスサーバー：SLAAC クライアントが Threat Defense に情報要求（IR）パケットを送信すると、Threat Defense はドメイン名などの他の情報を SLAAC クライアントに提供します。Threat Defense は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [インターフェイス（Interfaces）] > [インターフェイス（Interface）] > [IPv6] > [DHCP]

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [DHCP IPv6プール（DHCP IPv6 Pool）]

新規/変更された CLI コマンド：show bgp ipv6 unicast 、show ipv6 dhcp 、show ipv6 general-prefix

詳細については、デバイス コンフィギュレーション ガイドの「Configure the IPv6 Prefix Delegation Client」、「BGP」および「Configure the DHCPv6 Stateless Server」を参照してください。

Azure ゲートウェイロードバランサの Threat Defense Virtual のペアプロキシ VXLAN

Azure ゲートウェイロードバランサで使用するために、Azure の Threat Defense Virtual のペアプロキシモード VXLAN インターフェイスを構成できます。デバイスは、ペアリングされたプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Devices）] > [インターフェイス（Interfaces）] > [インターフェイスの追加（Add Interfaces）] > [VNIインターフェイス（VNI Interface）]

詳細については、デバイス コンフィギュレーション ガイドの「Configure VXLAN Interfaces」を参照してください。

固定ポートの前方誤り訂正（FEC）のデフォルトが変更されました。

Cisco Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB 以上の SR、CSR、および LR トランシーバのデフォルトタイプが第 74 条 FC-FEC ではなく第 108 条 RS-FEC に設定されるようになりました。

詳細については、デバイス コンフィギュレーション ガイドの「Interface Overview」を参照してください。

高可用性/拡張性

KVM および Azure 向け Management Center Virtual の高可用性。

KVM および Azure 向け Management Center Virtual の高可用性がサポートされるようになりました。

Threat Defense の展開では、同じようにライセンスされた 2 つの管理センターと、管理対象デバイスごとに 1 つの Threat Defense 権限が必要です。たとえば、FMCv10 高可用性ペアで 10 台のデバイスを管理するには、2 個の FMCv10 権限と 10 個の Threat Defense 権限が必要です。バージョン 7.0.x のクラシックデバイス（NGIPSv または ASA FirePOWER）のみを管理している場合は、FMCv 権限は必要ありません。

サポートされるプラットフォーム：FMCv10、FMCv25、FMCv300（FMCv2 ではサポートされません）

詳細については、Cisco Secure Firewall Management Center Virtual 入門ガイド、およびアドミニストレーション ガイドの「High Availability」を参照してください。

Azure 向け Threat Defense Virtual のクラスタリング。

Azure 向け Threat Defense Virtual を使用して、最大 16 ノードのクラスタリングを構成できるようになりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）]

詳細については、デバイス コンフィギュレーション ガイドの「Clustering for Threat Defense Virtual in a Public Cloud」を参照してください。

Azure ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケールがサポートされるようになりました。詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

クラスタ化されたデバイスのバックアップと復元のサポート。

リモートアクセス VPN

RA VPN ダッシュボード。

デバイス上のアクティブな RA VPN セッションからのリアルタイムデータを監視できるリモートアクセス VPN（RA VPN）ダッシュボードが導入されました。ユーザーセッションに関連する問題をすばやく特定し、ネットワークとユーザーの問題を軽減できるように、ダッシュボードには次の機能があります。

• ロケーションに基づいたアクティブなユーザーセッションの可視化。

• アクティブなユーザーセッションに関する詳細情報。

• 必要に応じて、セッションを終了することによるユーザーセッションの問題の軽減。

• デバイス、暗号化タイプ、Secure Client バージョン、オペレーティングシステム、および接続プロファイルごとのアクティブなユーザーセッションの分布。

• デバイスのデバイス ID 証明書の有効期限の詳細。

新規/変更された画面：[概要（Overview）] > [ダッシュボード（Dashboards）] > [リモートアクセスVPN（Remote Access VPN）]

詳細については、アドミニストレーション ガイドの「Dashboards」を参照してください。

TLS 1.3 で RA VPN 接続を暗号化します。

TLS 1.3 を使用して、次の暗号で RA VPN 接続を暗号化できるようになりました。

• TLS_AES_128_GCM_SHA256

• TLS_CHACHA20_POLY1305_SHA256

• TLS_AES_256_GCM_SHA384

Threat Defense プラットフォーム設定を使用して TLS バージョンを設定します：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defense設定ポリシーの追加/編集（Add/Edit Threat Defense Settings Policy）] > [SSL] > [TLSバージョン（TLS Version）]。

この機能には、Cisco Secure Client、リリース 5（以前は AnyConnect セキュア モビリティ クライアントと呼ばれていました）が必要です。

詳細については、デバイス コンフィギュレーション ガイドの「Configure SSL Settings」を参照してください。

サイト間 VPN

サイト間 VPN ダッシュボードのパケットトレーサ。

デバイス間の VPN トンネルのトラブルシューティングに役立つように、サイト間 VPN ダッシュボードにパケットトレーサ機能を追加しました。

[概要（Overview）] > [ダッシュボード（Dashboards）] > [サイト間VPN（Site to Site VPN）]を選択して、ダッシュボードを開きます。次に、調査するトンネルの横にある [表示（View）]（） をクリックし、表示されるサイドペインで [パケットトレーサ（Packet Tracer）] をクリックします。

詳細については、デバイス コンフィギュレーション ガイドの「Monitoring the Site-to-Site VPNs」を参照してください。

サイト間 VPN を使用したダイナミック VTI のサポート。

ハブアンドスポークトポロジでルートベースのサイト間 VPN を構成する場合、動的仮想トンネルインターフェイス（VTI）がサポートされるようになりました。以前は、静的 VTI のみを使用できました。

これにより、大規模なハブアンドスポーク展開の構成が容易になります。ハブの複数のスタティック VTI 構成を単一の ダイナミック VTI に置き換えることができます。また、ハブの構成を変更せずに、新しいスポークをハブに追加できます。

新規/変更された画面：ルートベースのハブアンドスポークサイト間 VPN トポロジのハブノードエンドポイントを構成するときのオプションを更新しました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure Endpoints for a Hub and Spoke Topology」を参照してください。

Umbrella SIG 統合の改善。

Threat Defense デバイスと Umbrella セキュア インターネット ゲートウェイ（SIG）の間に IPsec IKEv2 トンネルを簡単に展開できるようになりました。これにより、インターネットに向かうすべてのトラフィックを検査とフィルタリングのために Umbrella に転送できます。

これらのトンネルを構成して展開するには、新しいタイプの静的 VTI ベースのサイト間 VPN トポロジである SASE トポロジを作成します：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [SASEトポロジ（SASE Topology）]。

詳細については、デバイス コンフィギュレーション ガイドの「Deploy a SASE Tunnel on Umbrella」を参照してください。

ルーティング

Management Center の Web インターフェイスから BGP の BFD を設定。

アップグレードの影響。

Management Center の Web インターフェイスを使用して、BGP の Bidirectional Forwarding Detection（BFD）を設定できるようになりました。仮想ルータに属するインターフェイスでのみ BFD を有効にできることに注意してください。既存の BFD FlexConfig があり、Web インターフェイスで設定をやり直す場合は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [ルーティング（Routing）] > [BFD]

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [BFDテンプレート（BFD Template）]

• BGP ネイバー設定を構成するときに、[BFDフェールオーバー（BFD Failover）] チェックボックスが、BFD タイプ（シングルホップ、マルチホップ、自動検出、またはなし（無効））を選択するメニューに置き換えられました。アップグレードされた Management Center の場合、古い [BFDフェールオーバー（BFD Failover）] オプションが有効になっている場合は [自動検出ホップ（auto-detect hop）] が選択され、古いオプションが無効になっている場合は [なし（none）] が選択されます。

詳細については、デバイス コンフィギュレーション ガイドの「Bidirectional Forwarding Detection Routing」を参照してください。

VTI の IPv4 および IPv6 OSPF ルーティングのサポート。

VTI インターフェイスの IPv4 および IPv6 OSPF ルーティングがサポートされるようになりました。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [ルーティング（Routing）] > [OSPF/OSFPv3]の OSPF ルーティングプロセスに VTI インターフェイスを追加できます。

詳細については、デバイス コンフィギュレーション ガイドの「OSPF」と「Additional Configurations for VTI」を参照してください。

VTI の IPv4 EIGRP ルーティングのサポート。

VTI インターフェイスの IPv4 EIGRP ルーティングがサポートされるようになりました。

新規/変更された画面：VTI を EIGRP ルーティングプロセスの静的ネイバーとして定義し、VTI のインターフェイス固有の EIGRP ルーティングプロパティを設定できます。[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [ルーティング（Routing）] > [EIGRP]で VTI のサマリアドレスをアドバタイズします。

詳細については、デバイス コンフィギュレーション ガイドの「EIGRP」と「Additional Configurations for VTI」を参照してください。

ポリシーベースルーティングのためのネットワーク サービス グループの追加。

最大 1024 のネットワーク サービス グループ（ポリシーベースルーティングで使用するための拡張 ACL 内のアプリケーショングループ）を設定できるようになりました。以前は、制限は 256 でした。

ポリシーベースのルーティング転送アクションを設定する際の複数のネクストホップのサポート。

ポリシーベースのルーティング転送アクションを設定する際に、複数のネクストホップを構成できるようになりました。トラフィックがルートの基準に一致すると、システムは、成功するまで、指定した順序でトラフィックを IP アドレスに転送しようとします。

この機能は、バージョン 7.3 以降の Management Center を備えたバージョン 7.1 以降を実行している Threat Defense デバイスで利用できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [ルーティング（Routing）] > [ポリシーベースルーティング（Policy Based Routing）] > [ポリシーベースルートの追加（Add Policy Based Route）] > [一致基準と出力インターフェイスの追加（Add Match Criteria and Egress Interface）]の [送信先（Send To）] メニューから [IPアドレス（IP Address）] を選択するときに、いくつかのオプションが追加されました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure Policy-Based Routing Policy」を参照してください。

のアップグレード

使いやすさの改善。

詳細については、Management Center アップグレードガイドの「Upgrade Threat Defense」を参照してください。

無人アップグレード。

詳細については、Management Center アップグレードガイドの「Upgrade Threat Defense with the Wizard in Unattended Mode」を参照してください。

アップグレード前のトラブルシューティング生成をスキップします。

詳細については、Management Center アップグレードガイドの「Upgrade Threat Defense」を参照してください。

Threat Defense のアップグレード完了後の Snort 3 への自動アップグレードはオプションではなくなりました。

アップグレードの影響。

シスコからアップグレードパッケージを選択して直接ダウンロードします。

必要最低限の Threat Defense：任意

参照：Management Center を含むアップグレードパッケージのダウンロード

Cisco Secure Firewall 3100 の統合アップグレードおよびインストールパッケージ。

再イメージ化の影響。

アクセス制御と脅威検出

SSL ポリシーの名前が復号ポリシーに変更されました。

SSL ポリシーの名前を復号ポリシーに変更しました。また、インバウンドおよびアウトバウンドトラフィックの初期ルールと証明書の作成など、復号ポリシーの作成と構成を容易にするポリシーウィザードも追加しました。

新規/変更された画面：

• 復号ポリシーの追加または編集：[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [復号（Decryption）]。

• 復号ポリシーの使用：アクセス コントロール ポリシーの詳細設定の [復号ポリシー設定（Decryption Policy Settings）]。

詳細については、デバイス コンフィギュレーション ガイドの「Decryption Policies」を参照してください。

Snort 3 デバイスでの TLS サーバー ID 検出の改善。

TLS 1.3 で暗号化されたトラフィックをサーバー証明書からの情報で処理できる TLS サーバー ID 検出機能によるパフォーマンスと検査の改善がサポートされるようになりました。この機能は有効にしておくことをお勧めしますが、復号ポリシーの詳細設定にある新しい [アダプティブTLSサーバーIDプローブを有効にする（Enable adaptive TLS server identity probe）] オプションを使用して無効にすることができます。

詳細については、デバイス コンフィギュレーション ガイドの「TLS 1.3 Decryption Best Practices」を参照してください。

クラウドルックアップ結果のみを使用した URL フィルタリング。

URL フィルタリングを有効にする（または再度有効にする）と、Management Center は自動的にシスコに URL カテゴリとレピュテーションデータを照会し、データセットを管理対象デバイスにプッシュします。システムがこのデータセットを使用して Web トラフィックをフィルタリングする方法に関するオプションが増えました。

これを行うために、[不明なURLをCisco Cloudに照会する（Query Cisco Cloud for Unknown URLs）] オプションを次の 3 つの新しいオプションに置き換えました。

• [ローカルデータベースのみ（Local Database Only）]：ローカル URL データセットのみを使用します。プライバシー上の理由などから、未分類の URL（ローカルデータセットにないカテゴリとレピュテーション）をシスコに送信したくない場合は、このオプションを使用します。ただし、未分類の URL への接続は、カテゴリまたはレピュテーションベースの URL 条件を含むルールに一致しないことに注意してください。URL に手動でカテゴリやレピュテーションを割り当てることはできません。

  アップグレードされた Management Center の場合、このオプションは、古い [不明なURLをCisco Cloudに照会する（Query Cisco Cloud for Unknown URLs）] が無効になっている場合に有効になります。

• [ローカルデータベースとCisco Cloud（Local Database and Cisco Cloud）]：可能な場合はローカルデータセットを使用し、Web ブラウジングを高速化します。カテゴリとレピュテーションがローカルデータセットまたは以前にアクセスした Web サイトのキャッシュにない URL をユーザーが参照すると、システムはその URL を脅威インテリジェンス評価のためにクラウドに送信し、結果をキャッシュに追加します。

  アップグレードされた Management Center の場合、このオプションは、古い [不明なURLをCisco Cloudに照会する（Query Cisco Cloud for Unknown URLs）] オプションが有効になっている場合に有効になります。

• [Cisco Cloudのみ（Cisco Cloud Only）]：ローカルデータセットを使用しません。カテゴリとレピュテーションが以前にアクセスした Web サイトのキャッシュにない URL をユーザーが参照すると、システムはその URL を脅威インテリジェンス評価のためにクラウドに送信し、結果をキャッシュに追加します。このオプションは、最新のカテゴリとレピュテーション情報を保証します。

  このオプションは、新規および再イメージ化されたバージョン 7.3 以降の Management Center のデフォルトです。Threat Defense バージョン 7.3 以降も必要であることに注意してください。このオプションを有効にすると、以前のバージョンを実行しているデバイスは、[ローカルデータベースとCisco Cloud（Local Database and Cisco Cloud）] オプションを使用します。

新規/変更された画面：[統合（Integration）] > [その他の統合（Other Integrations）] > [クラウドサービス（Cloud Services）] > [URLフィルタリング（URL Filtering）]

詳細については、デバイス コンフィギュレーション ガイドの「URL Filtering Options」を参照してください。

EVE を使用して HTTP/3 および SMB over QUIC を検出します（Snort 3 のみ）。

Snort 3 デバイスは、暗号化された可視性エンジン（EVE）を使用して、HTTP/3 および SMB over QUIC を検出できるようになりました。次に、これらのアプリケーションに基づいてトラフィックを処理するルールを作成できます。

詳細については、デバイス コンフィギュレーション ガイドの「Encrypted Visibility Engine」を参照してください。

EVE によって検出された安全でないクライアント アプリケーションに基づいて IoC イベントを生成します（Snort 3 のみ）。

Snort 3 デバイスは、暗号化された可視性エンジン（EVE）によって検出された安全でないクライアント アプリケーションに基づいて、侵害の兆候（IoC）接続イベントを生成できるようになりました。これらの接続イベントの暗号化された可視性の脅威の信頼度は非常に高いです。

• イベントビューアで IoC を表示します：[分析（Analysis）] > [ホスト/ユーザー（Hosts/Users）] > [侵害の兆候（Indications of Compromise）]

• ネットワークマップで IoC を表示します：[分析（Analysis）] > [ホスト（Hosts）] > [侵害の兆候（Indications of Compromise）]

• 接続イベントで IoC 情報を表示します：[分析（Analysis）] > [接続（Connections）] > [イベント（Events）] > [接続イベントのテーブルビュー（Table View of Connection Events）] > [IOC/暗号化された可視性列（IOC/Encrypted Visibility columns）]

詳細については、デバイス コンフィギュレーション ガイドの「Encrypted Visibility Engine」を参照してください。

Snort 3 デバイスの JavaScript インスペクションの改善。

JavaScript を正規化し、正規化されたコンテンツに対してルールを照合することで実行される JavaScript インスペクションを改善しました。バージョン 7.2 で導入されたノーマライザにより、unescape 関数、decodeURI 関数、および decodeURIComponent 関数（%XX、%uXXXX、\uXX、\u{XXXX}\xXX、10 進数コードポイント、16 進数コードポイント）内で検査できるようになりました。また、文字列からプラス演算を削除して連結します。

詳細については、『Snort 3 インスペクタリファレンス 』の「HTTP Inspect Inspector」ならびに『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

Snort 3 侵入ポリシーのネストされたルールグループ（MITRE ATT&CK を含む）。

Snort 3 侵入ポリシーでルールグループをネストできるようになりました。これにより、トラフィックをより詳細に表示および処理できます。たとえば、ルールを脆弱性のタイプ、ターゲットシステム、または脅威のカテゴリ別にグループ化できます。カスタムのネストされたルールグループを作成し、ルールグループごとにセキュリティレベルとルールアクションを変更できます。

また、Talos がキュレートした MITRE ATT&CK フレームワークでシステム提供のルールをグループ化するため、これらのカテゴリに基づいてトラフィックを処理できます。

新規/変更された画面：

• ルールグループの表示と使用：[ポリシー（Policies）] > [侵入（Intrusion）] > [Snort 3バージョンの編集（Edit Snort 3 Version）]

• クラシックイベントビューでルールグループ情報を表示します：[分析（Analysis）] > [侵入（Intrusion）] > [イベント（Events）] > [侵入イベントのテーブルビュー（Table View of Intrusion Events）] > [ルールグループとMITRE ATT&CK列（Rule Group and MITRE ATT&CK columns）]

• 統合イベントビューでルールグループ情報を表示します：[分析（Analysis）] > [統合イベント（Unified Events）] > [ルールグループとMITRE ATT&CK列（Rule Group and MITRE ATT&CK columns）]

詳細については、『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

アクセス制御ルールの競合分析。

ルールの競合分析を有効にすると、ポリシーでの以前ルールが原因で一致しない冗長ルールやオブジェクト、およびシャドウルールを特定できるようになりました。

詳細については、デバイス コンフィギュレーション ガイドの「Analyzing Rule Conflicts and Warnings」を参照してください。

イベントロギングおよび分析

Snort 3 デバイスの NetFlow サポート。

アップグレードの影響。

Snort 3 デバイスは、NetFlow レコード（IPv4 と IPv6、NetFlow v5 と v9）を使用できるようになりました。以前は、Snort 2 デバイスのみがこれを使用していました。

アップグレード後、ネットワーク ディスカバリ ポリシーで既存の NetFlow エクスポータと NetFlow ルールが設定されている場合、Snort 3 デバイスは NetFlow レコードの処理を開始し、NetFlow 接続イベントを生成し、NetFlow データに基づいてホストおよびアプリケーションプロトコル情報をデータベースに追加します。

詳細については、デバイス コンフィギュレーション ガイドの「Network Discovery Policies」を参照してください。

統合

Cisco ACI Endpoint Update App と統合するための新しい修復モジュール

新しい Cisco ACI Endpoint 修復モジュールを導入しました。これを使用するには、古いモジュールを削除してから、新しいモジュールを追加して構成する必要があります。この新しいモジュールは次のことができます。

• エンドポイント セキュリティ グループ（ESG）展開でエンドポイントを検疫します。

• 監視および分析のために、検疫されたエンドポイントからレイヤ 3 外部ネットワーク（L3Out）へのトラフィックを許可します。

• 監査専用モードで実行し、検疫ではなく通知します。

詳細については、デバイス コンフィギュレーション ガイドの「APIC/Secure Firewall Remediation Module 3.0」を参照してください。

ヘルス モニタリング

Management Center の Web インターフェイスでのクラスタのヘルスモニター設定。

Management Center の Web インターフェイスを使用して、クラスタのヘルスモニター設定を編集できるようになりました。以前のバージョンで FlexConfig を使用してこれらの設定を構成した場合、システムは展開を許可しますが、構成をやり直すように警告が表示されます。FlexConfig 設定が優先されます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタの編集（Edit Cluster）] > [クラスタのヘルスモニターの設定（Cluster Health Monitor Settings）]

詳細については、デバイス コンフィギュレーション ガイドの「Edit Cluster Health Monitor Settings」を参照してください。

デバイスクラスタのヘルスモニタリングが改善されました。

ヘルスモニターにクラスタダッシュボードが追加され、クラスタ全体のステータス、負荷分散メトリック、パフォーマンスメトリック、クラスタ制御リンク（CCL）、データスループットなどを表示できるようになりました。

各クラスタのダッシュボードを表示するには、システム（） > [正常性（Health）] > [モニタリング（Monitor）]を選択し、クラスタをクリックします。

詳細については、アドミニストレーション ガイドの「Cluster Health Monitor」を参照してください。

ハードウェア管理センターで電源のファン速度と温度をモニタリングします。

ハードウェア管理センターの電源のファン速度と温度をモニタリングするハードウェア統計正常性モジュールを追加しました。アップグレードプロセスにより、このモジュールが自動的に追加され、有効になります。アップグレード後、ポリシーを適用します。

モジュールを有効または無効にし、しきい値を設定するには、システム（） > [正常性（Health）] > [ポリシー（Policy）]で Management Center の正常性ポリシーを編集します。

正常性ステータスを表示するには、カスタム ヘルス ダッシュボードを作成します：システム（） > [正常性（Health）] > [モニタリング（Monitor）] > [Firewall Management Center] > [追加/編集（Add/Edit）]。[ハードウェア統計（Hardware Statistics）] メトリックグループを選択し、必要なメトリックを選択します。

モジュールのステータスは、ヘルスモニターの [ホーム（Home）] ページと Management Center のアラートサマリ（[ハードウェアアラーム（Hardware Alarms）] および [電源（Power Supply）]）で表示することもできます。外部アラート応答を構成し、モジュールステータスに基づいて正常性イベントを表示できます。

詳細については、アドミニストレーション ガイドの「Hardware Statistics on Management Center」を参照してください。

Firepower 4100/9300 の温度と電源を監視します。

Firepower 4100/9300 シャーシの温度と電源を監視するために、シャーシ環境ステータス正常性モジュールが追加されました。アップグレードプロセスにより、すべてのデバイス正常性ポリシーにこれらのモジュールが自動的に追加され、有効になります。アップグレード後、正常性ポリシーを Firepower 4100/9300 シャーシに適用して、モニタリングを開始します。

このモジュールを有効または無効にし、しきい値を設定するには、システム（） > [正常性（Health）] > [ポリシー（Policy）] > [デバイスポリシー（Device Policy）]で Management Center の正常性ポリシーを編集します。

正常性ステータスを表示するには、カスタム ヘルス ダッシュボードを作成します：システム（） > [正常性（Health）] > [モニタリング（Monitor）] > [デバイスの選択（Select Device）] > [ダッシュボードの追加/編集（Add/Edit Dashboard）] > [カスタム相関グループ（Custom Correlation Group）]。[ハードウェア/環境ステータス（Hardware/Environment Status）] メトリックグループを選択し、次に [温度ステータス（Thermal Status）] メトリックを選択して温度を表示するか、いずれかの [電源（Power Supply）] オプションを選択して電源ステータスを表示します。

ヘルスモニターの [ホーム（Home）] ページと各デバイスのアラートサマリでモジュールのステータスを表示することもできます。外部アラート応答を構成し、モジュールステータスに基づいて正常性イベントを表示できます。

詳細については、アドミニストレーション ガイドの「Hardware/Environment Status Metrics」を参照してください。

ライセンシング

ライセンス名の変更およびキャリアライセンスのサポート。

ライセンスの名前を次のように変更しました。

• Base は Essentials に変更

• Threat は IPS に変更

• Malware は Malware Defense に変更

• RA VPN/AnyConnect License は Cisco Secure Client に変更

• AnyConnect Plus は Secure Client Advantage に変更

• AnyConnect Apex は Secure Client Premier に変更

• AnyConnect Apex および Plus は Secure Client Premier および Advantage に変更

• AnyConnect VPN Only は Secure Client VPN Only に変更

さらに、キャリアライセンスを適用できるようになりました。これにより、GTP/GPRS、Diameter、SCTP、および M3UA インスペクションを設定できます。

新規/変更された画面：システム（） > [ライセンス（Licenses）] > [スマートライセンス（Smart Licenses）]

詳細については、アドミニストレーション ガイドの「Licenses」を参照してください。

管理（Administration）

FlexConfig から Web インターフェイス管理に設定を移行します。

FlexConfig からこれらの設定を Web インターフェイス管理に簡単に移行できるようになりました。

• バージョン 7.1 以降の Web インターフェイスでサポートされる ECMP ゾーン

• バージョン 7.2 以降の Web インターフェイスでサポートされる EIGRP ルーティング

• バージョン 7.2 以降の Web インターフェイスでサポートされる VXLAN インターフェイス

移行後は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面：[デバイス（Devices）] > [FlexConfig] > [FlexConfigポリシーの編集（Edit FlexConfig Policy）] > [設定の移行（Migrate Config）]

詳細については、デバイス コンフィギュレーション ガイドの「Migrating FlexConfig Policies」を参照してください。

自動 VDB ダウンロード。

詳細については、アドミニストレーション ガイドの「Vulnerability Database Update Automation」を参照してください。

任意の VDB をインストールします。

詳細については、アドミニストレーション ガイドの「Update the Vulnerability Database」を参照してください。

詳細については、Management Center アドミニストレーション ガイドの「Secure Firewall Management Center Command Line Reference」と、Cisco Secure Firewall Threat Defense コマンドリファレンス を参照してください。

ユーザビリティ、パフォーマンス、およびトラブルシューティング

新しい How-To ウォークスルー。

次の How-To が追加されました。

• 手動再登録を使用して証明書を更新する。

• 自己署名、SCEP、または EST 登録を使用して証明書を更新する。

• リモートアクセス VPN の LDAP 属性マップを構成する。

• SAML シングル サインオン サーバー オブジェクトを追加する。

• Threat Defense デバイスのパケットキャプチャを収集する。

• パケットトレースを収集して、Threat Defense デバイスのトラブルシューティングを行う。

• リモートアクセス VPN のダイナミック アクセス ポリシーを構成する。

  • ダイナミック アクセス ポリシーを作成する。

  • ダイナミック アクセス ポリシー レコードを作成する。

  • ダイナミック アクセス ポリシーをリモートアクセス VPN に関連付ける。

How-To を起動するには、システム（）[ハウツー（How-Tos）]を選択します。

新しいアクセス コントロール ポリシーのユーザーインターフェイスがデフォルトになりました。

バージョン 7.2 で導入されたアクセス コントロール ポリシーのユーザーインターフェイスは、デフォルトのインターフェイスになりました。アップグレードによって切り替えられますが、元に戻すことができます。

アクセス制御ルールごとの一致基準あたりの最大オブジェクト数が 200 になりました。

1 つのアクセス制御ルールの一致基準あたりのオブジェクト数が 50 から 200 に増えました。たとえば、1 つのアクセス制御ルールに最大 200 のネットワークオブジェクトを含めることができます。

デバイスをバージョン別にフィルタ処理します。

[デバイス（Devices）] > [デバイス管理（Device Management）]で、バージョン別にデバイスをフィルタリングできるようになりました。

スケジュールされたタスクのステータスメールが改善されました。

スケジュールされたタスクの電子メール通知は、タスクの開始時ではなく、タスクの完了時（成功または失敗に関係なく）に送信されるようになりました。これは、タスクが失敗したか成功したかを示すことができるようになったことを意味します。失敗の場合、失敗の理由と問題を修正するための修正が含まれます。

CPU コア割り当てのパフォーマンスプロファイル。

データプレーンと Snort に割り当てられたシステムコアの割合を調整して、システムパフォーマンスを調整できます。この調整は、VPN と侵入ポリシーの相対的な使用に基づいています。両方を使用する場合は、コア割り当てをデフォルト値のままにします。システムを主に VPN（侵入ポリシー適用なし）または IPS（VPN 設定なし）として使用する場合、コア割り当てをデータプレーン（VPN の場合）または Snort（侵入インスペクションの場合）にスキューできます。

[パフォーマンスプロファイル（Performance Profile）] ページがプラットフォーム設定ポリシーに追加されました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure the Performance Profile」を参照してください。

Cisco Success Network に送信される追加のテレメトリ。

有用性を向上させるために、次のデータを Cisco Success Network に送信するようになりました。

• 登録されているがアクティブに管理されていないデバイスの数、デバイスが高可用性/スケーラビリティのために構成されているかどうか、構成されたクラスタ内のノードの数などのデバイス情報。

• ネットワークマップ内のホスト数、侵入イベント数、ファイル/マルウェアイベント数などのイベントおよびネットワークマップ情報。

Cisco Success Network の登録はいつでも変更できます。

詳細については、アドミニストレーション ガイドの「Configure Cisco Success Network Enrollment」を参照してください。

Management Center REST API

Management Center REST API サービス/操作。

FMC REST API の変更については、API クイックスタートガイドの「What's New in 7.3」を参照してください。

サポート終了：Firepower 4110、4120、4140、4150。

Firepower 4110、4120、4140、または 4150 ではバージョン 7.3 以降は実行できません。

サポート終了：Firepower 9300：SM-24、SM-36、SM-44 モジュール。

SM-24、SM-36、または SM-44 モジュールを搭載した Firepower 9300 ではバージョン 7.3 以降は実行できません。

Firepower 1010E のサポートなし（一時的）。

廃止：Snort 2 デバイスの YouTube EDU コンテンツ制限。

新規または既存のアクセス制御ルールで YouTube EDU コンテンツ制限を有効にできなくなりました。既存の YouTube EDU ルールは引き続き機能します。また、ルールを編集して YouTube EDU を無効化できます。

これは、Snort 3 では利用できない Snort 2 の機能であることに注意してください。

アップグレード後に設定をやり直す必要があります。

廃止：FlexConfig を使用したクラスタのヘルスモニターの設定。

Management Center の Web インターフェイスからクラスタのヘルスモニター設定を編集できるようになりました。編集すると、展開は許可されますが、既存の FlexConfig 設定が優先されることが警告されます。

アップグレード後に設定をやり直す必要があります。

廃止：FlexConfig を使用した BGP の BFD。

Management Center の Web インターフェイスから BGP ルーティングの Bidirectional Forwarding Detection（BFD）を設定できるようになりました。この設定をすると、廃止された FlexConfig を削除するまで展開できません。

アップグレード後に設定をやり直す必要があります。

廃止：FlexConfig を使用した ECMP ゾーン。

FlexConfig から EMCP ゾーン設定を Web インターフェイス管理に簡単に移行できるようになりました。移行後は、廃止された FlexConfig を削除するまで展開できません。

アップグレード後に設定をやり直す必要があります。

廃止：FlexConfig を使用した VXLAN インターフェイス。

FlexConfig から VXLAN インターフェイス設定を Web インターフェイス管理に簡単に移行できるようになりました。移行後は、廃止された FlexConfig を削除するまで展開できません。

Cisco Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正（FEC）が、25 GB+ SR、CSR、および LR トランシーバの第 74 条 FC-FEC から第 108 条 RS-FEC に変更されました。

詳細については、「Secure Firewall Management Center Command Line Reference」と、Cisco Secure Firewall Threat Defense コマンドリファレンス を参照してください。

アクセス制御のパフォーマンスの向上（オブジェクトの最適化）。

アップグレードの影響。7.2.4 ～ 7.2.5 への Management Center アップグレード後の最初の展開には時間がかかり、デバイスの CPU 使用率が高くなる可能性があります。

必要最低限の Threat Defense：任意

Firepower 1010E。

必要最低限の Threat Defense：7.2.3

Cisco Secure Firewall 3100 のハードウェアバイパス（「fail-to-wire」）ネットワークモジュール。

Cisco Secure Firewall 3100 向けに次のハードウェア バイパス ネットワーク モジュールが導入されました。

• 6 ポート 1 G SFP ハードウェア バイパス ネットワーク モジュール、SX（マルチモード）（FPR-X-NM-6X1SX-F）

• 6 ポート 10 G SFP ハードウェア バイパス ネットワーク モジュール、SR（マルチモード）（FPR-X-NM-6X10SR-F）

• 6 ポート 10 G SFP ハードウェア バイパス ネットワーク モジュール、LR（シングルモード）（FPR-X-NM-6X10LR-F）

• 6 ポート 25 G SFP ハードウェア バイパス ネットワーク モジュール、SR（マルチモード）（FPR-X-NM-X25SR-F）

• 6 ポート 25 G ハードウェア バイパス ネットワーク モジュール、LR（シングルモード）（FPR-X-NM-6X25LR-F）

• 8 ポート 1 G 銅ケーブル ハードウェア バイパス ネットワーク モジュール（銅ケーブル）（FPR-X-NM-8X1G-F）

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）]

詳細については、「Inline Sets and Passive Interfaces」を参照してください。

KVM の仮想 Threat Defense を備えた Intel イーサネット ネットワーク アダプタ E810-CQDA2 ドライバ。

KVM の仮想 Threat Defense で Intel イーサネット ネットワーク アダプタ E810-CQDA2 ドライバをサポートするようになりました。

詳細については、「Getting Started with Secure Firewall Threat Defense Virtual and KVM」を参照してください。

プラットフォーム

Alibaba 向け Management Center Virtual および Threat Defense Virtual。

Alibaba 向けの Secure Firewall Management Center Virtual および Secure Firewall Threat Defense が導入されました。Management Center を使用して、Alibaba 向け Threat Defense Virtual を管理する必要があります。デバイスマネージャーはサポートされていません。

Alibaba インフラストラクチャの根本的な問題により、Threat Defense Virtual のインスタンスタイプ ecs.g5ne.4xLarge は、特に 1 秒あたりの接続数（CPS）に関してパフォーマンスが低いことに注意してください。2xlarge または 4xlarge を推奨します。

スナップショットで AWS および Azure 向け Threat Defense Virtual をすばやく展開できます。

AWS または Azure インスタンスの Threat Defense Virtual のスナップショットを作成し、そのスナップショットを使用して新しいインスタンスをすばやく展開できるようになりました。この機能により、AWS および Azure の自動スケールソリューションのパフォーマンスも向上します。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

クラウド管理型の脅威防御デバイス向けの分析モード。

バージョン 7.2 と同時に、Cisco クラウド提供型 Firewall Management Center を導入しました。クラウド提供型 Firewall Management Center は、Cisco Defense Orchestrator（CDO）プラットフォームを使用して、複数の Cisco セキュリティソリューションの管理を統合します。更新についてはシスコが行います。

お客様が導入したハードウェアおよびバージョン 7.2 以降を実行している仮想管理センターでは、クラウド管理型の脅威防御デバイスを「共同管理」できますが、用途はイベントのロギングと分析に限られます。お客様が導入した管理センターからこれらのデバイスにポリシーを展開することはできません。

新規/変更された画面：

• クラウド管理型デバイスをお客様が導入した管理センターに追加する場合は、新しい [CDO管理対象デバイス（CDO Managed Device）] チェックボックスをオンにして、それが分析専用であることを指定します。

• [デバイス（Devices）] > [デバイス管理（Device Management）] を選択すると、分析専用のデバイスが表示されます。

新規/変更された CLI コマンド：configure manager add 、configure manager delete 、configure manager edit 、show managers

詳細については、Cisco Defense Orchestrator のクラウド提供型ファイアウォール管理センターを使用した Firewall Threat Defense の管理を参照してください。

Firewall 4100 のネットワークモジュール。

Firewall 4100 向けに次のネットワークモジュールが導入されました。

• 2 ポート 100 ギガビットイーサネット QSFP28（FPR4K-NM-2X100G）

• 4 ポート 100 ギガビットイーサネット QSFP28（FPR4K-NM-4X100G）

ISA 3000 によるシャットダウンのサポート。

ISA 3000 のシャットダウンのサポートが再開されました。この機能はバージョン 7.0.2 で導入されましたが、バージョン 7.1 で一時的に廃止になりました。

高可用性/拡張性

パブリッククラウドとプライベートクラウドの両方で Threat Defense Virtual のクラスタリング。

次の Threat Defense Virtual プラットフォームのクラスタリングを設定できるようになりました。

• AWS 向け Threat Defense Virtual：16 ノードクラスタ

• GCP 向け Threat Defense Virtual：16 ノードクラスタ

• KVM 向け Threat Defense Virtual：4 ノードクラスタ

• VMware 向け Threat Defense Virtual：4 ノードクラスタ

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタの追加（Add Cluster）]

• [Devices] > [Device Management] > [More] メニュー

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）]

詳細については、「Clustering for Threat Defense Virtual in a Public Cloud」（AWS、GCP）または「Clustering for Threat Defense Virtual in a Private Cloud」（KVM、VMware）を参照してください。

16 ノードクラスタのサポート。

次のプラットフォームに 16 ノードクラスタを設定できるようになりました。

• Firepower 4100/9300

• AWS 向け Threat Defense Virtual

• GCP 向け Threat Defense Virtual

Cisco Secure Firewall 3100 では、依然として 8 ノードしかサポートされません。

詳細については、「Clustering for the Firepower 4100/9300」または「Clustering for Threat Defense Virtual in a Public Cloud」を参照してください。

AWS ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケール。

CloudFormation テンプレートを使用して、AWS ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケールをサポートするようになりました。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

GCP 向け Threat Defense Virtual の自動スケール。

GCP の内部ロードバランサ（ILB）と GCP 外部ロードバランサ（ELB）の間に Threat Defense Virtua インスタンスグループを配置することにより、GCP 向け Threat Defense Virtua の自動スケールをサポートするようになりました。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

インターフェイス

Firepower 2100 および Cisco Secure Firewall 3100 で LLDP をサポート。

Firepower 2100 および Cisco Secure Firewall 3100 シリーズのインターフェイスで Link Layer Discovery Protocol（LLDP）を使用できるようになりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [LLDP]

新規/変更されたコマンド：show lldp status 、show lldp neighbors 、show lldp statistics

詳細については、「Interface Overview」を参照してください。

Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止。

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [ネットワーク接続（Network Connectivity）]

詳細については、「Interface Overview」を参照してください。

Cisco Secure Firewall 3130 および 3140 のブレークアウトポート。

Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。

新規/変更された画面： [デバイス（Devices）] > [デバイス管理（Device Management）] > [シャーシの操作（Chassis Operations）]

詳細については、「Interface Overview」を参照してください。

Management Center の Web インターフェイスから VXLAN を設定。

Management Center の Web インターフェイスを使用して VXLAN インターフェイスを設定できるようになりました。VXLAN は、レイヤ 2 ネットワークを拡張するためにレイヤ 3 物理ネットワーク上のレイヤ 2 仮想ネットワークとして機能します。

以前のバージョンで FlexConfig を使用して VXLAN インターフェイスを設定した場合、それらは引き続き機能します。実際、この場合は FlexConfig が優先されます。Web インターフェイスで VXLAN 設定をやり直す場合は、FlexConfig 設定を削除します。

新規/変更された画面：

• VTEP ソースインターフェイスは次の順にアクセスし、設定します：[デバイス（Devices）] > [デバイスの管理（Device Management）] > [VTEP]

• VNI インターフェイスは次の順にアクセスし、設定します。[デバイス（Devices）] > [デバイスの管理（Device Management）] > [インターフェイス（Interfaces）] > [VPNインターフェイスを追加（Add VNI Interface）]

詳細については、「Regular Firewall Interfaces」を参照してください。

NAT

一度に複数の NAT ルールの有効化、無効化、削除が可能。

複数の NAT ルールを選択して、すべてを同時に有効化、無効化、または削除できます。有効化および無効化の対象は手動 NAT ルールのみです。削除はすべての NAT ルールが対象になります。

詳細については、「Network Address Translation」を参照してください。

VPN

RA VPN 接続プロファイル用の証明書と SAML 認証。

RA VPN 接続プロファイル用の証明書と SAML 認証をサポートするようになりました。SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。

新規/変更された画面：RA VPN ポリシーの接続プロファイルの認証方法を選択するときに、[証明書とSML（Certificate & SAML）] オプションを選択できるようになりました。

詳細については、「Remote Access VPN」を参照してください。

ハブアンドスポークトポロジを使用したルートベースのサイト間 VPN。

ハブアンドスポークトポロジでのルートベースのサイト間 VPN のサポートが追加されました。以前は、このトポロジはポリシーベース（暗号マップ）VPN のみをサポートしていました。

新規/変更された画面：新しい VPN トポロジを追加し、[ルートベース(VTI)（Route Based (VTI)）] を選択すると、[ハブアンドスポーク（Hub and Spoke）] も選択できるようになりました。

詳細については、「Site-to-Site VPNs」を参照してください。

Cisco Secure Firewall 3100 の IPsec フローのオフロード。

Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

詳細については、「Site-to-Site VPNs」を参照してください。

ルーティング

Management Center の Web インターフェイスから EIGRP を設定。

Management Center の Web インターフェイスを使用して EIGRP を設定できるようになりました。デバイスのグローバル仮想ルータに属するインターフェイスでのみ EIGRP を有効にできることに注意してください。

以前のバージョンの FlexConfig を使用して EIGRP を設定した場合、アップグレード後の展開は可能ですが、Web インターフェイスで EIGRP の設定をやり直すように警告が表示されます。新しい設定を確認したら、廃止された FlexConfig オブジェクトまたは FlexConfig コマンドを削除できます。このプロセスを支援するために、コマンドライン移行ツールが用意されています。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [EIGRP]

詳細については、「EIGRP」およびFlexConfig ポリシーの移行を参照してください。

Firepower 1010 で仮想ルータをサポート。

Firepower 1010 で最大 5 つの仮想ルータを構成できるようになりました。

詳細については、「Virtual Routers」を参照してください。

ユーザー定義の仮想ルータで VTI をサポート。

仮想トンネルインターフェイスをユーザー定義の仮想ルータに割り当てることができるようになりました。これまでは、VTI はグローバル仮想ルータにしか割り当てることができませんでした。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [仮想ルータのプロパティ（Virtual Router Properties）]

詳細については、「Virtual Routers」を参照してください。

パスのモニタリングによるポリシーベースのルーティング。

パスのモニタリング機能を使用して、デバイスの出力インターフェイスのパフォーマンスメトリック（RTT、ジッター、パケット損失、MOS）を収集できるようになりました。次に、収集したメトリックを使用して、ポリシーベースのルーティングの最適なパスを決定できます。

新規/変更された画面：

• パスモニタリングを有効にし、収集するメトリックを選択するには、 [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [パスモニタリング（Path Monitoring）] に移動します。

• ポリシーベースのルートを追加して転送アクションを指定する際、新規の [インターフェイスの順位付け（Interface Ordering）] オプションを使用します（ [デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [ポリシーベースルーティング（Policy Based Routing）]）。

• 各デバイスのヘルス モニタリング ダッシュボードでパスメトリックを監視します（システム（） > [ヘルス（Health）] > [モニター（Monitor）] > [ダッシュボードの追加（add dashboard）] > [インターフェイス: パスメトリック（Interface - Path Metrics）]）。

新規/変更された CLI コマンド：show policy route 、show path-monitoring 、clear path-monitoring

詳細については、「Policy Based Routing」を参照してください。

脅威インテリジェンス

Cisco Umbrella からの DNS ベースの脅威インテリジェンス。

Cisco Umbrella から定期的に更新される情報を使用して、DNS ベースのセキュリティ インテリジェンスをサポートするようになりました。二重の保護として、ローカル DNS ポリシーと Umbrella DNS ポリシーの両方を使用できます。

新規/変更された画面：

• Umbrella への接続の設定：[統合（Integration）] > [その他の統合（Other Integrations）] > [クラウドサービス（Cloud Services）] > [Cisco Umbrella接続（Cisco Umbrella Connection）]

• Umbrella DNS ポリシーの設定：[ポリシー（Policies）] > [DNS] > [DNSポリシーを追加（Add DNS Policy）] > [Umbrella DNAポリシー（Umbrella DNA Policy）]

• Umbrella DNS ポリシーのアクセスコントロールへの関連付け：[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [ポリシーを編集（Edit Policy）] > [セキュリティインテリジェンス（Security Intelligence）] > [Umbrella Cisco DNSポリシー（Umbrella Cisco DNS Policy）]

詳細については、「DNS Policies」を参照してください。

Amazon GuardDuty からの IP ベースの脅威インテリジェンス。

AWS の Management Center Virtual と統合している場合、Amazon GuardDuty によって検出された悪意のある IP アドレスに基づいてトラフィックを処理できるようになりました。カスタム セキュリティ インテリジェンス フィードまたは定期的に更新されるネットワーク オブジェクト グループを介して脅威インテリジェンスがシステムで活用され、ユーザーはそれをセキュリティポリシー内で使用できます。

詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

アクセス制御と脅威検出

動的オブジェクト管理：

• クラウド提供型 Cisco Secure 動的属性コネクタ

• オンプレミス Cisco Secure 動的属性コネクタ 2.0

バージョン 7.2 と同時に、Cisco Secure 動的属性コネクタの次の更新をリリースしました。

• クラウド提供型 Cisco Secure 動的属性コネクタ（CDO マネージドサービス）

  サポート対象管理センター：バージョン 7.1 以降およびクラウド提供型管理センター。

  サポート対象仮想/クラウドワークロード：AWS、Azure、Azure サービスタグ、Google Cloud Connector、GitHub、Office 365。

  詳細については、Managing the Cisco Secure Dynamic Attributes Connector with Cisco Defense Orchestrator」の章を参照してください。

• オンプレミス Cisco Secure 動的属性コネクタ 2.0

  サポート対象管理センター：バージョン 7.0 以降およびクラウド提供型管理センター。

  サポート対象仮想/クラウドワークロード：AWS、Azure、Azure サービスタグ、Google Cloud Connector、GitHub、Office 365、VMware。

  詳細については、Cisco Secure 動的属性コネクタ コンフィギュレーション ガイド 2.0 [英語] を参照してください。

Snort 3 デバイスで、インスペクションをバイパスするか、エレファントフローをスロットルします。

インスペクションの検出およびオプションでのバイパス、もしくはエレファントフローをスロットルできるようになりました。デフォルトでは、アクセス コントロール ポリシーは、システムが 1 GB/10 秒を超える暗号化されていない接続を検出したときにイベントを生成するように設定されています。レート制限は設定可能です。

Firepower 2100 シリーズでは、エレファントフローを検出できますが、インスペクションのバイパスやスロットルすることはできません。Snort 2 を実行しているデバイス、およびバージョン 7.1 以前を実行しているデバイスでは、引き続きインテリジェント アプリケーション バイパス（IAB）を使用します。

新規/変更された画面：[エレファントフローの設定（Elephant Flow Settings）] をアクセス コントロール ポリシーの [詳細（Advanced）] タブに追加しました。

詳細については、「Elephant Flow Detection」を参照してください。

Snort 3 デバイス向けの暗号化された可視性エンジン機能の拡張。

暗号化された可視性エンジン（EVE）に次の拡張機能が追加されています。

• EVE は、ホストが使用しているオペレーティングシステムを検出できます。これは、イベントとネットワークマップで報告されます。

• EVE は、高い信頼度で識別された EVE プロセスをアプリケーションに割り当てることでアプリケーション トラフィックを検出できます。これをアクセスコントロールルールで使用してネットワークトラフィックを制御できます。（バージョン 7.1 では、接続の EVE プロセスを見ることができましたが、その情報をもとに行動することはできませんでした。）

  さらに割り当てを追加するには、カスタムアプリケーションやカスタム アプリケーション ディテクタを作成します。カスタムディテクタに検出パターンを追加するときは、アプリケーションとして [暗号化された可視性エンジン（Encrypted Visibility Engine）] を選択します。次に、プロセス名と信頼度を指定します。

• EVE は QUIC トラフィックで動作するようになりました。

これらの機能拡張に伴い、次の接続イベントフィールドが変更されました。

この機能には脅威ライセンスが必要になりました。

詳細については、「Access Control Policies」および「Application Detection」を参照してください。

Snort 3 デバイスの TLS 1.3 インスペクション。

TLS 1.3 トラフィックのインスペクションがサポートされるようになりました。

新規/変更された画面：SSL ポリシーの [詳細設定（Advanced Settings）] タブに [TLS 1.3復号の有効化（Enable TLS 1.3 Decryption）] オプションが追加されました。なお、このオプションはデフォルトで無効になっています。

詳細については、「SSL Policies」を参照してください。

Snort 3 デバイスのポートスキャン検出の改善。

改良されたポートスキャンディテクタを使用すると、ポートスキャンを検出または防止するようにシステムを簡単に設定できます。保護するネットワークを絞り込んだり、感度を設定したりできます。Snort 2 を実行しているデバイス、およびバージョン 7.1 以前を実行しているデバイスの場合、ポートスキャン検出には引き続きネットワーク分析ポリシーを使用します。

新規/変更された画面：[脅威検出（Threat Detection）] をアクセス コントロール ポリシーの [詳細（Advanced）] タブに追加しました。

詳細については、「Threat Detection」を参照してください。

[ポリシー管理（Policy Management）]

アクセス コントロール ポリシーのロック。

アクセス コントロール ポリシーをロックして、他の管理者が編集できないようにすることが可能になりました。ポリシーをロックすると、変更を保存する前に別の管理者がポリシーを編集して変更を保存しても、変更が無効になることはありません。アクセス コントロール ポリシーを変更する権限を持つすべてのユーザーには、それをロックする権限があります。

ポリシーの編集時にポリシーをロックまたはロック解除するアイコンがポリシー名の横に追加されました。さらに、他の管理者によってロックされたポリシーのロックを解除できるようにする新しい権限（アクセス コントロール ポリシー ロックのオーバーライド）が追加されました。この権限は、デフォルトで管理者、アクセス管理者、およびネットワーク管理者のロールで有効になっています。

詳細については、「Access Control Policies」を参照してください。

オブジェクトグループ検索をデフォルトで有効化。

デバイスを Management Center に追加すると、[オブジェクトグループ検索（Object Group Search）] 設定がデフォルトで有効になるようになりました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [詳細設定（Advanced Settings）]

詳細については、「Device Management」を参照してください。

アクセス制御ルールのヒットカウントは再起動後も存続します。

管理対象デバイスを再起動しても、アクセス制御ルールのヒットカウントがゼロにリセットされなくなりました。カウンタを能動的にクリアした場合にのみ、ヒットカウントがリセットされます。さらに、カウントは HA ペアまたはクラスタ内の各ユニットによって個別に維持されます。show rule hits コマンドを使用して、HA ペアまたはクラスタ全体の累積カウンタを表示したり、ノードごとのカウントを表示したりできます。

新規/変更された CLI コマンド： show rule hits

詳細については、Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。

アクセス コントロール ポリシーのユーザビリティの改善。

アクセス コントロール ポリシーで使用できる新しいユーザーインターフェイスが追加されました。従来のユーザーインターフェイスを引き続き使用することも、新しいユーザーインターフェイスを試すこともできます。

新しいインターフェイスは、ルールリストのテーブルビューとグリッドビュー、列を表示または非表示にする機能、高度な検索機能、無限スクロール機能を備え、アクセス コントロール ポリシーが割り当てられたポリシーに関するパケットフローのビューがより明確になりました。また、ルール作成用の追加/編集ダイアログボックスがシンプルになりました。アクセス コントロール ポリシーの編集中に、従来のユーザーインターフェイスと新しいユーザーインターフェイスを自由に切り替えることができます。

詳細については、「Access Control Policies」を参照してください。

イベントロギングおよび分析

SecureX との統合、SecureX とのオーケストレーションの改善

この機能はバージョン 7.0.2 で導入され、バージョン 7.1 で一時的に廃止になりました。

詳細については、『Cisco Secure Firewall Management Center（7.0.2 および 7.2）および SecureX 統合ガイド』を参照してください。

セキュリティイベントのログを複数の Cisco Secure Network Analytics オンプレミスデータストアに記録。

Cisco Secure Network Analytics Data Store（マルチノード）との統合を設定する際、セキュリティイベント用に複数のフローコレクターを追加できるようになりました。各フローコレクターを、バージョン 7.0 以降を実行している 1 つ以上の Threat Defense デバイスに割り当てます。

新規/変更された画面：

• セットアップ：[統合（Integration）] > [セキュリティ分析とロギング（Security Analytics & Logging）] > [Secure Network Analytics Data Store]

• 変更：[統合（Integration）] > [セキュリティ分析およびロギング（Security Analytics & Logging）] > [デバイス割り当ての更新（Update Device Assignments）]

この機能には、Cisco Secure Network Analytics バージョン 7.1.4 が必要です。

詳細については、『Cisco Security Analytics and Logging（オンプレミス）：ファイアウォールイベント統合ガイド』を参照してください。

データベースアクセスの変更。

10 個の新しいテーブルを追加し、1 個のテーブルを廃止し、6 個のテーブルで結合を禁止しました。また、Snort 3 サポートのためにさまざまなテーブルにフィールドを追加し、可読形式でタイムスタンプと IP アドレスを提供しました。

詳細については、『Cisco Secure Firewall Management Center Database Access Guide, Version 7.2』の新機能のトピックを参照してください。

eStreamer の変更。

新しい Python ベースの参照クライアントが SDK に追加されました。また、完全修飾イベントをリクエストできるようになりました。

詳細については、『Cisco Secure Firewall Management Center Event Streamer Integration Guide, Version 7.2』の新機能のトピックを参照してください。

アップグレード

デバイス間のアップグレードパッケージのコピー（「ピアツーピア同期」）。

詳細については、「Copy Threat Defense Upgrade Packages between Devices」を参照してください。

Threat Defense のアップグレード完了後の Snort 3 への自動アップグレード。

単一ノードクラスタのアップグレード。

CLI からの Threat Defense アップグレードの復元。

必要最低限の Threat Defense：7.2

詳細については、「Revert the Upgrade」を参照してください。

管理とトラブルシューティング

Secure Firewall 3100 のパケットドロップ統計。

新しい show packet-statistics 脅威防御 CLI コマンドは、ポリシーに関連しないパケットドロップに関する包括的な情報を表示します。これまでは、いくつかのコマンドを使用してこの情報を表示する必要がありました。

詳細については、『Cisco Secure Firewall Threat Defense コマンドリファレンス』を参照してください。

DNS 要求を解決するための複数の DNS サーバーグループ。

クライアントシステムからの DNS 要求を解決するために、複数の DNS グループを設定できます。これらの DNS サーバー グループを使用して、さまざまな DNS ドメインの要求を解決できます。たとえば、インターネットへの接続で使用するために、パブリック DNS サーバーを使用するキャッチオールのデフォルトグループを作成できます。次に、example.com ドメイン内のマシンへの接続など、内部トラフィックに内部 DNS サーバーを使用する別のグループを構成できます。したがって、組織のドメイン名を使用した FQDN への接続は、内部 DNS サーバーを使用して解決されますが、パブリックサーバーへの接続は外部 DNS サーバーを使用します。

新規/変更された画面： [プラットフォーム設定（Platform Settings）] > [DNS]

詳細については、「Platform Settings」を参照してください。

使用タイプごとに脅威防御を使用して証明書の検証を設定します。

トラストポイント（脅威防御デバイス）で検証が許可される使用タイプを指定できるようになりました：IPsec クライアント接続、SSL クライアント接続、および SSL サーバー証明書。

新規/変更された画面：証明書登録オブジェクトに [検証の使用（Validation Usage）] オプションを追加しました：[オブジェクト（Objects）] > [オブジェクトマネージャ（Object Manager）] > [PKI] > [証明書の登録（Cert Enrollment）]。

詳細については、「オブジェクト管理」を参照してください。

展開で管理接続が失われた場合の自動ロールバック。

展開によって Management Center と Threat Defense 間の管理接続がダウンした場合に備えて、設定の自動ロールバックを有効にできるようになりました。以前は、configure policy rollback コマンドを使用して手動で設定をロールバックすることしかできませんでした。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [展開設定（Deployment Settings）]

• [展開（Deploy）] > [高度な展開（Advanced Deploy）] > [プレビュー（Preview）]

• [展開（Deploy）] > [展開履歴（Deployment History）] > [プレビュー（Preview）]

詳細については、「Device Management」を参照してください。

設定の変更を展開するときに、レポートを生成して電子メールで送信します。

任意の展開タスクのレポートを生成できるようになりました。このレポートには、展開された設定に関する詳細が含まれています。

新規/変更されたページ：[展開（Deploy）] > [展開履歴（Deployment History）][アイコン（icon）]その他（）[全般的なレポート（Generate Report）]。

詳細については、「Configuration Deployment」を参照してください。

GeoDB を 2 つのパッケージに分割。

詳細については、「Updates」を参照してください。

Web インターフェイスのフランス語オプション。

Management Center の Web インターフェイスをフランス語に切り替えることができるようになりました。

新規/変更された画面：システム（） > [設定（Configuration）] > [言語（Language）]

詳細については、「System Configuration」を参照してください。

Web インターフェイスの変更：展開とユーザー アクティビティの統合。

バージョン 7.2 では、すべてのケースで以下の Management Center メニューオプションが変更されています。

Web インターフェイスの変更：SecureX、脅威インテリジェンス、およびその他の統合。

バージョン 7.0.1 以前、またはバージョン 7.1 からアップグレードする場合、バージョン 7.2 では Management Center のメニューオプションが変更されます。

Management Center REST API

Management Center REST API サービス/操作。

FMC REST API の変更の詳細については、REST API クイックスタートガイド [英語] の「What's New in 7.2」を参照してください。

廃止：FlexConfig を使用した EIGRP。

Management Center の Web インターフェイスから EIGRP ルーティングを設定できるようになりました。

次の FlexConfig オブジェクトは不要になりました：Eigrp_Configure、Eigrp_Interface_Configure、Eigrp_Unconfigure、Eigrp_Unconfigure_all。

および、次の関連するテキストオブジェクトが廃止されました：eigrpAS、eigrpNetworks、eigrpDisableAutoSummary、eigrpRouterId、eigrpStubReceiveOnly、eigrpStubRedistributed、eigrpStubConnected、eigrpStubStatic、eigrpStubSummary、eigrpIntfList、eigrpAS、eigrpAuthKey、eigrpAuthKeyId、eigrpHelloInterval、eigrpHoldTime、eigrpDisableSplitHorizon。

システムでは、アップグレード後に展開できますが、EIGRP 構成をやり直すように警告されます。このプロセスを支援するために、コマンドライン移行ツールが用意されています。詳細については、「Migrating FlexConfig Policies」を参照してください。

廃止：FlexConfig を使用した VXLAN。

Management Center の Web インターフェイスから VXLAN インターフェイスを設定できるようになりました。

次の FlexConfig オブジェクトは不要になりました：VxLAN_Clear_Nve、VxLAN_Clear_Nve_Only、VxLAN_Configure_Port_And_Nve、VxLAN_Make_Nve_Only、VxLAN_Make_Vni。

これらの関連するテキストオブジェクト：vxlan_Port_And_Nve、vxlan_Nve_Only、vxlan_Vni。

以前のバージョンで FlexConfig を使用して VXLAN インターフェイスを設定した場合、それらは引き続き機能します。実際、この場合は FlexConfig が優先されます。Web インターフェイスで VXLAN 設定をやり直す場合は、FlexConfig 設定を削除します。

廃止：アップグレード前の自動トラブルシューティング。

詳細については、Management Center アドミニストレーション ガイドの「Firepower Management Center Command Line Reference」と、Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。

プラットフォーム

Cisco Secure Firewall 3100

Cisco Secure Firewall 3110、3120、3130、および 3140 が導入されました。

ファイアウォールの電源が入っているときに、再起動することなく、同じタイプのネットワークモジュールをホットスワップできます。他のモジュールの変更を行う場合には、再起動が必要です。Secure Firewall 3100 25 Gbps インターフェイスは、Forward Error Correction と、インストールされている SFP に基づく速度検出をサポートします。SSD は自己暗号化ドライブ（SED）です。SSD が 2 つある場合、ソフトウェア RAID を形成します。これらのデバイスはスパンド EtherChannel クラスタリング用に最大 8 つのユニットをサポートします。

バージョン 7.1.0 リリースには、これらのデバイスのオンラインヘルプが含まれていないことに注意してください。バージョン 7.1.0.2 には、新しいオンラインヘルプが含まれています。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタの追加（Add Cluster）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [詳細（More）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [シャーシの操作（Chassis Operations）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > 物理インターフェイスを編集 > [ハードウェア構成（Hardware Configuration）]

• [デバイス（Devices）] > [デバイス管理（Device Management）]

新規/変更された FTD CLI コマンド： configure network speed 、configure raid 、show raid 、show ssd

AWS 用 FMCv300

OCI 用 FMCv300

AWS と OCI の両方に対応する FMCv300 が導入されました。FMCv300 は、最大 300 台のデバイスを管理できます。

AWS 用 FTDv のインスタンス。

AWS 用 FTDv により、次のインスタンスのサポートが追加されています。

• c5a.xlarge、c5a.2xlarge、c5a.4xlarge

• c5ad.xlarge、c5ad.2xlarge、c5ad.4xlarge

• c5d.xlarge、c5d.2xlarge、c5d.4xlarge

• c5n.xlarge、c5n.2xlarge、c5n.4xlarge

• i3en.xlarge、i3en.2xlarge、i3en.3xlarge

• inf1.xlarge、inf1.2xlarge

• m5.xlarge、m5.2xlarge、m5.4xlarge

• m5a.xlarge、m5a.2xlarge、m5a.4xlarge

• m5ad.xlarge、m5ad.2xlarge、m5ad.4xlarge

• m5d.xlarge、m5d.2xlarge、m5d.4xlarge

• m5dn.xlarge、m5dn.2xlarge、m5dn.4xlarge

• m5n.xlarge、m5n.2xlarge、m5n.4xlarge

• m5zn.xlarge、m5zn.2xlarge、m5zn.3xlarge

• r5.xlarge、r5.2xlarge、r5.4xlarge

• r5a.xlarge、r5a.2xlarge、r5a.4xlarge

• r5ad.xlarge、r5ad.2xlarge、r5ad.4xlarge

• r5b.xlarge、r5b.2xlarge、r5b.4xlarge

• r5d.xlarge、r5d.2xlarge、r5d.4xlarge

• r5dn.xlarge、r5dn.2xlarge、r5dn.4xlarge

• r5n.xlarge、r5n.2xlarge、r5n.4xlarge

• z1d.xlarge、z1d.2xlarge、z1d.3xlarge

Azure 用 FTDv のインスタンス。

Azure 用 FTDv により、次のインスタンスのサポートが追加されています。

• Standard_D8s_v3

• Standard_D16s_v3

• Standard_F8s_v2

• Standard_F16s_v2

FDM を使用して、FMC による管理用に FTD を設定します。

デバイスのアップグレード

正常なデバイスアップグレードを元に戻します。

必要最低限の FTD：7.1

クラスタ化された高可用性デバイスのアップグレードワークフローの改善。

クラスタ化された高可用性デバイスのアップグレードワークフローが次のように改善されました。

• アップグレードウィザードは、個々のデバイスとしてではなく、グループとして、クラスタ化された高可用性ユニットを正しく表示するようになりました。システムは、発生する可能性のあるグループ関連の問題を特定し、報告し、事前に修正を要求できます。たとえば、Firepower Chassis Manager で非同期の変更を行った場合は、Firepower 4100/9300 のクラスタをアップグレードできません。

• アップグレードパッケージをクラスタおよび高可用性ペアにコピーする速度と効率が向上しました。以前は、FMC はパッケージを各グループメンバーに順番にコピーしていました。これで、グループメンバーは通常の同期プロセスの一部として、相互にパッケージを取得できるようになりました。

• クラスタ内のデータユニットのアップグレード順序を指定できるようになりました。コントロールユニットは常に最後にアップグレードされます。

Snort 3 の場合、新しい機能と解決済みのバグでは、FMC とその管理対象デバイスを完全にアップグレードしている必要があります。Snort 2 とは異なり、新しい FMC（たとえば、バージョン 7.1）から展開して、古いデバイス（たとえば、バージョン 7.0）の検査エンジンを更新することはできません。

古いデバイスに展開すると、サポートされない設定が一覧表示され、それらの設定がスキップされることが警告されます。環境全体を常に更新することをお勧めします。

デバイス管理

AWS インスタンスでの FTDv に対する Geneve インターフェイスサポート。

AWS ゲートウェイロードバランサ（GWLB）のシングルアームプロキシをサポートするために、Geneve カプセル化サポートが追加されました。AWS GWLB は、透過的なネットワークゲートウェイ（全トラフィックの唯一の出入口）と、トラフィックを分散し、トラフィックの需要に合わせて FTDv を拡張するロードバランサを組み合わせます。

このサポートには、Snort 3 が有効になっている FMC が必要であり、次のパフォーマンス階層で利用できます。

• FTDv20

• FTDv30

• FTDv50

• FTDv100

OCI 上の FTDv に対する Single Root I/O Virtualization（SR-IOV）のサポート

OCI 上の FTDv に Single Root Input/Output Virtualization（SR-IOV）を実装できるようになりました。SR-IOV により、FTDv のパフォーマンスを向上させることができます。SR-IOV モードでの vNIC としての Mellanox 5 はサポートされていません。

Firepower 1100 の LLDP サポート。

インターフェイスの自動ネゴシエーションが速度とデュプレックスから独立して設定されるようになり、インターフェイスの同期が改善されました。

信頼された DNS サーバの指定のサポート。

デバイス設定のインポート/エクスポート。

高可用性/拡張性

高可用性

• AWS 用 FMCv

• OCI 用 FMCv

AWS 用 FMCv および OCI 用 FMCv で高可用性がサポートされるようになりました。

FTD の展開では、2 つの同一ライセンスの FMC と、各管理対象デバイスに 1 つの FTD 権限が必要です。たとえば、FMCv10 高可用性ペアで 10 台の FTD デバイスを管理するには、2 個の FMCv10 権限と 10 個の FTD 権限が必要です。バージョン 6.5.0 ～ 7.0.x のクラシックデバイス（NGIPSv または ASA FirePOWER）のみを管理している場合は、FMCv 権限は必要ありません。

サポートされるプラットフォーム：FMCv10、FMCv25、FMCv300（FMCv2 ではサポートされません）

OCI 用 FTDv の自動スケール。

OCI 用 FTDv で自動スケーリングがサポートされるようになりました。

クラウドベースの展開におけるサーバレス インフラストラクチャでは、キャパシティのニーズに基づいて、自動スケールグループ内の FTDv インスタンスの数が自動的に調整されます。これには、管理側の FMC との自動登録/登録解除が含まれています。

ファイアウォールの変更に対するクラスタの展開がより迅速に完了します。

ハイアベイラビリティ グループまたはクラスタ内のルートのクリア。

NAT

変換後の宛先としての完全修飾ドメイン名（FQDN）オブジェクトの手動 NAT サポート。

www.example.com を指定する FQDN ネットワークオブジェクトを、手動 NAT ルールの変換後の宛先アドレスとして使用できます。システムでは、DNS サーバーから返された IP アドレスに基づいてルールが設定されます。

ルーティング

仮想ルータを相互接続するための BGP 設定。

ユーザー定義の仮想ルータ間、およびグローバル仮想ルータとユーザー定義の仮想ルータ間でルートを動的にリークするように BGP 設定を構成できます。ルートのインポートおよびエクスポート機能が導入され、仮想ルータにルートターゲットのタグを付け、必要に応じて、一致したルートをルートマップでフィルタリングすることにより、仮想ルータ間でルートを交換します。この BGP 機能は、ユーザー定義の仮想ルータを選択した場合にのみ利用できます。

新規/変更された画面：選択したユーザー定義の仮想ルータについて、 [デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [BGPv4/v6] > [ルートのインポート/エクスポート（Route Import/Export）]

ユーザー定義の仮想ルータでの BGPv6 サポート。

FTD は、ユーザー定義の仮想ルータでの BGPv6 の設定をサポートするようになりました。

新規/変更された画面：選択したユーザー定義の仮想ルータについて、 [デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [BGPv6]

Equal-Cost-Multi-Path（ECMP）ゾーンのサポート。

トラフィックゾーンのインターフェイスをグループ化し、FMC で Equal-Cost-Multi-Path（ECMP）ルーティングを設定できるようになりました。

ECMP ルーティングは、以前は FlexConfig ポリシーを通じてサポートされていました。

新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [ECMP]

ダイレクト インターネット アクセス/ポリシーベースルーティング

ポリシーベースルーティングによるダイレクト インターネット アクセス。

FMC を介してポリシーベースルーティングを設定して、アプリケーションに基づいてネットワークトラフィックを分類し、ダイレクト インターネット アクセス（DIA）を実装して、ブランチ展開からインターネットにトラフィックを送信できるようになりました。PBR ポリシーを定義し、入力インターフェイスに設定して、一致基準と出力インターフェイスを指定できます。アクセス コントロール ポリシーに一致するネットワークトラフィックは、ポリシーで設定されている優先順位または順序に基づいて、出力インターフェイスを介して転送されます。

新規/変更された画面：ポリシー ベース ルーティング ポリシーを設定するための新しいポリシーページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [ポリシーベースルーティング（Policy Based Routing）]

サポートされるプラットフォーム：FTD

ダイレクト インターネット アクセスとポリシーベースルーティングのための FMC REST API の機能拡張。

FMC REST API を使用して、ポリシーベースルーティングによるダイレクト インターネット アクセスを設定できます。これをサポートするために、FMC REST API に次の機能拡張が加えられました。

• ポリシーベースルーティング設定を作成、表示、編集、および削除できるようにする新しい API が追加されました。

• アプリケーションを定義する拡張アクセス制御リストの既存の API に新しいパラメータが追加されました。

• インターフェイスの優先順位を定義するデバイスインターフェイスの既存の API に新しいパラメータが追加されました。

リモートアクセス VPN

RA VPN ポリシーのコピー。

既存のポリシーをコピーして、新しい RA VPN ポリシーを作成できるようになりました。[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）]の各ポリシーの横にコピーボタンが追加されました。

AnyConnect VPN SAML 外部ブラウザ。

AnyConnect VPN SAML 外部ブラウザを設定して、パスワードなしの認証、WebAuthN、FIDO、SSO、U2F、Cookie の永続性による SAML エクスペリエンスの向上など、追加の認証の選択肢を有効にできるようになりました。リモートアクセス VPN 接続プロファイルのプライマリ認証方式として SAML を使用する場合は、AnyConnect クライアントが AnyConnect 組み込みブラウザではなく、クライアントのローカルブラウザを使用して Web 認証を実行するように選択できます。このオプションは、VPN 認証と他の企業ログインの間のシングルサインオン（SSO）を有効にします。また、生体認証や Yubikeys など、埋め込みブラウザでは実行できない Web 認証方法をサポートする場合は、このオプションを選択します。

リモートアクセス VPN 接続プロファイルウィザードが更新され、SAML ログインエクスペリエンスを設定できるようになりました。

Microsoft Azure 上の SAML ID プロバイダーにおける複数のトラストポイント。

Microsoft Azure の要求に応じて、SAML ID プロバイダーに複数の RA VPN トラストポイントを追加できるようになりました。

Microsoft Azure ネットワークでは、Azure は同じエンティティ ID に対して複数のアプリケーションをサポートできます。（通常は別のトンネルグループにマップされる）各アプリケーションには、一意の証明書が必要です。この機能により、Microsoft Azure 向け FTDv で RA VPN に複数のトラストポイントを追加できます。

サイト間 VPN

VPN フィルタ。

トンネリングされたデータパケットを、送信元アドレス、宛先アドレス、プロトコルなどの基準によって許可するか拒否するかを決定するルールを使用して、サイト間 VPN フィルタを設定できるようになりました。

VPN フィルタは、トンネルから出た後の復号化後のトラフィックと、トンネルに入る前の暗号化前のトラフィックに適用されます。

IKEv2 の一意のローカルトンネル ID。

ポリシーベースとルートベースのサイト間 VPN の両方に IKEv2 トンネルごとのローカルトンネル ID を設定できるようになりました。FMC Web インターフェイスまたは REST API からローカルトンネル ID を設定できます。

このローカルトンネル ID 設定により、FTD との Umbrella SIG 統合が可能になります。

複数の IKE ポリシー。

ポリシーベースとルートベースのサイト間 VPN の両方に複数の IKE ポリシーを設定できるようになりました。

FMC GUI および REST API を使用して複数の IKE ポリシーを設定できます。

VPN 監視ダッシュボード。

ベータ版。

サイト間 VPN 監視ダッシュボードは次の機能を提供します。

• 全デバイスのトンネルステータス分布の可視化

• VPN トンネルで構成されるネットワークトポロジの可視化

• トポロジ、デバイス、ステータスなどの基準に基づいてトンネルを視覚的に切り離して調べる機能

Snort 3 では、IP アドレスが HTTP リクエストに埋め込まれている HTTP プロキシトラフィックにセキュリティ インテリジェンスを適用できるようになりました。たとえば、ユーザーが IP アドレスまたはネットワークを含むブロックリストまたは許可リストをアップロードすると、システムはプロキシ IP ではなく宛先サーバーの IP を照合します。その結果、宛先サーバーへのトラフィックを（セキュリティ インテリジェンスの設定に応じて）ブロック、監視、または許可することができます。

侵入検知と防御

バージョン 7.1 FMC は、バージョン 7.0 デバイスを含む、Snort 3 を使用した FTD デバイスで次の侵入ルールアクションをサポートするようになりました。

• ドロップ：一致するパケットをドロップし、この接続でそれ以上のトラフィックをブロックしません。侵入イベントを生成します。

• 拒否：一致するパケットをドロップし、この接続の以降のトラフィックもブロックします。TCP トラフィックの場合、TCP リセットを送信します。UDP トラフィックの場合、送信元および宛先ホストに ICMP ポート到達不能を送信します。侵入イベントを生成します。

• 書き換え：ルールの置換オプションに基づいて一致するパケットを上書きします。侵入イベントを生成します。

• パス：一致するパケットが他の侵入ルールによる評価なしで通過することを許可します。侵入イベントを生成しません。

これらの新しいルールアクションを設定するには、侵入ポリシーの Snort 3 バージョンを編集し、各ルールの [ルールアクション（Rule Action）] ドロップダウンを使用します。

TLS ベースの侵入ルールに対する Snort 3 のサポート。

Snort 3 で復号化された TLS トラフィックを検査する TLS ベースの侵入ルールを作成できるようになりました。この機能により、Snort 3 侵入ルールで TLS 情報を使用できます。

SMB2 上の DCE/RPC のインスペクションに対する Snort 3 のサポート。

アップグレードの影響。

Snort 3 を使用したバージョン 7.1 は、SMB2 での DCE/RPC インスペクションをサポートします。

Snort 3 デバイスへの最初のアップグレード後の展開の後、既存の DCE/RPC ルールは、SMB2 での DCE/RPC の検査を開始します。以前は、これらのルールは SMB1 での DCE/RPC のみを検査していました。

侵入ルールの推奨に対する Snort 3 のサポート。

バージョン 7.1 FMC は、バージョン 7.0 デバイスを含む、Snort 3 を使用した FTD デバイスで侵入ルールの推奨をサポートするようになりました。

この機能を設定するには、侵入ポリシーの Snort 3 バージョンを編集し、左側のペインの [すべてのルール（All Rules）] の横にある [推奨（Recommendations）] ボタンをクリックします。

ssl_version および ssl_state キーワードに対する Snort 3 のサポート。

アップグレードの影響。

Snort 3 を使用したバージョン 7.1 では、ssl_version および ssl_state 侵入ルールキーワードがサポートされています。

シスコが提供する侵入ポリシーには、これらのキーワードを使用するアクティブルールが含まれます。これらを使用して、カスタム/サードパーティルールを作成、アップロード、および展開することもできます。バージョン 7.0.x では、これらのキーワードは Snort 2 でのみサポートされていました。Snort 3 では、これらのキーワードを含むルールはトラフィックに一致しないため、アラートを生成したり、トラフィックに影響を与えたりすることはできませんでした。ルールが予期したとおりに機能していないという通知はありませんでした。バージョン 7.1 以降の Snort 3 デバイスへの最初のアップグレード後の展開の後、これらのキーワードを含む既存のルールはトラフィックと一致します。

Identity Services およびユーザー制御

HTTP/2 トラフィックのインターセプトに対する Snort 3 キャプティブポータルのサポート。

キャプティブポータルを使用したユーザー認証のために、HTTP/2 トラフィックをインターセプトしてリダイレクトできるようになりました。

ブラウザがリダイレクトを受信すると、ブラウザはリダイレクトに従い、HTTP/1 キャプティブポータルと同じプロセスを使用して idhttpsd（Apache Web サーバー）で認証します。認証後、idhttpsd によりユーザーは元の URL にリダイレクトされます。

ホスト名ベースのリダイレクトに対する Snort 3 キャプティブポータルのサポート。

ID ポリシールールのアクティブ認証を設定して、ユーザーの接続をデバイスに入力するインターフェイスの IP アドレスではなく、完全修飾ドメイン名（FQDN）にユーザーの認証をリダイレクトできます。

FQDN は、デバイス上のいずれかのインターフェイスの IP アドレスに解決される必要があります。FQDN を使用すると、クライアントが認識するアクティブ認証用の証明書を割り当てることができます。これにより、IP アドレスにリダイレクトされたときにユーザに表示される信頼できない証明書の警告を回避できます。証明書では、FQDN、ワイルドカード FQDN、または複数の FQDN をサブジェクト代替名（SAN）に指定できます。

新規/変更された画面：ID ポリシー設定に [ホスト名にリダイレクト（Redirect to Host Name）] オプションが追加されました。

暗号化トラフィックの処理（TLS/SSL）

拡張 TLS/SSL ポリシーオプション。

[SSLポリシー（SSL Policy）] ページの [詳細設定（Advanced Settings）] タブで、次の拡張 TLS/SSL ポリシーオプションを設定できるようになりました。

• ESNI（暗号化されたサーバー名識別）を要求するフローをブロックする

• HTTP/3 アドバタイズメントを無効にする

• 信頼できないサーバー証明書をクライアントに伝播する

暗号化されたセッションを可視化するための暗号化された可視性エンジン。

ベータ版。

暗号化された可視性エンジンを有効にすると、復号を必要とせずに暗号化されたセッションを可視化することができます。このエンジンによってトラフィックのフィンガープリントが収集され、分析されます。FMC 7.1 では、暗号化された可視性エンジンにより、TLS や QUIC などのプロトコルを含む暗号化されたトラフィックの可視性が向上します。そのトラフィックに対してアクションは適用されません。

暗号化された可視性エンジンは、デフォルトで無効になっています。これは、[実験段階の機能（Experimental Features）] セクションのアクセス コントロール ポリシーの [詳細（Advanced）] タブで有効にすることができます。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [Access Control Policy name] > [詳細（Advanced）]

初期接続の最大セグメントサイズ（MSS）を設定します。

サービスポリシーを設定して、初期接続制限に達したときに初期接続の SYN cookie を生成するためのサーバーの最大セグメントサイズ（MSS）を設定できます。これは、最大初期接続数も設定するサービスポリシーの場合に意味があります。

新規/変更された画面：[サービスポリシーの追加/編集（Add/Edit Service Policy）] ウィザードの [接続設定（Connection Settings）]。

ネットワークディスカバリ

ネットワーク検出とリモート ネットワーク アクセスのサポートの改善により、Snort 3 はこれらの機能について Snort 2 と同等になりました。強化された機能は次のとおりです。

• SMB トラフィックのホストとアプリケーションの検出：ネットワーク上の SMB トラフィックの場合、ホストはネットワークマップで検出され、SMB アプリケーションプロトコルと関連するオペレーティングシステム情報が検出されます。

• NetBIOS トラフィックの検出：NetBIOS トラフィックの場合、NetBIOS 名と、クライアント アプリケーションやオペレーティングシステムなどのアプリケーション関連情報が検出されます。

• ネットワーク検出ポリシーによって監視されるホスト/ネットワークのみのアプリケーションの検出：このフィルタリングロジックの機能拡張により、ネットワーク検出ルールに基づいて監視されているネットワークのアプリケーションを検出できます。

Snort 3 では、デフォルトですべてのネットワークに対してアプリケーション検出が常に有効になっています。

イベントロギングおよび分析

エレファントフローの識別とモニタリングに対する Snort 3 のサポート。

Snort 3 を実行する FTD では、エレファントフロー（システム全体のパフォーマンスに影響を与えるのに十分な大きさのシングルセッション ネットワーク接続）を識別できるようになりました。デフォルトでは、エレファントフローの検出は自動的に有効になり、1GB/10 秒を超える接続を追跡および記録します。

接続イベントの新しい定義済み検索（Reason = Elephant Flow）を使用すると、エレファントフローをすばやく特定できます。ヘルスモニタを使用して、デバイス上のアクティブなエレファントフローを表示し、エレファントフローの発生率を CPU 使用率などの他のデバイスメトリックと関連付けるカスタム ヘルス ダッシュボードを作成することもできます。

新規/変更された FTD CLI コマンド：

• show elephant-flow status

• show elephant-flow detection-config

• system support elephant-flow-detection enable

• system support elephant-flow-detection disable

• system support elephant-flow-detection bytes-threshold bytes-in-MB

• system support elephant-flow-detection time-threshold time-in-seconds

FMC からセキュアネットワーク分析クラウドに侵入イベントとレトロスペクティブ マルウェア イベントを送信します。

アップグレードの影響。

Cisco Security Analytics and Logging（SaaS）を使用してセキュリティイベントを Stealthwatch クラウドに送信するようにシステムを設定すると、FMC は次を送信します。

• 侵入イベント。これにより、リモートで保存された侵入イベントに影響フラグデータを含めることができます。以前は、これらのイベントは FTD によってクラウドに送信され、影響フラグは含まれていませんでした。

• レトロスペクティブ マルウェア イベント。これらは、デバイスによって引き続きクラウドに送信される「元の性質」ファイルとマルウェアイベントを補完します。

この機能が有効になっている場合、FMC はアップグレードの成功後にこの情報の送信を開始します。

侵入イベントの新しいデータストアによるパフォーマンスの向上。

パフォーマンスを向上させるために、バージョン 7.1 では、侵入イベントに新しいデータストアを使用します。アップグレードが完了し、FMC が再起動すると、履歴イベントが、最新のイベントが先頭になるようにバックグラウンドで移行されます。

この移行の一部として、侵入インシデント、侵入イベントクリップボード、および侵入イベントのカスタムテーブルは廃止されました。また、侵入イベントテーブルに、[送信元ホストの重要度（Source Host Criticality）] と [宛先ホストの重要度（Destination Host Criticality）] という 2 つの新しいフィールドが導入されました。

接続およびセキュリティ インテリジェンス イベントの NAT IP アドレスおよびポート情報。

NAT 変換の可視性を高めるために、次のフィールドが接続およびセキュリティ インテリジェンス イベントに追加されました。

• NAT 送信元 IP（NAT Source IP）

• NAT 宛先 IP（NAT Destination IP）

• NAT 送信元ポート（NAT Source Port）

• NAT 宛先ポート（NAT Destination Port）

イベントのテーブルビューでは、デフォルトでこれらのフィールドは非表示にされています。表示されるフィールドを変更するには、任意の列名の [x] をクリックしてフィールド選択ツールを表示します。

パケットトレーサの機能拡張。

バージョン 7.1 では、より使いやすくするためにパケット トレーサ インターフェイスが更新されています。さらに、次のことができるようになりました。

• メインメニューから直接パケットトレーサにアクセス：[デバイス（Devices）] > [トラブルシュート（Troubleshoot）] > [パケットトレーサ（Packet Tracer）]

• パケットトレースの保存。

• 複数デバイスでの並列パケットトレースの実行。

• デバイスを介した PCAP の再生。

• Snort 3 デバイスの場合、L2 から L7 までのトラフィック評価のフェーズ（アプリケーション識別、ファイル/マルウェア検出、侵入検出、セキュリティ インテリジェンスなど）、および各フェーズにかかる時間に関して新しい詳細を提供する拡張出力の表示。

新規/変更された FTD CLI コマンド：

• packet-tracer inputsource_interfacepcappcap_filename

オブジェクト管理

HTTP、ICMP、および SSH プラットフォーム設定のネットワークオブジェクトのサポート。

Threat Defense プラットフォーム設定ポリシーで IP アドレスを設定するときに、ホストまたはネットワークのネットワークオブジェクトを含むネットワーク オブジェクト グループを使用できるようになりました。

ネットワーク ワイルドカード マスク オブジェクトの Snort 3 サポート。

[オブジェクト管理（Object Management）] ページで、ネットワーク ワイルドカード マスク オブジェクトを作成および管理できるようになりました。アクセス制御、プレフィルタ、および NAT ポリシーでネットワーク ワイルドカード マスク オブジェクトを使用できます。

オブジェクトの展開プレビューの機能拡張。

統合

Cisco ACI Endpoint Update App バージョン 2.0 および修復モジュールのサポート。

Cisco ACI Endpoint Update App のバージョン 2.0 では、以前のバージョンに比べて次の点が改善されています。

• 最小更新間隔（アプリケーションが FMC を更新する頻度）が 10 秒になりました。以前は 30 秒でした。

• サイトプレフィックス（各 APIC テナントに関連付けられた FMC にネットワーク グループ オブジェクトを作成する文字列）が 10 文字に制限されました。以前は 5 文字でした。

この更新では、新しい Cisco ACI Endpoint 修復モジュールも利用できます。

ユーザビリティ、パフォーマンス、およびトラブルシューティング

ヘルスモニタリングの強化。

ヘルスモニタは次のように更新されました。

• ヘルスポリシーエディタは、類似するヘルスモジュールをグループ化するようになりました。モジュールグループ全体を有効または無効にできます。

• ヘルスポリシー除外エディタが更新され、使いやすくなりました。また、アラートからデバイスまたはヘルスモジュールを除外するときに、除外の期間を 15 分から永久まで指定できるようになりました。

• ヘルス モニタ アラート エディタが更新され、使いやすくなりました。

• ヘルスポリシーの展開インターフェイスが更新され、使いやすくなりました。

新規/変更された画面：

• システム（） > [正常性（Health）] > [ポリシー（Policy）] > [ポリシーの編集（Edit Policy）]

• システム（） > [正常性（Health）] > [除外（Exclude）]

• システム（） > [正常性（Health）] > [アラートの監視（Monitor Alerts）]

• システム（） > [正常性（Health）] > [ポリシー（Policy）] > [ポリシーの展開（Deploy Policy）]

展開履歴の機能拡張。

展開ジョブをブックマークし、ジョブの展開に関する注意を編集して、レポートを生成できるようになりました。

グローバル検索の機能拡張。

グローバル検索に次の機能が追加されました。

• FMC ウォークスルーの全文を検索できます（how-tos）。

• 拡張コミュニティリスト名または設定値を検索できます。

• ドメインごとに検索を制限できます。

新しいウォークスルー。

次のウォークスルーが追加されました。

• Snort 3 侵入ポリシーの作成。

• 個々のデバイス上での Snort 3 の有効化と無効化。

• Snort 3 ネットワーク分析ポリシーの作成。

• ネットワーク分析ポリシーのマッピングの表示。

• FTD のアップグレード。

• クラスタの作成および管理。

• FMC アクセスインターフェイスの管理からデータへの変更。

• FMC アクセスインターフェイスのデータから管理への変更。

Cisco Success Network に送信された Snort メモリ使用量テレメトリ。

有用性を向上させるために、Snort メモリおよびスワップ使用率（メモリ不足イベントを含む）に関するテレメトリを Cisco Success Network に送信するようになりました。

この情報は、Snort 2 と Snort 3 の両方に送信されます。Cisco Success Network の登録はいつでも変更できます。

Snort 3 は、フロー開始イベントとフロー終了イベントの統計情報をサポートします。

Snort 3 を使用する FTD の場合、show snort statistics コマンドの出力で、フロー開始イベントとフロー終了イベントに関する統計情報が報告されるようになりました。

Web インターフェイスの変更：SecureX、脅威インテリジェンス、およびその他の統合。

バージョン 7.0.2 以降のバージョン 7.0.x メンテナンスリリースからアップグレードする場合、バージョン 7.1 では以下の FMC メニューオプションが変更されます。

FMC REST API

FMC REST API サービス/操作。

FMC REST API の変更の詳細については、REST API クイックスタートガイド [英語] の「What's New in 7.1」を参照してください。

サポート終了：FMC 1000、2500、4500

FMC モデルの FMC 1000、2500、および 4500 ではバージョン 7.1 以降を実行できません。これらの FMC を使用してバージョン 7.1 以降のデバイスを管理することはできません。

サポート終了：ASA 5508-X および 5516-X

ASA 5508-X または 5516-X ではバージョン 7.1 以降を実行できません。

サポート終了：NGIPS ソフトウェア（ASA FirePOWER/NGIPSv）。

廃止：侵入インシデントと侵入イベントクリップボード。

データと構成は削除される場合があります。

侵入インシデント機能と関連する侵入イベントクリップボードが削除されました。アップグレードにより、インシデントに関連するすべてのデータが削除され、クリップボードをデータソースとして使用するレポート テンプレート セクションが削除されます。

廃止された画面/オプション：

• [分析（Analysis）] > [侵入（Intrusions）] > [インシデント（Incidents）]

• [分析（Analysis）] > [侵入（Intrusions）] > [クリップボード（Clipboard）]

• 侵入イベントワークフローページおよびパケットビューでの [コピー（Copy）] および [すべてコピー（Copy All）]

• レポートテンプレートにセクションを追加する場合（[概要（Overview）] > [レポート（Reporting）] > [レポートテンプレート（Report Templates）]）、データソースとして [クリップボード（Clipboard）] テーブルを選択できなくなりました。

廃止：侵入イベントのカスタムテーブル。

カスタムテーブルは削除される場合があります。

バージョン 7.1 では、侵入イベントのカスタムテーブルのサポートが終了します。アップグレードにより、侵入イベントテーブルのフィールドを含むカスタムテーブルは削除されます。

カスタムテーブルにフィールドを追加する場合（[分析（Analysis）] > [詳細設定（Advanced）] > [カスタムテーブル（Custom Tables）]）、データソースとして [侵入イベント（Intrusion Events）] テーブルを選択できなくなりました。

廃止：FlexConfig を使用した ECMP ゾーン。

FlexConfig 設定は無視されます。展開ができない場合があります。

トラフィックゾーンのインターフェイスをグループ化し、Management Center の Web インターフェイスで Equal Cost Multipath（ECMP; 等コストマルチパス）ルーティングを設定できるようになりました。アップグレード後、FlexConfig を使用して設定した ECMP ゾーンは無視されます。等コストのスタティックルートが存在する状態で展開することはできず、それらのインターフェイスを ECMP ゾーンに割り当てる必要があります。

一時的に廃止：SecureX との統合、SecureX とのオーケストレーションの改善。

アップグレードができない場合があります。

バージョン 7.1 では、バージョン 7.0.2 で導入された SecureX との統合およびオーケストレーションの改善を一時的に中止します。改善されたエクスペリエンスは、バージョン 7.2 で戻ります。

バージョン 7.0.2 またはそれ以降のメンテナンスリリースで SecureX との統合を新たに有効にした場合は、バージョン 7.1 にアップグレードする前に、この機能を無効にする必要があります。アップグレードが正常に完了したら、以前の方法を使用して、この機能を再度有効にできます。バージョン 7.0.0 または 7.0.1 で SecureX との統合を有効にした場合、またはバージョン 7.2 にアップグレードする場合、アップグレードの際に問題は発生しません。

廃止：地理位置情報の詳細。

Web 分析プロバイダーを更新しました。

アップグレードの影響。ブラウザは新しいリソースに接続します。

Management Center を使用している間、ブラウザは Web 分析のために Google（google.com）ではなく Amplitude（amplitude.com）に接続します。

Web 分析は、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザーの場所、Management Center の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに提供します。デフォルトで Web 分析に登録されていますが、初期設定の完了後にいつでも登録を変更できます。広告ブロッカーは Web 分析をブロックできるため、登録したままにする場合は、Cisco アプライアンスのホスト名/IP アドレスの広告ブロックを無効にしてください。

必要最低限の Threat Defense：任意

バージョンの制限：振幅分析は、バージョン 7.0.0 ～ 7.0.5、7.1.0 ～ 7.2.4、または 7.3.x ではサポートされていません。サポートされているバージョンからサポートされていないバージョンにアップグレードすると、ブラウザは Google への接続を再開します。

ISA 3000 をシャットダウンすると、システム LED が消灯します。その後、少なくとも 10 秒間待ってからデバイスの電源を切ってください。

バージョンの制限：バージョン 7.1 では、この機能のサポートが一時的に廃止されます。サポートは、バージョン 7.3 で再開されています。

バージョンの制限：この機能は、バージョン 7.0.0 ～ 7.0.4、7.1.0 ～ 7.1.0.2、または 7.2.0 ～ 7.2.3 ではサポートされていません。サポート対象のバージョンからサポート対象外のバージョンにアップグレードすると、この機能は一時的に無効になり、システムはシスコへの接続を停止します。

詳細については、『FMC configuration guide』の「Firepower Management Center Command Line Reference」、および「Cisco Secure Firewall Threat Defense コマンドリファレンス」を参照してください。

クラウド提供型の管理センターの FTD サポート

バージョン 7.0.3 FTD デバイスは、2022 年春に導入されたクラウド提供型の管理センターによる管理をサポートします。このクラウド提供型の管理センターは、Cisco Defense Orchestrator（CDO）プラットフォームを使用して、複数の Cisco セキュリティソリューションの管理を統合します。更新についてはシスコが行います。

次の場合は、クラウド提供型の管理センターでバージョン 7.0.3 FTD を使用する必要があります。

• 現在、お客様が導入したハードウェアまたは仮想 FMC を使用しています。

• 今すぐクラウド提供型の管理センターに移行したいと考えている。

• デバイスをバージョン 7.2 以降にアップグレードする必要はありません。バージョン 7.2 以降は、クラウド提供型の管理センターによる管理もサポートしています。

この状況に当てはまる場合は、次のことを実行してください。

1. 現在の FMC をバージョン 7.2 以降にアップグレードします。

   技術的にはバージョン 7.0.3 または 7.1 FMC を使用して FTD をバージョン 7.0.3 にアップグレードできますが、デバイスをクラウド提供型の管理センターに簡単に移行したり、イベントのログ記録と分析の目的でのみ（「分析のみ」）、お客様が導入した管理センターにデバイスを登録したままにしたりすることはできません。

2. アップグレードされた FMC を使用して、デバイスをバージョン 7.0.3 にアップグレードします。

3. デバイスでクラウド管理を有効にします。

   バージョン 7.0.x デバイスの場合のみ、デバイス CLI から configure manager-cdo enable を実行してクラウド管理を有効にする必要があります。show manager-cdo コマンドは、クラウド管理が有効になっているかどうかを表示します。

4. CDO の [FTDをクラウドに移行する（Migrate FTD to cloud）] ウィザードを使用して、クラウド提供型の管理センターにデバイスを移行します。

   必要に応じて、お客様が導入した管理センターにデバイスを分析専用デバイスとして登録したままにします。あるいは、シスコのセキュリティ分析とロギング（SaaS） を使用して、Cisco Cloud にセキュリティイベントを送信できます。

クラウド提供型 Firewall Management Center は、バージョン 7.1 を実行している Threat Defense デバイス、または任意のバージョンを実行している従来のデバイスを管理できません。クラウド管理の登録を解除するか、または無効にしない限り、クラウド管理対象デバイスはバージョン 7.0.x からバージョン 7.1 にアップグレードできません。バージョン 7.2 以降に直接アップグレードすることをお勧めします。

新規/変更された CLI コマンド：configure manager add 、configure manager delete 、configure manager edit 、show managers

詳細については、Cisco Defense Orchestrator のクラウド提供型ファイアウォール管理センターを使用した Firewall Threat Defense の管理を参照してください。

ISA 3000 によるシャットダウンのサポート。

ISA 3000 をシャットダウンできるようになりました。以前は、デバイスを再起動することしかできませんでした。

ダイナミックオブジェクト名でダッシュ文字を使用できるようになりました。

ダイナミックオブジェクト名でダッシュ文字を使用できるようになりました。これは、ACI エンドポイント更新アプリ（ダッシュ文字が許可されている）を使用して、テナントのエンドポイントグループを表すダイナミックオブジェクトを FMC で作成する場合に特に便利です。

最低限の Threat Defense：7.0.2

SecureX との統合、SecureX とのオーケストレーションの改善

バージョンの制限：この機能はバージョン 7.1 で一時的に廃止になりましたが、バージョン 7.2 で戻ります。新しい方法で SecureX との統合を有効にした場合は、バージョン 7.1.x にアップグレードする前に、この機能を無効にする必要があります。アップグレードが正常に完了したら、この機能を再度有効にできます。バージョン 7.2 以降へのアップグレードは影響を受けません。

詳細については、Cisco Secure Firewall Management Center（7.0.2 および 7.2）および SecureX 統合ガイドを参照してください。

Web インターフェイスの変更：SecureX、脅威インテリジェンス、およびその他の統合。

以下の FMC メニューオプションが変更されました。

Snort 3 の rate_filter インスペクタ。

Snort 3 rate_filter インスペクタが導入されました。

これにより、ルールに対する過剰な一致に対応して侵入ルールのアクションを変更できます。レートベースの攻撃を特定の期間ブロックし、イベントの生成中でも一致するトラフィックを許可するように戻すことができます。詳細については、『Snort 3 Inspector Reference』を参照してください。

新規/変更されたページ：カスタムネットワーク分析ポリシーの Snort 3 バージョンを編集して、インスペクタを設定します。

サポートされるプラットフォーム：FTD

バージョンの制限：この機能を使用するには、FMC とデバイスの両方にバージョン 7.0.1 以降が必要です。また、lsp-rel-20210816-1910 以降を実行している必要があります。システム（） > [アップデート（Updates）] > [ルールアップデート（Rule Updates）]で LSP を確認および更新できます。

ASA FirePOWER サービスを使用する ISA 3000 の新しいデフォルトパスワード

新しいデバイスの場合、admin アカウントのデフォルトパスワードは Adm!n123 になりました。以前は、デフォルトの admin パスワードは Admin123 でした。

バージョン 7.0.1 以降にアップグレードまたは再イメージ化しても、パスワードは変更されません。ただし、すべてのユーザアカウント（特に管理者アクセス権を持つユーザアカウント）に強力なパスワードを設定することを推奨します。

サポートされるプラットフォーム：ASA FirePOWER サービスを使用する ISA 3000

プラットフォーム

VMware vSphere/VMware ESXi 7.0 のサポート。

VMware vSphere/VMware ESXi 7.0 に FMCv、FTDv、および NGIPSv 仮想アプライアンスを展開できるようになりました。

バージョン 7.0 でも VMware 6.0 のサポートは終了します。Firepower ソフトウェアをアップグレードする前に、ホスティング環境をサポートされているバージョンにアップグレードします。

新しい仮想環境。

次の環境に FMCv および FTDv が導入されました。

• Cisco HyperFlex

• Nutanix エンタープライズクラウド

• OpenStack (FDM 管理のサポートなし)

FTDv パフォーマンス階層型のスマートライセンス。

アップグレードの影響。アップグレードすると、デバイスが自動的に FTDv50 階層に割り当てられます。

FTDv は、スループット要件と RA VPN セッションの制限に基づいて、パフォーマンス階層型のスマート ソフトウェア ライセンスをサポートするようになりました。オプションは、FTDv5（100 Mbps/50 セッション）から FTDv100（16 Gbps/10,000 セッション）までです。

新しいデバイスを追加する前に、お使いのアカウントに必要なライセンスが含まれていることを確認してください。追加のライセンスを購入するには、シスコの担当者またはパートナーの担当者にお問い合わせください。

FTDv をバージョン 7.0 にアップグレードすると、デバイスが自動的に FTDv50 階層に割り当てられます。レガシー（非階層型）ライセンスを引き続き使用するには、アップグレード後に階層を [変数（Variable）] に変更します。

新規/変更されたページ：

• [デバイス（Device）] > [デバイス管理（Device Management）] ページで FTDv デバイスを追加または編集するときに、パフォーマンス階層を指定できるようになりました。

• システム（） > [ライセンス（Licenses）] > [スマートライセンス（Smart Licenses）] > ページでパフォーマンス階層を一括編集できます。

高可用性/拡張性

クラスタリング用の PAT ポートブロック割り当ての改善

PAT ポートブロック割り当ての改善により、制御ユニットはノードに参加するためにポートを確保し、未使用のポートを積極的に再利用できるようになります。割り当てを最適化するには、FlexConfig を使用して cluster-member-limit コマンドを実行して、予定しているクラスタ内の最大ノード数を設定します。これにより、制御ユニットは計画されたノード数にポートブロックを割り当てることができ、使用する予定のない追加のノード用にポートを予約する必要がなくなります。デフォルトは 16 ノードです。また、syslog 747046 を監視して、新しいノードに使用できるポートが十分にあることを確認することもできます。

新規/変更されたコマンド：cluster-member-limit （FlexConfig）、show nat pool cluster [summary] 、show nat pool ip detail

サポートされるプラットフォーム：Firepower 4100/9300

FTD CLI show cluster history の改善。

新しいキーワードを指定すると、show cluster history コマンドの出力をカスタマイズできます。

新規/変更されたコマンド：show cluster history [brief ] [latest ] [reverse ] [time ]

サポートされるプラットフォーム：Firepower 4100/9300

クラスタから永久に削除するための FTD CLI コマンド。

FTD CLI を使用して、ユニットをクラスタから完全に削除し、その設定をスタンドアロンデバイスに変換できるようになりました。

新規/変更されたコマンド： cluster reset-interface-mode

サポートされるプラットフォーム：Firepower 4100/9300

NAT

優先順位付けされたシステム定義の NAT ルール。

新しいセクション 0 が NAT ルールテーブルに追加されました。このセクションは、システムの使用に限定されます。システムが正常に機能するために必要なすべての NAT ルールがこのセクションに追加され、これらのルールは作成したルールよりも優先されます。以前は、システム定義のルールがセクション 1 に追加され、ユーザー定義のルールがシステムの適切な機能を妨げる可能性がありました。

セクション 0 のルールを追加、編集、または削除することはできませんが、show nat detail コマンド出力に表示されます。

サポートされるプラットフォーム：FTD

仮想ルーティング

ISA 3000 の仮想ルータサポート。

ISA 3000 デバイスには最大 10 台の仮想ルータを設定できるようになりました。

サポートされるプラットフォーム：ISA 3000

サイト間 VPN

ルートベースのサイト間 VPN 向けバックアップ用仮想トンネルインターフェイス（VTI）。

仮想トンネルインターフェイスを使用するサイト間 VPN を設定する場合、トンネルのバックアップ VTI を選択できます。

バックアップ VTI を指定すると復元力が得られるため、プライマリ接続がダウンした場合でもバックアップ接続は継続して機能します。たとえば、プライマリ VTI をあるサービスプロバイダーのエンドポイントに接続し、バックアップ VTI を別のサービスプロバイダーのエンドポイントに接続できます。

新規/変更されたページ：ポイントツーポイント接続の VPN タイプとして [ルートベース（Route-Based）] を選択した場合に、サイト間 VPN ウィザードにバックアップ VTI を追加する機能が追加されました。

サポートされるプラットフォーム：FTD

Remote Access VPN

ロード バランシング。

RA VPN ロードバランシングがサポートされるようになりました。システムは、セッション数によってグループ化されたデバイス間でセッションを分散します。トラフィック量やその他の要因は考慮されません。

新規/変更された画面：RA VPN ポリシーの [詳細設定（Advanced Settings）] にロード バランシング オプションが追加されました。

サポートされるプラットフォーム：FTD

ローカル認証。

RA VPN ユーザーのローカル認証がサポートされるようになりました。これは、プライマリまたはセカンダリ認証方式として、または設定されたリモートサーバーに到達できない場合のフォールバックとして使用できます。

1. ローカルレルムを作成します。

   ローカルユーザー名とパスワードは、ローカルレルムに保存されます。レルムを作成し（システム（） > [統合（Integration）] > [レルム（Realms）]）、新しい [ローカル（LOCAL）] レルムタイプを選択すると、1 つ以上のローカルユーザーを追加するように求められます。

2. ローカル認証を使用するように RA VPN を設定します。

   RA VPN ポリシーを作成または編集し（[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）]）、そのポリシー内に接続プロファイルを作成して、その接続プロファイルでプライマリ、セカンダリ、またはフォールバック認証サーバーとして [ローカル（LOCAL）] を指定します。

3. 作成したローカルレルムを RA VPN ポリシーに関連付けます。

   RA VPN ポリシーエディタで、新しい [ローカルレルム（Local Realm）] 設定を使用します。ローカル認証を使用する RA VPN ポリシーのすべての接続プロファイルは、ここで指定したローカルレルムを使用します。

サポートされるプラットフォーム：FTD

ダイナミック アクセス ポリシー。

新しいダイナミック アクセス ポリシーを使用すると、変化する環境に自動的に適応するリモートアクセス VPN 認証を設定できます。

1. AnyConnect HostScan パッケージを AnyConnect ファイルとしてアップロードして、HostScan を設定します（[オブジェクト（Objects）]>[オブジェクト管理（Object Management）]>[VPN]>[AnyConnectファイル（AnyConnect File）]）。[ファイルタイプ（File Type）] ドロップダウンリストに新しい [HostScan パッケージ（HostScan Package）] オプションがあります。

   このモジュールはエンドポイントで実行され、ダイナミック アクセス ポリシーが使用するポスチャアセスメントを実行します。

2. ダイナミック アクセス ポリシーを作成します（[デバイス（Devices）] [ダイナミック アクセス ポリシー（Dynamic Access Policy）]）。

   ダイナミック アクセス ポリシーは、ユーザーがセッションを開始するたびに評価するセッション属性（グループメンバーシップやエンドポイントセキュリティなど）を指定します。その後、その評価に基づいてアクセスを拒否または許可できます。

3. 作成したダイナミック アクセス ポリシーを RA VPN ポリシーに関連付けます。

   リモートアクセス VPN ポリシーエディタで、新しい [ダイナミック アクセス ポリシー（Dynamic Access Policy）]設定を使用します。

サポートされるプラットフォーム：FTD

マルチ証明書認証。

リモートアクセス VPN ユーザのマルチ証明書認証をサポートするようになりました。SSL または IKEv2 EAP フェーズで AnyConnect クライアントを使用して VPN アクセスを許可するためにユーザの ID 証明書を認証することに加えて、マシンまたはデバイス証明書を検証して、デバイスが会社支給のデバイスであることを確認できます。

サポートされるプラットフォーム：FTD

AnyConnect カスタム属性。

AnyConnect カスタム属性をサポートし、AnyConnect クライアント機能を設定するためのインフラストラクチャを、これらの機能の明示的なサポートをシステムに追加することなく、提供するようになりました。

サポートされるプラットフォーム：FTD

アクセス制御

FTD 用 Snort 3。

サポートされるプラットフォーム：FTD

ダイナミックオブジェクト。

ダイナミックオブジェクトは、アクセスコントロールルールで使用できます。

ダイナミックオブジェクトは、単に IP アドレスまたはサブネットのリストです（範囲なし、FQDN なし）。ただし、ネットワークオブジェクトとは異なり、ダイナミックオブジェクトへの変更はすぐに有効になり、再展開する必要はありません。これは、IP アドレスがワークロードリソースに動的にマッピングされる仮想環境やクラウド環境で役立ちます。

ダイナミックオブジェクトを作成および管理するには、Cisco Secure 動的属性コネクタを使用することをお勧めします。コネクタは、ワークロードの変更に基づいてファイアウォールポリシーを迅速かつシームレスに更新する別個の軽量アプリケーションです。そのためには、環境内のタグ付きリソースからワークロード属性を取得し、指定した基準に基づいて IP リストをコンパイルします（「動的属性フィルタ」）。次に、FMC でダイナミックオブジェクトを作成し、IP リストを入力します。ワークロードが変更されると、コネクタによってダイナミックオブジェクトが更新され、新しいマッピングに基づいてすぐにトラフィックの処理が開始されます。詳細については、を参照してくださいCisco Secure 動的属性コネクタ コンフィギュレーション ガイド。

作成したダイナミックオブジェクトは、アクセス コントロール ルール エディタの新しい [動的属性（Dynamic Attributes）] タブでアクセスコントロールルールに追加できます。このタブは、フォーカスの狭い [SGT/ISE 属性（SGT/ISE Attributes）] タブに代わるものです。ここで、SGT 属性を使用したルールの設定を続行します。

サポート対象プラットフォーム：FMC

Cisco Secure Dynamic Attributes Connector の統合でサポートされる仮想/クラウドワークロード：Microsoft Azure、AWS、VMware

Active Directory ドメインのクロスドメイン信頼。

Microsoft Active Directory フォレスト（相互に信頼する AD ドメインのグループ）のユーザーを使用してユーザー アイデンティティ ルールを設定できるようになりました。

新規/変更されたページ：

• レルムとディレクトリを同時に設定するようになりました。

• 新しい [同期結果（Sync Results）] ページ（システム（） > [統合（Integration）] > [同期結果（Sync Results）]）に、クロスドメイン信頼関係のユーザーおよびグループのダウンロードに関連するエラーが表示されます。

サポート対象プラットフォーム：FMC

DNS フィルタリング。

バージョン 6.7 でベータ機能として導入された DNS フィルタリングは、完全にサポートされるようになり、新しいアクセス コントロール ポリシーではデフォルトで有効になっています。

サポートされるプラットフォーム：すべて

イベントロギングおよび分析

Secure Network Analytics オンプレミス展開でのイベント保存プロセスの改善。

新しい シスコのセキュリティ分析とロギング（オンプレミス） アプリと新しい FMC ウィザードにより、オンプレミス Secure Network Analytics ソリューションのリモートデータストレージをより簡単に設定できます。

1. ハードウェアまたは仮想 Stealthwatch アプライアンスを展開します。

   Stealthwatch Management Console を単独で使用することも、Stealthwatch Management Console、フローコレクタ、およびデータストアを設定することもできます。

2. Stealthwatch Management Console に新しい Cisco Security Analytics and Logging（オンプレミス）アプリをインストールして、Stealthwatch をリモートデータストアとして設定することができます。

3. FMC で、システム（） > [ロギング（Logging）] > [セキュリティ分析とロギング（Security Analytics ＆ Logging）]の新しいウィザードのいずれかを使用して、Stealthwatch 展開に接続します。

   Stealthwatch のコンテキストクロス起動を設定するために使用したフォーカスの狭いページは、ウィザードによって置き換えられます。現在、これはウィザードのステップの 1 つです。

syslog を使用して Firepower イベントを Stealthwatch に送信するアップグレードされた展開では、ウィザードを使用する前にこれらの設定を無効にします。そうしないと、二重にイベントが発生します。Stealthwatch への syslog 接続を削除するには、FTDプラットフォーム設定を使用します（[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）]）。 syslog へのイベント送信を無効にするには、アクセス制御ルールを編集します。

Stealthwatch のハードウェア要件およびソフトウェア要件を含む詳細については、Cisco Security Analytics and Logging（オンプレミス）：ファイアウォールイベント統合ガイド を参照してください。

サポート対象プラットフォーム：FMC

Secure Network Analytics オンプレミス展開でリモートに保存されたイベントを操作する。

FMC を使用して、Secure Network Analytics オンプレミス展開でリモートに保存された接続イベントを操作できるようになりました。

接続イベントページ（[分析（Analysis）] > [接続（Connections）] > [イベント（Events）]）と統合イベントビューア（[分析（Analysis）] > [統合イベント（Unified Events）]）の新しいデータソースオプションを使用して、処理する接続イベントを選択できます。デフォルトでは、時間範囲に何も存在しない場合、ローカルに保存された接続イベントが表示されます。その場合、システムはリモートに保存されたイベントを表示します。

また、リモートで保存された接続イベントに基づいてレポートを生成できるように、レポートテンプレートにデータソースオプションが追加されました（[概要（Overview）] > [レポート（Reporting）] > [レポートテンプレート（Report Templates）]）。

サポート対象プラットフォーム：FMC

すべての接続イベントを Secure Network Analytics クラウドに保存する。

Cisco Security Analytics and Logging（SaaS）を使用して、すべての接続イベントを Stealthwatch クラウドに保存できるようになりました。以前は、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアのイベント、およびそれらに関連する接続イベントに限定されていました。

クラウドに送信するイベントを変更するには、システム（） > [統合（Integration）] を選択します。[クラウドサービス（Cloud Services）] タブで、[シスコクラウドイベントの設定（Cisco Cloud Event Configuration）] を編集します。優先順位の高い接続イベントをクラウドに送信する古いオプションは、[すべて（All）]、[なし（None）]、または [セキュリティイベント（Security Events）] の選択肢に置き換えられました。

サポート対象プラットフォーム：FMC

統合イベントビューア。

統合イベントビューア（[分析（Analysis）] > [統合イベント（Unified Events）]）では、1 つのテーブルで接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアの各イベントが表示されます。これは、異なるタイプのイベント間の関係を調べるのに役立ちます。

単一の検索フィールドを使用すると、複数の条件に基づいてビューを動的にフィルタリングできます。また、[本番稼働（Go Live）]　オプションでは、管理対象デバイスから受信したイベントがリアルタイムで表示されます。

サポート対象プラットフォーム：FMC

SecureX のリボン。

FMC 上の SecureX のリボンは SecureX にピボットされ、シスコのセキュリティ製品全体の脅威の状況を即座に確認できます。

SecureX に接続してリボンを有効にするには、[システム（System）] > [SecureX] を使用します。クラウドリージョンを選択し、SecureX に送信するイベントを指定するには、引き続き システム（） > [統合（Integration）] > [クラウドサービス（Cloud Services）] を使用する必要があります。

詳細については、Cisco Secure Firewall Threat Defense および SecureX 統合ガイドを参照してください。

サポート対象プラットフォーム：FMC

ローカルストレージをオフにすると、すべての接続イベントのレート制限が免除されます。

イベントレート制限は、FMC に送信されるすべてのイベントに適用されます。ただし、セキュリティイベント（セキュリティ インテリジェンス、侵入、ファイル、マルウェアのイベント、およびそれらに関連する接続イベント）は例外です。

ローカル接続イベントストレージを無効にすると、セキュリティイベントだけでなく、すべての接続イベントがレート制限から除外されるようになりました。これを行うには、システム（） > [設定（Configuration）] > [データベース（Database）] で [最大接続イベント数（Maximum Connection Events）] を 0 に設定します。

ローカルイベントストレージを無効にしても、リモートイベントストレージには影響せず、接続の概要や相関にも影響しないことに注意してください。システムは、引き続き、トラフィックプロファイル、相関ポリシー、ダッシュボード表示などの機能に接続イベント情報を使用します。

サポート対象プラットフォーム：FMC

ファイルおよびマルウェアイベントテーブルに一緒に表示されるポートとプロトコル。

ファイルおよびマルウェアイベントテーブルでは、[ポート（Port）] フィールドにプロトコルが表示されるようになり、[ポート（Port）] フィールドでプロトコルを検索できます。アップグレード前に存在したイベントの場合、プロトコルが不明な場合は「TCP」が使用されます。

新規/変更されたページ：

• [分析（Analysis）] > [ファイル（Files）] > [マルウェアイベント（Malware Events）]

• [分析（Analysis）] > [ファイル（Files）] > [ファイルイベント（File Events）]

サポートされるプラットフォーム：FMC

アップグレード

FTD のアップグレード パフォーマンスとステータスレポートの改善。

サポートされるプラットフォーム：FTD

FTD の [アップグレード（Upgrade）] ウィザード。

サポートされるプラットフォーム：FTD

多くの FTD デバイスを一度にアップグレードします。

サポートされるプラットフォーム：FTD

管理とトラブルシューティング

SD カードを使用した ISA 3000 でのゼロタッチ復元。

ローカルバックアップを実行すると、バックアップファイルが SD カードにコピーされます（カードがある場合）。交換用デバイスの設定を復元するには、新しいデバイスに SD カードを取り付け、デバイスの起動中に [リセット（Reset）] ボタンを 3 〜 15 秒間押します。

サポートされるプラットフォーム：ISA 3000

RA およびサイト間 VPN ポリシーを選択的に展開する。

バージョン 6.6 で導入された選択的ポリシーの展開では、リモートアクセスとサイト間 VPN ポリシーがサポートされるようになりました。

新規/変更されたページ：[展開（Deploy）] > [展開（Deployment）] ページに VPN ポリシーオプションが追加されました。

サポートされるプラットフォーム：FTD

新しいヘルス モジュール。

次の正常性モジュールが追加されました。

• AMP 接続ステータス

• AMP Threat Grid のステータス

• ASP ドロップ

• 高度な Snort 統計情報

• シャーシステータス FTD

• イベント ストリーム ステータス

• FMC アクセス設定の変更

• FMC HA ステータス（古い HA ステータスの交換）

• FTD HA ステータス

• ファイルシステムの整合性チェック

• フロー オフロード

• ヒット カウント（Hit Count）

• MySQL ステータス

• NTP ステータス FTD

• Rabbit MQ ステータス

• ルーティング統計情報

• SSE 接続ステータス

• Sybase ステータス

• 未解決グループモニター

• VPN 統計情報

• xTLS カウンタ

さらに、バージョン 6.6.3 で [アプライアンス設定のリソース使用率（Appliance Configuration Resource Utilization）] モジュールとして導入された [構成メモリ割り当て（Configuration Memory Allocation）] モジュールは、バージョン 6.7 では完全にはサポートされていませんでしたが、完全にサポートされます。

サポート対象プラットフォーム：FMC

セキュリティと強化

AWS 導入用の新しいデフォルトパスワード。

初期展開時にユーザーデータ（ [高度な詳細（Advanced Details）] > [ユーザーデータ（User Data）] ）を使用してデフォルトパスワードを定義していなければ、admin アカウントのデフォルトパスワードは AWS のインスタンス ID です。

以前は、デフォルトの admin パスワードは Admin123 でした。

サポートされているプラットフォーム：FMCv for AWS、FTDv for AWS

証明書の登録用の EST。

証明書の登録用の Enrollment over Secure Transport のサポートが提供されました。

新規/変更されたページ：[オブジェクト（Objects）] > [PKI] > [証明書の登録（Cert Enrollment）] > [CA情報（CA Information）] タブ設定時の新しい登録オプション。

サポート対象プラットフォーム：FMC

EdDSA 証明書タイプのサポート。

新しい証明書キータイプ：EdDSA（キーサイズ 256）が追加されました。

新規/変更されたページ：[オブジェクト（Objects）] > [PKI] > [証明書の登録（Cert Enrollment）] > [キー（Key）] タブの設定時の新しい証明書キーオプション。

サポート対象プラットフォーム：FMC

NTP サーバーの AES-128 CMAC 認証。

AES-128 CMAC キーを使用して、FMC と NTP サーバー間の接続を保護できるようになりました。

新規/変更されたページ：システム（） > [構成（Configuration）] > [時刻の同期（Time Synchronization）]。

サポートされるプラットフォーム：FMC

SNMPv3 ユーザーは、SHA-224 または SHA-384 認証アルゴリズムを使用して認証できます。

SNMPv3 ユーザーは、SHA-224 または SHA-384 アルゴリズムを使用して認証できるようになりました。

新規/変更されたページ：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [SNMP] > [ユーザー（Users）] > [認証アルゴリズムタイプ（Auth Algorithm Type）]

サポートされるプラットフォーム：FTD

ユーザビリティとパフォーマンス

ポリシーとオブジェクトのグローバル検索。

特定のポリシーを名前で検索し、特定のオブジェクトを名前と設定値で検索できるようになりました。この機能は、クラシックテーマでは使用できません。

新規/変更されたページ：[展開（Deploy）] メニューの左側にある [FMC] メニューバーに [検索（Search）] アイコンとフィールドの機能が追加されました。

サポート対象プラットフォーム：FMC

Intel QuickAssist Technology（QAT）を使用した FTDv でのハードウェア暗号化アクセラレーション。

VMware の FTDv および KVM の FTDv でハードウェア暗号化アクセラレーション（CBC 暗号のみ）がサポートされるようになりました。この機能を使用するには、ホスティング プラットフォームに Intel QAT 8970 PCI アダプタ/バージョン 1.7 以降のドライバが必要です。リブートすると、ハードウェア暗号化アクセラレーションが自動的に有効になります。

サポートされるプラットフォーム：VMware の FTDv、KVM の FTDv

多対 1 および 1 対多接続の CPU 使用率とパフォーマンスが向上しました。

ダイナミック NAT / PAT およびスキャン脅威検出とホスト統計情報を含む接続を除き、システムは接続の作成時に、ローカルホストオブジェクトを作成せず、ロックすることもなくなりました。これにより、多数の接続を同じサーバー（ロードバランサや Web サーバーなど）に対して確立する場合や、1 つのエンドポイントが多数のリモートホストに接続する場合に、パフォーマンスと CPU 使用率が向上します。

次のコマンドが変更されました：clear local-host （廃止）、 show local-host

サポートされるプラットフォーム：FTD

使用方法の場所が変更されました。

[ヘルプ（Help）] > [使用方法（How-Tos）] でウォークスルーが呼び出されるようになりました。以前は、ブラウザウィンドウの下部にある [使用方法（How-Tos）] をクリックしていました。

FMC REST API

新機能と既存の機能をサポートするために、次の FMC REST API サービス/操作が追加されました。詳細については、Firepower Management Center REST API バージョン 7.0 クイックスタートガイド [英語] を参照してください。

デバイス

alerts：GET

統合

fmchastatuses：GET

securexconfigs：GET および PUT

オブジェクト

anyconnectcustomattributes、anyconnectpackages、anyconnectprofiles：GET

anyconnectcustomattributes/overrides：GET

applicationfilters：PUT、POST、および DELETE

certificatemaps：GET

dnsservergroups：GET

dnsservergroups/overrides：GET

dynamicobjectmappings：POST

dynamicobjects：GET、PUT、POST、および DELETE

dynamicobjects/mappings：GET および PUT

geolocations：PUT、 POST、および DELETE

grouppolicies：GET

hostscanpackages：GET

intrusionrules、intrusionrulegroups：GET、PUT、POST、および DELETE

intrusionrulesupload：POST

ipv4addresspools、ipv6addresspools：GET

ipv4addresspools/overrides、ipv6addresspools/overrides：GET

localrealmusers：GET、PUT、POST、DELETE

radiusservergroups：GET

realms：PUT、POST、および DELETE

sidnsfeeds、sidnslists、sinetworkfeeds、sinetworklists：GET

sinkholes：GET

ssoservers：GET

ssoservers/overrides：GET

usage：GET

ポリシー

accesspolicies/securityintelligencepolicies：GET

dnspolicies：GET

dynamicaccesspolicies：GET、PUT、POST、および DELETE

identitypolicies：GET

intrusionpolicies：PUT、POST、および DELETE

intrusionpolicies/intrusionrulegroups、intrusionpolicies/intrusionrules：GET および PUT

networkanalysispolicies：GET、PUT、POST、および DELETE

networkanalysispolicies/inspectorconfigs：GET

networkanalysispolicies/inspectoroverrideconfigs：GET および PUT

ravpns：GET

ravpns/addressassignmentsettings、ravpns/certificatemapsettings、ravpns/connectionprofiles：GET

検索（Search）

globalsearch：GET

サポートの終了：VMware vSphere/VMware ESXi 6.0。

VMware vSphere/VMware ESXi 6.0 での仮想展開のサポートは廃止されました。Firepower ソフトウェアをアップグレードする前に、ホスティング環境をサポートされているバージョンにアップグレードします。

廃止：キーが 2048 ビット未満の RSA 証明書、または署名アルゴリズムで SHA-1 を使用する RSA 証明書。

FTD デバイスを介したアップグレード後の VPN 接続を防止します。

キーが 2048 ビット未満の RSA 証明書、または署名アルゴリズムで SHA-1 を使用する RSA 証明書のサポートは削除されました。

アップグレードする前に、オブジェクトマネージャを使用し、より強力なオプションを使用して PKI 証明書の登録を更新します（[オブジェクト（Objects）] > [PKI] > [証明書の登録（Cert Enrollment）]）。更新しない場合、アップグレードしても現在の設定は保持されますが、デバイスを介した VPN 接続は失敗します。

弱いオプションを使用して古い FTD デバイス（バージョン 6.4 〜 6.7.x）のみを管理し続けるには、[デバイス（Devices）] > [証明書（Certificates）] ページで各デバイスの新しい [弱暗号化の有効化（Enable Weak-Crypto）] オプションを選択します。

廃止：SNMPv3 ユーザー向けの MD5 認証アルゴリズムと DES 暗号化。

ユーザーを削除します。アップグレード後に展開ができないようにします。

FTD デバイスにおける SNMPv3 ユーザー向けの MD5 認証アルゴリズムと DES 暗号化のサポートが削除されました。

FTD をバージョン 7.0 以上にアップグレードすると、FMC の設定に関係なく、該当ユーザーがデバイスから削除されます。プラットフォーム設定ポリシーでこれらのオプションを使用している場合は、FTD をアップグレードする前に構成を変更して確認してください。

これらのオプションは、Threat Defense プラットフォーム設定ポリシー（[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）]）で SNMPv3 ユーザーを作成または編集する際の [認証アルゴリズムタイプ（Auth Algorithm Type）] および [暗号化タイプ（Encryption Type）] ドロップダウンにあります。

廃止：AMP クラウドとのポート 32137 通信。

FMC がアップグレードされないようにします。

パブリックおよびプライベート AMP クラウドからファイル配置データを取得するためにポート 32137 を使用する FMC オプションは廃止されました。プロキシを設定しない限り、FMC はポート 443/HTTPS を使用するようになりました。

アップグレードする前に、[システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）] ページで [ネットワーク用 AMP にレガシーポート 32137 を使用（Use Legacy Port 32137 for AMP for Networks）] オプションを無効にします。AMP for Networks の展開が期待どおりに機能するまで、アップグレードを続行しないでください。

廃止：HA ステータス正常性モジュール。

HA ステータス正常性モジュールの名前を FMC HA ステータス正常性モジュールに変更しました。これは、新しい [FTD HA ステータス（FTD HA Status）] モジュールと区別するためです。

廃止：レガシー API エクスプローラ。

FMC REST API レガシー API エクスプローラのサポートが削除されました。

廃止：地理位置情報の詳細。

プラットフォーム

OCI および GCP の FMCv および FTDv。

次の環境に FMCv および FTDv が導入されました。

• Oracle Cloud Infrastrucure（OCI）

• Google Cloud Platform（GCP）

VMware 向け FMCv での高可用性のサポート。

VMware 向け FMCv は、高可用性をサポートするようになりました。ハードウェアモデルの場合と同様に、FMCv Web インターフェイスを使用して HA を確立します。

FTD の展開では、2 つの同一ライセンスの FMCv と、各管理対象デバイスに 1 つの FTD 権限が必要です。たとえば、FMCv10 HA ペアで 10 台の FTD デバイスを管理するには、2 つの FMCv10 権限と 10 の FTD 権限が必要です。クラシックデバイス（7000/8000 シリーズ、NGIPSv、ASA FirePOWER）のみを管理している場合は、FMCv 権限は必要ありません。

この機能は、VMware 向け FMCv 2（つまり、2 つのデバイスのみ管理するようにライセンスされた FMCv）ではサポートされていません。

サポートされるプラットフォーム：VMware 向け FMCv 10、25、および 300

AWS 向け FTDv の自動スケールの改善。

バージョン 6.7.0 には、AWS 向け FTDv の次の自動スケールの改善が含まれています。

• カスタム指標パブリッシャ。新しい Lambda 関数は、自動スケールグループ内のすべての FTDv インスタンスのメモリ消費量について FMC を毎秒ポーリングし、その値を CloudWatch メトリックにパブリッシュします。

• メモリ消費に基づく新しいスケーリングポリシーを使用できます。

• FMC への SSH およびセキュアトンネル用の FTDv プライベート IP 接続。

• FMC の設定検証。

• ELB でより多くのリスニングポートを開くためのサポート。

• シングルスタック展開に変更。すべての Lambda 関数と AWS リソースは、合理化された展開のためにシングルスタックから展開されます。

サポートされているプラットフォーム：AWS の FTDv

Azure 向け FTDv の自動スケールの改善。

Azure 向け FTDv の自動スケール ソリューションには、CPU だけでなく、CPU とメモリ（RAM）に基づくスケーリングメトリックのサポートが含まれるようになりました。

サポートされているプラットフォーム：Azure の FTDv

Firepower Threat Defense：デバイス管理

データインターフェイスでの FTD の管理。

専用の管理インターフェイスではなく、データインターフェイス上の FTD の FMC 管理を設定できるようになりました。

この機能は、本社の FMC からブランチオフィスの FTD を管理し、外部インターフェイスで FTD を管理する必要がある場合に、リモート展開に役立ちます。DHCP を使用して FTD でパブリック IP アドレスを受信する場合は、オプションで Web タイプの更新方式を使用して、インターフェイスのダイナミック DNS（DDNS）を設定できます。DDNS は、FTD の IP アドレスが変更された場合に FMC が完全修飾ドメイン名（FQDN）で FTD に到達できるようにします。

新規/変更されたページ：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] セクション

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [FMCアクセス（FMC Access）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [DHCP] > [DDNS] > [DDNS更新方式（DDNS Update Methods）] ページ

新規/変更された FTD CLI コマンド：configure network management-data-interface 、configure policy rollback

サポートされるプラットフォーム：FTD

FTD での FMC IP アドレスの更新。

FMC IP アドレスを変更する場合に、FTD CLI を使用してデバイスを更新できるようになりました。

新規/変更された FTD CLI コマンド： configure manager edit

サポートされるプラットフォーム：FTD

Firepower 4100/9300 の FTD 動作リンク状態と物理リンク状態の同期。

Firepower 4100/9300 シャーシでは、FTD 動作リンク状態をデータインターフェイスの物理リンク状態と同期できるようになりました。

現在、FXOS 管理状態がアップで、物理リンク状態がアップである限り、インターフェイスはアップ状態になります。FTD アプリケーション インターフェイスの管理状態は考慮されません。FTD からの同期がない場合は、たとえば、FTD アプリケーションが完全にオンラインになる前に、データインターフェイスが物理的にアップ状態になったり、FTD のシャットダウン開始後からしばらくの間はアップ状態のままになる可能性があります。インラインセットの場合、この状態の不一致によりパケットがドロップされることがあります。これは、 FTD が処理できるようになる前に外部ルータが FTD へのトラフィックの送信を開始することがあるためです。

この機能はデフォルトで無効になっており、FXOS の論理デバイスごとに有効にできます。

新規/変更された [Firepower Chassis Manager] ページ：[論理デバイス（Logical Devices）] > [リンク状態の有効化（Enable Link State）]

新規/変更された FXOS コマンド：set link-state-sync enabled 、show interface expand detail

サポートされるプラットフォーム：Firepower 4100/9300

Firepower 1100/2100 シリーズの SFP インターフェイスで、自動ネゴシエーションの無効化がサポートされるようになりました。

アップグレードの影響。

フロー制御とリンク ステータス ネゴシエーションを無効化するように Firepower 1100/2100 シリーズ SFP インターフェイスを設定できるようになりました。

以前は、これらのデバイスで SFP インターフェイス速度（1000 または 10000 Mbps）を設定すると、フロー制御とリンク ステータス ネゴシエーションが自動的に有効になり、無効にはできませんでした。

[ネゴシエーションなし（No Negotiate）] を選択して、フロー制御とリンク ステータス ネゴシエーションを無効化できるようになりました。これにより、1 GB SFP インターフェイスまたは 10 GB SFP+ インターフェイスを設定しているかに関係なく、速度は 1000 Mbps に設定されます。10000 Mbps でネゴシエーションを無効化することはできません。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [インターフェイスの編集（edit interface）] > [ハードウェア構成（Hardware Configuration）] > [速度（Speed）]

サポートされるプラットフォーム：Firepower 1100/2100 シリーズ

Firepower Threat Defense：クラスタリング

FMC の新しいクラスタ管理機能。

FMC を使用して、以前は CLI を使用する必要のあった次のクラスタ管理タスクを実行できるようになりました。

• クラスタユニットを有効または無効にします。

• [Device Management] ページからクラスタのステータスを表示します（ユニットごとの履歴とサマリーを含む）。

• ロールをコントロールユニットに変更します。

新規/変更されたページ：

• [Devices] > [Device Management] > [More] メニュー

• [Devices] > [Device Management] > [Cluster] > [General] エリア > [Cluster Live Status] リンク > [Cluster Status]

サポートされるプラットフォーム：Firepower 4100/9300

クラスタ導入の高速化。

クラスタの展開がより迅速に完了するようになりました。また、ほとんどの導入の失敗も、より迅速に失敗します。

サポートされるプラットフォーム：Firepower 4100/9300

クラスタリングでの PAT アドレス割り当ての変更。PAT プールの [フラットなポート範囲（Flat Port Range）] オプションがデフォルトで有効になり、設定できなくなりました。

アップグレードの影響。

PAT アドレスがクラスタのメンバーに配布される方法が変更されます。

以前は、アドレスはクラスタのメンバーに配布されていたため、PAT プールにはクラスタメンバーごとに少なくとも 1 つのアドレスが必要でした。制御は各 PAT プールアドレスを等しいサイズのポートブロックに分割し、それらをクラスタメンバーに配布するようになりました。各メンバーには、同じ PAT アドレスのポートブロックがあります。したがって、通常 PAT に必要な接続量に応じて、PAT プールのサイズを 1 つの IP アドレスにまで減らすことができます。

ポートブロックは、1024 ～ 65535 の範囲で 512 ポートのブロック単位で割り当てられます。オプションで、PAT プールルールを設定するときに、このブロック割り当てに予約ポート 1 〜 1023 を含めることができます。たとえば、単一ノードでは PAT プール IP アドレスあたり 65535 個の接続すべてを処理するのに対し、4 ノードクラスタでは、各ノードは 32 個のブロックを取得し、PAT プール IP アドレスあたり 16384 個の接続を処理できます。

この変更の一環として、スタンドアロンまたはクラスタ内での動作に関わりなく、すべてのシステムの PAT プールは、フラットなポート範囲 1024 〜 65535 を使用できるようになりました。以前は、[Flat Port Range] オプションを PAT プールルール（FTD NAT の [Pat Pool] タブ）で有効化することで、フラットな範囲を使用できました。[フラットなポート範囲（Flat Port Range）] オプションは無視され、PAT プールは常にフラットになります。必要に応じて [Include Reserved Ports] オプションを選択して、PAT プールに 1 〜 1023 のポート範囲を含めることができます。

ポートブロック割り当てを設定する（[ブロック割り当て（Block Allocation）] PAT プールオプション）と、デフォルトの 512 ポートブロックではなく、独自のブロック割り当てサイズが使用されます。また、クラスタ内のシステムの PAT プールに拡張 PAT を設定することはできません。

この変更は自動的に有効になります。アップグレードの前後に何もする必要はありません。

サポートされるプラットフォーム：FTD

Firepower Threat Defense：暗号化と VPN

RA VPN の AnyConnect モジュールサポート。

FTD RA VPN で AnyConnect モジュールがサポートされるようになりました。

RA VPN グループポリシーの一部として、ユーザーが Cisco AnyConnect VPN クライアントをダウンロードするときに、さまざまなオプションモジュールをダウンロードしてインストールするように設定できるようになりました。これらのモジュールは、Web セキュリティ、マルウェア保護、オフネットワークローミング保護などのサービスを提供できます。

各モジュールを、AnyConnect プロファイルエディタで作成され、AnyConnect ファイルオブジェクトとして FMC にアップロードされたカスタム設定を含むプロファイルに関連付ける必要があります。

新規/変更されたページ：

• モジュールプロファイルのアップロード：新しい [File Type] オプションが [Objects] > [Object Management] > [VPN] > [AnyConnect File] > [Add AnyConnect File] に追加されました

• モジュールの設定：[Client Modules] オプションが [Objects] > [Object Management] > [VPN] > [Group Policy] > [add or edit a Group Policy object] > [AnyConnect] 設定に追加されました

サポートされるプラットフォーム：FTD

RA VPN の AnyConnect 管理 VPN トンネル。

FTD RA VPN は、エンドユーザーが VPN 接続を確立したときだけでなく、企業のエンドポイントの電源がオンになったときにエンドポイントへの VPN 接続を可能にする AnyConnect 管理 VPN トンネルをサポートするようになりました。

この機能は、オフィスネットワークに VPN を介してユーザーが頻繁に接続しないデバイスに対しては特に、外出中のオフィスのエンドポイントで管理者がパッチ管理を行うのに役立ちます。社内ネットワークの接続を必要とするエンドポイント オペレーティング システム ログイン スクリプトに対するメリットもあります。

サポートされるプラットフォーム：FTD

RA VPN のシングルサインオン。

FTD RA VPN は、 SAML 2.0 準拠のアイデンティティ プロバイダー（IdP）で設定されたリモートアクセス VPN ユーザーのシングルサインオン（SSO）をサポートするようになりました。

新規/変更されたページ：

• SSO サーバーへの接続：[Objects] > [Object Management] > [AAA Server] > [Single Sign-on Server]

• RA VPN の一部として SSO を設定します。RA VPN 接続プロファイルを設定する際に、認証方式（AAA 設定）として [SAML] を追加しました。

サポートされるプラットフォーム：FTD

RA VPN の LDAP 許可。

FTD RA VPN は、LDAP 属性マップを使用した LDAP 認証をサポートするようになりました。

LDAP 属性マップにより、Active Directory（AD）または LDAP サーバーに存在する属性が、シスコの属性名と同一視されるようになります。その後、リモートアクセス VPN 接続の確立中に AD または LDAP サーバーが FTD デバイスに認証を返すと、FTD デバイスは、その情報を使用して、AnyConnect クライアントが接続を完了する方法を調整できます。

サポートされるプラットフォーム：FTD

仮想トンネルインターフェイス（VTI）とルートベースのサイト間 VPN。

FTD サイト間 VPN は、仮想トンネルインターフェイス（VTI）と呼ばれる論理インターフェイスをサポートするようになりました。

ポリシーベース VPN の代替策として、仮想トンネルインターフェイスが設定されたピア間に VPN トンネルを作成することができます。これは、各トンネルの終端に IPsec プロファイルが付加されたルートベースの VPN をサポートします。これは、動的または静的なルートの使用が可能です。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。トラフィックは、スタティックルートまたは BGP を使用して暗号化されます。ルーテッド セキュリティ ゾーンを作成し、そこに VTI インターフェイスを追加し、VTI トンネルを介して復号化されたトラフィック制御のアクセス制御ルールを定義できます。

VTI ベースの VPN は、次の間で作成できます。

• 2 つの FTD デバイス

• FTD デバイスとパブリッククラウド

• FTD デバイスとサービスプロバイダーの冗長性を備えた別の FTD デバイス

新規/変更されたページ：

• [Devices] > [Device Management] > [Interfaces] > [Add Interfaces] > [Virtual Tunnel Interface]

• [Devices] > [VPN] > [Site To Site] > [Add VPN] > [Firepower Threat Defense Device] > [Route Based (VTI)]

サポートされるプラットフォーム：FTD

サイト間 VPN に対するダイナミック RRI サポート。

FTD サイト間 VPN は、サイト間 VPN 展開で IKEv2 ベースのスタティック暗号マップでサポートされるダイナミック リバース ルート インジェクション（RRI）をサポートするようになりました。これにより、スタティックルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティングプロセスに自動的に挿入されます。

新規/変更されたページ：サイト間 VPN トポロジにエンドポイントを追加するときの [ダイナミック リバース ルート インジェクションの有効化（Enable Dynamic Reverse Route Injection）] 詳細オプションが追加されました。

サポートされるプラットフォーム：FTD

手動証明書登録の拡張機能。

署名済み CA 証明書とアイデンティティ証明書を CA 機関から互いに独立して取得できるようになりました。

証明書署名要求（CSR）を作成し、アイデンティティ証明書を取得するための登録パラメータを保存する PKI 証明書登録オブジェクトに次の変更を行いました。

• PKI 証明書登録オブジェクトの手動登録設定に [CA Only] オプションが追加されました。このオプションを有効にすると、CA 機関から署名済み CA 証明書のみを受け取り、アイデンティティ証明書は受け取りません。

• PKI 証明書登録オブジェクトの手動登録設定で、[CA Certificate] フィールドを空白のままにできるようになりました。これを行うと、署名済み CA 証明書ではなく、CA 機関からアイデンティティ証明書のみを受け取ります。

新規/変更されたページ：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [PKI] > [証明書の登録（Cert Enrollment）] > [証明書の登録の追加（Add Cert Enrollment）] > [CA 情報（CA Information）] > [登録タイプ（Enrollment Type）] > [手動（Manual）]

サポートされるプラットフォーム：FTD

FTD 証明書管理の拡張機能。

FTD 証明書管理に次の機能拡張が行われました。

• 証明書の内容を表示するときに、認証局（CA）のチェーンを表示できるようになりました。

• 証明書をエクスポートできるようになりました。

新規/変更されたページ：

• [Devices] > [Certificates] > [Status] 列 > [View] アイコン（虫めがね）

• [Devices] > [Certificates] > [Export] アイコン

サポートされるプラットフォーム：FTD

アクセス制御：URL フィルタリング、アプリケーション制御、およびセキュリティ インテリジェンス

TLS 1.3（TLS サーバーアイデンティティ検出）で暗号化されたトラフィックの URL フィルタリングとアプリケーション制御。

サーバー証明書からの情報を使用して、TLS 1.3 で暗号化されたトラフィックの URL フィルタリングとアプリケーション制御を実行できるようになりました。この機能が動作するためにトラフィックを復号化する必要はありません。

新規/変更されたページ：アクセス コントロール ポリシーの [詳細（Advanced）] タブに [TLS サーバーアイデンティティ検出（TLS Server Identity Discovery）] の警告とオプションが追加されました。

新規/変更された FTD CLI コマンド：show conn detail コマンドの出力に B フラグが追加されました。TLS 1.3 暗号化接続では、このフラグは、アプリケーションおよび URL の検出にサーバー証明書を使用したことを示します。

サポートされるプラットフォーム：FTD

レピュテーションが不明な Web サイトへのトラフィックに対する URL フィルタリング。

レピュテーションが不明な Web サイトに対して URL フィルタリングを実行できるようになりました。

新規/変更されたページ：アクセス制御、QoS、および SSL ルールエディタに [不明なレピュテーションに適用（Apply to unknown reputation）] チェックボックスが追加されました。

サポートされるプラットフォーム：FMC

DNS フィルタリングにより URL フィルタリングを強化します。

ベータ版。

DNS フィルタリングは、暗号化されたトラフィックを含め（ただしトラフィックを復号化せずに）トランザクションの早い段階で要求されたドメインのカテゴリとレピュテーションを決定することで、URL フィルタリングを強化します。アクセス コントロール ポリシーごとに DNS フィルタリングを有効にし、そのポリシーのすべてのカテゴリ/レピュテーション URL ルールに適用します。

新規/変更されたページ：[全般設定（General Settings）] の下のアクセス コントロール ポリシーの [詳細（Advanced）] タブに [DNS トラフィックへのレピュテーション適用の有効化（Enable reputation enforcement on DNS traffic）] オプションが追加されました。

サポートされるプラットフォーム：FMC

セキュリティ インテリジェンス フィードの更新頻度の短縮。

FMC は、5 分または 15 分ごとにセキュリティ インテリジェンス データを更新できるようになりました。以前は、最短更新頻度は 30 分でした。

カスタムフィードでこれらの短い頻度のいずれかを設定する場合は、md5 チェックサムを使用してフィードにダウンロードする更新があるかどうかを判断するようにシステムを設定する必要もあります。

新規/変更されたページ： [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [セキュリティ インテリジェンス（Security Intelligence）] > [ネットワークリストとフィード（Network Lists and Feeds）] > [フィードの編集（edit feed）] > [更新頻度（Update Frequency）] に新しいオプションが追加されました。

サポートされるプラットフォーム：FMC

アクセス制御：ユーザー制御

ISE/ISE-PIC を使用した pxGrid 2.0。

アップグレードの影響。

FMC を ISE/ISE-PIC アイデンティティソースに接続する場合は、pxGrid 2.0 を使用します。まだ pxGrid 1.0 を使用している場合は、ここで切り替えてください。このバージョンは廃止されました。

pxGrid 2.0 で使用するために、バージョン 6.7.0 では Cisco ISE 適応型ネットワーク制御（ANC）修復が導入され、相関ポリシー違反に関連する ISE 設定 ANC ポリシーが適用またはクリアされます。

pxGrid 1.0 で Cisco ISE エンドポイント保護サービス（EPS）修復を使用した場合は、pxGrid 2.0 で ANC 修復を設定して使用します。「誤った」pxGrid を使用している場合、ISE 修復は起動しません。ISE Connection Status Monitor ヘルスモジュールは、不一致を警告します。

サポートされているすべての Firepower バージョン（統合製品を含む）の詳細な互換性情報については、『Cisco Firepower Compatibility Guide』を参照してください。

新規/変更されたページ：

• [Policies] > [Actions] > [Modules] > [Installed Remediation Modules] リスト

• [Policies] > [Actions] > [Instances] > [Select a module type] ドロップダウンリスト

サポートされるプラットフォーム：FMC

レルムシーケンス。

レルムを順序付けられたレルムシーケンスにグループ化できるようになりました。

単一のレルムを追加するのと同じ方法で、アイデンティティルールにレルムシーケンスを追加します。アイデンティティルールをネットワークトラフィックに適用すると、システムは指定された順序で Active Directory ドメインを検索します。LDAP レルムのレルムシーケンスは作成できません。

新規/変更されたページ：[システム（System）] > [統合（Integration）] > [レルムシーケンス（Realm Sequences）]

サポートされるプラットフォーム：FMC

ISE サブネットフィルタリング。

特にメモリの少ないデバイスでは、CLI を使用して、ISE からのユーザーと IP およびセキュリティグループタグ（SGT）と IP のマッピングの受信から、サブネットを除外できるようになりました。

Snort Identity Memory Usage ヘルスモジュールは、メモリ使用率が特定のレベル（デフォルトでは 80%）を超えるとアラートを出します。

新しいデバイス CLI コマンド： configure identity-subnet-filter { add | remove}

サポートされるプラットフォーム：FMC 管理対象デバイス

アクセス制御：侵入およびマルウェア防御

動的分析のためのファイルの事前分類の改善。

アップグレードの影響。

システムは、静的分析の結果（動的要素のないファイルなど）に基づいて、疑わしいマルウェアファイルを動的分析用に送信しないことを決定できるようになりました。

アップグレード後、[Captured Files] テーブルでは、これらのファイルの動的分析ステータスが [Rejected for Analysis] になります。

サポートされるプラットフォーム：FMC

S7Commplus プリプロセッサ。

新しい S7Commplus プリプロセッサは、広く受け入れられている S7 産業用プロトコルをサポートします。これを使用して、対応する侵入ルールとプリプロセッサルールを適用し、悪意のあるトラフィックをドロップし、侵入イベントを生成できます。

新規/変更されたページ：

• プリプロセッサの有効化：ネットワーク分析ポリシーエディタで、[Settings] をクリックし（「Settings」という語をクリックします）、SCADA プリプロセッサで [S7Commplus Configuration] を有効にします。

• プリプロセッサの設定：ネットワーク分析ポリシーエディタの [Settings] で、[S7Commplus Configuration] をクリックします。

• S7Commplus プリプロセッサルールの設定：侵入ポリシーエディタで、[Rules] > [Preprocessors] > [S7 Commplus Configurations] の順にクリックします。

サポートされるプラットフォーム：ISA 3000 を含むすべての FTD デバイス

カスタム侵入ルールのインポートでルール競合の際に警告表示。

カスタム（ローカル）侵入ルールをインポートする場合、FMC がルールの競合について警告するようになりました。以前は、FMC は競合の原因となるルールをサイレントにスキップしていました。ただし、競合のあるルールのインポートが完全に失敗するバージョン 6.6.0.1 は除きます。

[ルールの更新（Rule Updates）] ページで、ルールのインポートに競合があった場合は、[ステータス（Status）] 列に警告アイコンが表示されます。詳細については、警告アイコンの上にポインタを置いて、ツールチップを参照してください。

既存のルールと同じ SID/リビジョン番号を持つ侵入ルールをインポートしようとすると、競合が発生することに注意してください。カスタムルールの更新バージョンには必ず新しいリビジョン番号を付けてください。FMC コンフィギュレーション ガイドでローカル侵入ルールをインポートするためのベストプラクティスを参考にすることを推奨します。

新規/変更されたページ：[システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] に警告アイコンが追加されました。

サポートされるプラットフォーム：FMC

アクセス制御：TLS/SSL 暗号解読

復号の既知キー TLS/SSL ルールのための ClientHello の変更。

アップグレードの影響。

TLS/SSL 復号化を設定した場合、管理対象デバイスが ClientHello メッセージを受信すると、システムはそのメッセージを復号の既知キーアクションを含む TLS/SSL ルールと照合しようとします。以前は、システムは ClientHello メッセージと復号 - 再署名ルールのみを照合していました。

照合は ClientHello メッセージからのデータとキャッシュされたサーバー証明書データからのデータに依存します。メッセージが一致すると、ClientHello メッセージが特定の方法で変更されます。FMC コンフィギュレーション ガイドの「ClientHello メッセージ処理」のトピックを参照してください。

サポートされているプラットフォーム：すべてのデバイス

イベントロギングおよび分析

オンプレミスの Stealthwatch ソリューションによるリモートデータストレージと相互起動。

オンプレミスの Stealthwatch ソリューションである Cisco Security Analytics and Logging（On Premises）を使用して、大量の Firepower イベントデータを FMC 以外に保存できるようになりました。

FMC でイベントを表示する場合、リモートデータストレージの場所にあるイベントをすばやく相互起動して表示できます。FMC は syslog を使用して、接続、セキュリティ インテリジェンス、侵入、ファイル、およびマルウェアイベントを送信します。

サポートされるプラットフォーム：FMC

Stealthwatch コンテキスト相互起動リソースを迅速に追加する。

FMC の新しいページを使用すると、Stealthwatch アプライアンスのコンテキスト相互起動リソースをすばやく追加できます。

Stealthwatch リソースを追加した後は、一般的なコンテキスト相互起動ページで管理します。ここで、Stealthwatch 以外の相互起動リソースを手動で作成および管理します。

新規/変更されたページ：

• Stealthwatch リソースを追加します。[System] > [Logging] > [Security Analytics and Logging]

• リソースを管理します。[Analysis] > [Advanced] > [Contextual Cross-Launch]

サポート対象プラットフォーム：FMC

新しい相互起動オプションフィールドタイプ。

次のイベントデータの追加タイプを使用して、外部リソースに相互起動できるようになりました。

• アクセス コントロール ポリシー

• 侵入ポリシー

• アプリケーションプロトコル

• クライアント アプリケーション

• Web アプリケーション

• ユーザー名（レルムを含む）

新規/変更されたページ：

• 相互起動クエリリンクを作成または編集する際の新しい変数：[Analysis] > [Advanced] > [Contextual Cross-Launch]。

• ダッシュボードとイベントビューアの新しいデータタイプで、右クリックで相互起動が可能になりました。

サポートされるプラットフォーム：FMC

National Vulnerability Database（NVD）が Bugtraq に代わって使用されるようになりました。

アップグレードの影響。

Bugtraq 脆弱性データは使用できなくなりました。現在、ほとんどの脆弱性データは NVD から取得されています。この変更をサポートするために、次の変更を行いました。

• [CVE ID] および [Severity] フィールドが [Vulnerabilities] テーブルに追加されました。テーブルビューで CVE ID を右クリックすると、NVD の脆弱性に関する詳細を表示できます。

• [Vulnerability Impact] フィールドが [Impact] に名前変更されました（テーブルビューのみ）。

• 使用されていない/冗長な [Bugtraq ID]、[Title, Available Exploits]、[Technical Description]、[Solution] フィールドが削除されました。

• ホストネットワークマップから [Bugtraq ID] フィルタリングオプションが削除されました。

脆弱性データをエクスポートする場合は、アップグレード後に統合が期待どおりに機能していることを確認します。

サポートされるプラットフォーム：FMC

アップグレード

アップグレード前の互換性チェック。

アップグレードの影響。

FMC 展開では、より複雑な準備状況チェックを実行したり、アップグレードを試行したりする前に、Firepower アプライアンスがアップグレード前の互換性チェックに合格することが必要になりました。このチェックは、アップグレードが失敗する原因となる問題を検出します。これらをより早期に検出し、続行をブロックするようになりました。

検出は次のとおりです。

• FXOS を新しいリリースの付属する FXOS バージョンにアップグレードするまで、FMC を使用して Firepower 4100/9300 シャーシをバージョン 6.7.0 以降にアップグレードすることはできません。

  デバイスをバージョン 6.7.0 以降にアップグレードしている限り、アップグレードはブロックされます。たとえば、Firepower バージョン 6.6.x に対して古いバージョンの FXOS がデバイスで実行されている場合でも、Firepower 4100/9300 の 6.3 → 6.6.x のアップグレードはブロックされません。

• デバイスの設定が古い場合、FMC を使用してデバイスをアップグレードすることはできません。

  FMC がバージョン 6.7.0 以降を実行しており、管理対象デバイスを有効なターゲットにアップグレードしている限り、アップグレードはブロックされます。たとえば、デバイスの設定が古い場合、デバイスを 6.3.0 → 6.6.x にアップグレードするとブロックされます。

• デバイスの設定が古い場合、FMC をバージョン 6.7.0 以上からアップグレードすることはできません。

  FMC がバージョン 6.7.0 以降を実行している限り、アップグレードはブロックされます。以前のバージョン（バージョン 6.7.0 へのアップグレードを含む）からアップグレードする場合は、必ず自分で展開する必要があります。

インストールするアップグレードパッケージを選択すると、FMC はすべての対象アプライアンスの互換性チェック結果を表示します。新しい [Readiness Check] ページにもこの情報が表示されます。示された問題を修正するまでアップグレードできません。

新規/変更されたページ：

• アップグレードパッケージの[System] > [Update] > [Product Updates] > [Available Updates] > [Install]アイコン

• [System] > [Update] > [Product Updates] > [Readiness Checks]

サポートされるプラットフォーム：FMC、FTD

準備状況チェックの改善。

アップグレードの影響。

準備状況チェックにより、ソフトウェアをアップグレードするための Firepower アプライアンスの準備状況を評価できます。これらのチェックには、データベースの整合性、ファイルシステムの整合性、設定の整合性、ディスク容量などが含まれます。

FMC をバージョン 6.7.0 にアップグレードすると、FTD のアップグレード準備状況チェックが次のように改善されます。

• 準備状況チェックが高速になります。

• デバイス CLI にログインすることなく、ハイアベイラビリティおよびクラスタ化された FTD デバイスで準備状況チェックがサポートされるようになりました。

• FTD デバイスをバージョン 6.7.0 以上にアップグレードするための準備状況チェックで、デバイスにアップグレードパッケージが存在する必要はなくなりました。アップグレード自体を開始する前に、アップグレードパッケージをデバイスにプッシュすることをお勧めしますが、準備状況チェックを実行する前に行う必要はありません。

• インストールするアップグレードパッケージを選択すると、該当するすべての FTD デバイスの準備状況が FMC に表示されるようになりました。新しい [Readiness Checks] ページでは、展開内の FTD デバイスの準備状況チェックの結果を表示できます。このページから準備状況チェックを再実行することもできます。

• 準備状況チェックの結果には、推定アップグレード時間が含まれます（ただし、リブート時間は含まれません）。

• エラーメッセージの方が優れています。FMC のメッセージセンターから成功/失敗ログをダウンロードすることもできます。

FMC がバージョン 6.7.0 以上を実行している限り、これらの改善はバージョン 6.3.0 以上からの FTD アップグレードでサポートされます。

新規/変更されたページ：

• アップグレードパッケージの[System] > [Update] > [Product Updates] > [Available Updates] > [Install]アイコン

• [System] > [Update] > [Product Updates] > [Readiness Checks]

• [Message Center] > [Tasks]

サポートされるプラットフォーム：FTD

FTD アップグレード ステータス レポートとキャンセル/再試行オプションの改善。

アップグレードの影響。

[Device Management] ページで、進行中のデバイスアップグレードと準備状況チェックのステータス、およびアップグレードの成功/失敗の 7 日間の履歴を表示できるようになりました。メッセージセンターでは、拡張ステータスとエラーメッセージも提供されます。

デバイス管理とメッセージセンターの両方からワンクリックでアクセスできる新しい [Upgrade Status] ポップアップに、残りのパーセンテージ/時間、特定のアップグレード段階、成功/失敗データ、アップグレードログなどの詳細なアップグレード情報が表示されます。

また、このポップアップで、失敗したアップグレードまたは進行中のアップグレードを手動でキャンセル（[Cancel Upgrade]）することも、失敗したアップグレードを再試行（[Retry Upgrade]）することもできます。アップグレードをキャンセルすると、デバイスはアップグレード前の状態に戻ります。

新規/変更されたページ：

• FTD アップグレードパッケージの[System] > [Update] > [Product Updates] > [Available Updates] > [Install]アイコン

• [Devices] > [Device Management] > [Upgrade]

• [Message Center] > [Tasks]

新しい FTD CLI コマンド：

• show upgrade status detail

• show upgrade status continuous

• show upgrade status

• upgrade cancel

• upgrade retry

サポートされるプラットフォーム：FTD

アップグレードがスケジュールされたタスクを延期する。

アップグレードの影響。

FMC アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。

この機能は、サポートされているバージョンからのすべてのアップグレードでサポートされていることに注意してください。これには、バージョン 6.4.0.10 以降のパッチ、バージョン 6.6.3 以降のメンテナンスリリース、およびバージョン 6.7.0 以降が含まれます。この機能は、サポートされていないバージョンからサポートされているバージョンへのアップグレードではサポートされていません。

サポートされるプラットフォーム：FMC

アップグレードでディスク容量を節約するために PCAP ファイルが削除される。

アップグレードの影響。

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。アップグレードにより、ローカルに保存された PCAP ファイルが削除されるようになりました。

サポートされているプラットフォーム：すべて

展開とポリシー管理

設定のロール バック。

ベータ版。

FTD デバイスの設定を「ロールバック」して、以前に展開した設定に置き換えることができるようになりました。

新規/変更されたページ：[Deploy] > [Deployment History] > [Rollback] 列とアイコン。

サポートされるプラットフォーム：FTD

侵入およびファイルポリシーを（アクセス コントロール ポリシーとは無関係に）展開する。

依存する変更がない限り、アクセス コントロール ポリシーとは無関係に侵入ポリシーとファイルポリシーを選択して展開できるようになりました。

新規/変更されたページ：[展開（Deploy）] > [展開（Deployment）]

サポートされるプラットフォーム：FMC

アクセス制御ルールのコメントの検索。

アクセス制御ルールのコメント内で検索できるようになりました。

新規/変更されたページ：アクセス コントロール ポリシー エディタで、[検索ルール（Search Rules）] ドロップダウンダイアログに [コメント（Comments）] フィールドが追加されました。

サポートされるプラットフォーム：FMC

FTD NAT ルールの検索とフィルタリング。

FTD NAT ポリシーでルールを検索して、IP アドレス、ポート、オブジェクト名などに基づいてルールを検索できるようになりました。検索結果には部分一致が含まれます。条件で検索すると、ルールテーブルがフィルタリングされ、一致するルールのみが表示されます。

新規/変更されたページ：FTD NAT ポリシーを編集するときに、ルールテーブルの上に検索フィールドが追加されました。

サポートされるプラットフォーム：FTD

アクセス コントロール ポリシーとプレフィルタポリシー間のルールのコピーおよび移動。

あるアクセス コントロール ポリシーから別のアクセス コントロール ポリシーにアクセス制御ルールをコピーできます。アクセス コントロール ポリシーとそれに関連付けられたプレフィルタポリシーの間でルールを移動することもできます。

新規/変更されたページ：アクセス コントロール ポリシー エディタおよびプレフィルタ ポリシー エディタで、各ルールの右クリックメニューに [Copy] および [Move] オプションが追加されました。

サポートされるプラットフォーム：FMC

オブジェクト一括インポート。

カンマ区切り値（CSV）ファイルを使用して、ネットワーク、ポート、URL、VLAN タグ、および識別名オブジェクトを FMC に一括インポートできるようになりました。

制限事項および特定のフォーマット手順については、FMC コンフィギュレーション ガイドの「再利用可能なオブジェクト」の章を参照してください。

新規/変更されたページ：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [オブジェクトタイプの選択（choose an object type）] > [オブジェクトタイプの追加（Add Object Type）] > [オブジェクトのインポート（Import Object）]

サポートされるプラットフォーム：FMC

アクセス制御およびプレフィルタポリシーのインターフェイス オブジェクトの最適化。

特定の FTD デバイスでインターフェイス オブジェクトの最適化を有効にできるようになりました。

展開時に、アクセス制御とプレフィルタポリシーで使用されるインターフェイスグループとセキュリティゾーンは、送信元/宛先インターフェイスペアごとに個別のルールを生成します。インターフェイス オブジェクトの最適化を有効にすると、システムはアクセス制御/プレフィルタルールごとに 1 つのルールを展開します。これにより、デバイス設定の簡素化および展開のパフォーマンス向上が可能になります。

インターフェイス オブジェクトの最適化はデフォルトで無効になっています。これを有効にする場合は、[Object Group Search] も有効にする必要があります。これは、ネットワークオブジェクトに加えてインターフェイス オブジェクトにも適用されるようになり、デバイスのメモリ使用量を削減できます。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device） > [詳細設定（Advanced Settings）] セクション > [インターフェイス オブジェクトの最適化（Interface Object Optimization）] チェックボックス

サポートされるプラットフォーム：FTD

管理とトラブルシューティング

FMC シングルサインオン。

FMC は、サードパーティの SAML 2.0 準拠アイデンティティ プロバイダー（IdP）で設定された外部ユーザーのシングルサインオン（SSO）をサポートするようになりました。IdP のユーザーまたはグループロールを FMC ユーザーロールにマッピングできます。

新規/変更されたページ：

• [Login] > [Single Sign-On]

• [System] > [Users] > [SSO]

サポートされるプラットフォーム：FMC

FMC ログアウトの遅延。

FMC からログアウトする場合、自動的に 5 秒間のカウントダウンが行われます。[ログアウト（Log Out）] を再度クリックすると、すぐにログアウトできます。

サポート対象プラットフォーム：FMC

FTD コンテナインスタンスのバックアップと復元。

FMC を使用してバージョン 6.7.0 以降の FTD コンテナインスタンスをバックアップおよび復元できるようになりました。

サポートされるプラットフォーム：Firepower 4100/9300

ヘルスモニタリングの強化。

ヘルスモニタリングが次のように拡張されました。

• [Health Status] サマリーページでは Firepower Management Center と FMC が管理するすべてのデバイスの正常性を一目で確認できます。

• [Monitoring] ナビゲーションペインでは、デバイス階層を移動できます。

• 管理対象デバイスは、個別に一覧表示されるか、該当する場合は地理位置情報、高可用性、またはクラスタステータスに基づいてグループ化されます。

• ナビゲーションペインから個々のデバイスのヘルスモニターを表示できます。

• 相互に関連するメトリックを相互に関連付けるカスタムダッシュボード。CPU や Snort などの事前定義された相関グループから選択します。または、使用可能なメトリックグループから独自の変数セットを作成して、カスタム相関ダッシュボードを作成します。

サポートされるプラットフォーム：FMC

ヘルスモジュールの更新。

CPU 使用率ヘルスモジュールが 4 つの新しいモジュールに置き換わりました。

• CPU 使用率（コアごと）：すべてのコアの CPU 使用率をモニターします。

• CPU 使用率データプレーン：デバイス上のすべてのデータプレーンプロセスの平均 CPU 使用率をモニターします。

• CPU 使用率 Snort：デバイス上の Snort プロセスの平均 CPU 使用率をモニターします。

• CPU 使用率システム：デバイス上のすべてのシステムプロセスの平均 CPU 使用率をモニターします。

メモリ使用量を追跡するために、次のヘルスモジュールが追加されました。

• メモリ使用率データプレーン：データプレーンプロセスで使用される割り当て済みメモリの割合をモニターします。

• メモリ使用率 Snort：Snort プロセスによって使用される割り当て済みメモリの割合をモニターします。

統計情報を追跡するために、次のヘルスモジュールが追加されました。

• 接続統計情報：接続統計情報と NAT 変換カウントをモニターします。

• クリティカルプロセス統計情報：クリティカルプロセスの状態、リソース消費量、再起動回数をモニターします。

• 展開された設定の統計情報：展開された設定に関する統計情報（ACE の数や IPS ルールなど）をモニターします。

• Snort 統計情報：イベント、フロー、およびパケットの Snort 統計情報をモニターします。

サポートされるプラットフォーム：FMC

メッセージセンターの検索。

メッセージセンターで現在のビューをフィルタリングできるようになりました。

新規/変更されたページ：メッセージセンターの [Show Notifications] スライダに [Filter] アイコンとフィールドが追加されました。

サポート対象プラットフォーム：FMC

ユーザビリティとパフォーマンス

Dusk テーマ。

ベータ版。

FMC Web インターフェイスのデフォルトは Light テーマですが、新しい Dusk テーマを選択することもできます。

新規/変更されたページ：ユーザー名の下にあるドロップダウンリストの [ユーザー設定（User Preferences）]

サポートされるプラットフォーム：FMC

FMC メニューの検索。

FMC メニューを検索できるようになりました。

新規/変更されたページ：[Deploy] メニューの左側にある [FMC] メニューバーに [Search] アイコンとフィールドが追加されました。

サポート対象プラットフォーム：FMC

Firepower Management Center REST API

新しい REST API サービス。

新機能と既存の機能をサポートするために、次の FMC REST API サービス/操作が追加されました。

認可サービス：

• ssoconfig：FMC シングルサインオンを取得および変更するための GET および PUT 操作。

ヘルスサービス：

• メトリック：ヘルスモニターのメトリックを取得する GET 操作。

• アラート：ヘルスアラートを取得する GET 操作。

• deploymentdetails：展開の正常性の詳細を取得する GET 操作。

展開サービス：

• jobhistories：展開履歴を取得する GET 操作。

• rollbackrequests：設定ロールバックを要求する POST 操作。

デバイスサービス：

• メトリック：デバイスメトリックを取得する GET 操作。

• virtualtunnelinterfaces：仮想トンネルインターフェイスを取得および変更するための GET、PUT、POST、および DELETE 操作。

統合サービス：

• externalstorage：外部イベントストレージ設定を取得および変更するための GET、ID による GET、および PUT 操作。

ポリシーサービス：

• intrusionpolicies：侵入ポリシーを変更するための POST および DELETE 操作。

サービスの更新：

• cancelupgrades：失敗したアップグレードをキャンセルする POST 操作。

• retryupgrades：失敗したアップグレードを再試行する POST 操作。

サポート対象プラットフォーム: FMC

サポート終了：Firepower ソフトウェアを使用した ASA 5525-X、5545-X、および 5555-X デバイス。

ASA 5525-X、5545-X、および 5555-X でバージョン 6.7 以降は実行できません。

廃止：Cisco Firepower User Agent ソフトウェアとアイデンティティソース。

ユーザーエージェント設定を使用して FMC をバージョン 6.7 以降 にアップグレードすることはできません。

バージョン 6.6 は、Cisco Firepower User Agent ソフトウェアをアイデンティティソースとしてサポートする最後のリリースです。Cisco Identity Services Engine/Passive Identity Connector（ISE/ISE-PIC）に切り替える必要があります。ライセンスを変換するには、販売担当者にお問い合わせください。

詳細については、Cisco Firepower User Agent のサポート終了 [英語] 通知、および Firepower ユーザー ID：ユーザーエージェントから Identity Services Engine への移行 [英語] の技術メモを参照してください。

廃止された FTD CLI コマンド： configure user agent

廃止：Cisco ISE エンドポイント保護サービス（EPS）の修復。

Cisco ISE エンドポイント保護サービス（EPS）の修復は、pxGrid 2.0 では機能しません。代わりに、新しい Cisco ISE Adaptive Network Control（ANC）修復を設定して使用します。

「不正な」pxGrid を使用して FMC を ISE/ISE-PIC アイデンティティソースに接続している場合、ISE 修復は起動しません。ISE Connection Status Monitor ヘルスモジュールは、不一致を警告します。

廃止：安全性の低い Diffie-Hellman グループ、暗号化アルゴリズム、およびハッシュアルゴリズム。

FMC がアップグレードされないようにします。

次の FTD 機能のいずれかを使用している場合、FMC をアップグレードできないことがあります。

• Diffie-Hellman グループ：2、5、および 24。

  グループ 5 は、IKEv1 の FMC 展開で引き続きサポートされますが、より強力なオプションに変更することをお勧めします。

• 強力な暗号化の輸出規制を満たすユーザー向けの暗号化アルゴリズム：DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256。輸出規制を満たしていないユーザーの場合、DES は引き続きサポートされます（これが唯一のオプションです）。

• NULL の「暗号化アルゴリズム」（暗号化なしの認証、テスト目的）は、IKEv1 と IKEv2 の両方の IPsec プロポーザルの FMC 展開で引き続きサポートされます。ただし、IKEv2 ポリシーではサポートされなくなりました。

• ハッシュアルゴリズム：MD5。

IKE プロポーザルまたは IPsec ポリシーでこれらの機能を使用している場合は、アップグレードする前に VPN 設定を変更して確認します。

廃止：アプライアンス設定のリソース使用率の正常性モジュール（一時的）。

バージョン 6.7 では、バージョン 6.6.3 で導入され、後続のすべての 6.6.x リリースでサポートされるアプライアンス設定のリソース使用率の正常性モジュールに関するサポートが部分的かつ一時的に廃止されています。

バージョン 6.7 のサポートは次のとおりです。

• バージョン 6.6.3 以降からバージョン 6.7 への FMC のアップグレード

  デバイスがバージョン 6.6.x のままである場合にのみ、モジュールのサポートが継続されます。デバイスをバージョン 6.7 にアップグレードすると、モジュールは動作を停止し、正常性モニターにエラーが表示されます。エラーを解決するには、FMC を使用してモジュールを無効にし、ポリシーを再適用します。

• バージョン 6.3 〜 6.6.1 からバージョン 6.7.0 への FMC のアップグレード、または FMC バージョン 6.7 の新規インストール。

  このモジュールはサポートされていません。

  モジュールがサポートされていない FMC にモジュールが有効になっているバージョン 6.6.x デバイスを追加するまれなケースでは、解決できないエラーがヘルスモニターに表示されます。このエラーは無視しても問題ありません。

バージョン 7.0 ではフルサポートが提供され、モジュールの名前が 構成メモリ割り当てに変更されています。

廃止：その他のヘルスモジュール（永久的）。

バージョン 6.7 では、次のヘルスモジュールが廃止されています。

• CPU 使用率：4 つの新しいモジュールに置き換えられました。上記の新機能の表を参照してください。

• ローカルマルウェア分析：このモジュールは、バージョン 6.3 のデバイス上の脅威データの更新モジュールに置き換えられました。バージョン 6.7 以降の FMC は、古いモジュールが適用されるデバイスを管理できなくなります。

• ユーザー エージェント ステータス モニター：Cisco Firepower ユーザーエージェントはサポートされなくなりました。

廃止：クラシックテーマを使用したウォークスルー。

バージョン 6.7 では、クラシックテーマの FMC ウォークスルー（使用方法）が廃止されました。ユーザー設定でテーマを切り替えることができます。

廃止：Bugtraq

バージョン 6.7 では Bugtraq のデータベースフィールドとオプションが削除されます。Bugtraq 脆弱性データは使用できなくなりました。現在、ほとんどの脆弱性データは National Vulnerability Database（NVD）から取得されています。

脆弱性データをエクスポートする場合は、アップグレード後に統合が期待どおりに機能していることを確認します。

廃止：Microsoft Internet Explorer

Microsoft Internet Explorer を使用して Firepower Web インターフェイスをテストすることはなくなりました。Google Chrome、Mozilla Firefox、または Microsoft Edge に切り替えることをお勧めします。

廃止：地理位置情報の詳細。

アップグレードがスケジュールされたタスクを延期する。

アップグレードの影響。

アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。

この機能は、バージョン 6.6.3 以降を実行している Firepower アプライアンスでサポートされています。バージョン 6.4.0.10 以降のパッチからアップグレードする場合を除き、バージョン 6.6.3 へのアップグレードはサポートされません。

アプライアンス設定のリソース使用率の正常性モジュール。

バージョン 6.7.0 のアップグレードの影響。

バージョン 6.6.3 では、デバイスのメモリ管理が改善され、新しい正常性モジュールであるアプライアンス設定のリソース使用率が導入されています。

モジュールは、展開された設定のサイズに基づき、デバイスのメモリが不足するリスクがある場合にアラートを出します。アラートには、設定に必要なメモリ量と、使用可能なメモリ量を超過した量が示されます。アラートが出た場合は、設定を再評価してください。ほとんどの場合、アクセス制御ルールまたは侵入ポリシーの数または複雑さを軽減できます。詳細については、コンフィギュレーション ガイドの「アクセス制御のベストプラクティス」を参照してください。

アップグレードプロセスにより、すべての正常性ポリシーにこのモジュールが自動的に追加され、有効になります。アップグレード後、正常性ポリシーを管理対象デバイスに適用して、モニタリングを開始します。

プラットフォーム

Firepower 4112 上の FTD。

Firepower 4112 が導入されました。このプラットフォームでは、ASA 論理デバイスを展開することもできます。FXOS 2.8.1 が必要です。

AWS の展開用の大型のインスタンス。

アップグレードの影響。

FTDv for AWS により、次の大型のインスタンスのサポートが追加されています。

• C5.xlarge

• C 5.2 xlarge

• C5.4xlarge

クラウドベースの FTDv 展開の自動スケール。

AWS 自動スケール/Azure 自動スケールのサポートが導入されました。

クラウドベースの展開におけるサーバーレス インフラストラクチャでは、キャパシティのニーズに基づいて、自動スケールグループ内の FTDv インスタンスの数が自動的に調整されます。これには、管理側の FMC との自動登録/登録解除が含まれています。

サポートされているプラットフォーム：FTDv for AWS、FTDv for Azure

Firepower Threat Defense：デバイス管理

DHCP を使用した初期管理インターフェイスの IP アドレスの取得。

Firepower 1000/2000 シリーズと ASA-5500-X シリーズのデバイスの場合、管理インターフェイスはデフォルトで DHCP から IP アドレスを取得するようになりました。この変更により、既存のネットワーク上に新しいデバイスを簡単に展開できるようになりました。

この機能は、論理デバイスを展開するときに IP アドレスを設定する Firepower 4100/9300 シャーシではサポートされていません。また、FTDv や ISA 3000 でもサポートされていません。これらについては、引き続きデフォルトで 192.168.45.45 になります。

サポートされているプラットフォーム：Firepower 1000/2000 シリーズ、ASA-5500-X シリーズ

CLI での MTU 値の設定。

FTD CLI を使用して、FTD デバイスインターフェイスの MTU（最大伝送単位）値を設定できるようになりました。デフォルト値は 1500 バイトです。MTU の最大値は次のとおりです。

• 管理インターフェイス：1500 バイト

• イベントインターフェイス：9000 バイト

新しい FTD CLI コマンド： configure network mtu

変更された FTD CLI コマンド：mtu-event-channel キーワードと mtu-management-channel キーワードが configure network management-interface コマンドに追加されました。

サポートされるプラットフォーム：FTD

内部 Web サーバーからの Threat Defense アップグレードパッケージの取得。

FTD デバイスは、FMC からではなく、独自の内部 Web サーバーからアップグレードパッケージを取得できるようになりました。これは、FMC とそのデバイスの間の帯域幅が制限されている場合に特に役立ちます。また、FMC 上の領域も節約できます。

新規/変更されたページ：[システム（System）] > [更新（Updates）] > [更新のアップロード（Upload Update）] ボタン > [ソフトウェア更新ソースの指定（Specify Software Update Source）] オプション

サポートされるプラットフォーム：FTD

接続ベースのトラブルシューティングの機能拡張。

FTD CLI 接続ベースのトラブルシューティングに次の機能拡張が加えられました（デバッギング）。

• debug packet-module trace ：モジュールレベルのパケットトレースを有効にするために追加されました。

• debug packet-condition ：進行中の接続のトラブルシューティングをサポートするように変更されました。

サポートされるプラットフォーム：FTD

Firepower Threat Defense：クラスタリング

マルチインスタンス クラスタリング。

コンテナインスタンスを使用してクラスタを作成できるようになりました。Firepower 9300 では、クラスタ内の各モジュールに 1 つのコンテナインスタンスを含める必要があります。セキュリティエンジン/モジュールごとに複数のコンテナインスタンスをクラスタに追加することはできません。

クラスタインスタンスごとに同じセキュリティモジュールまたはシャーシモデルを使用することを推奨します。ただし、必要に応じて、同じクラスタ内に異なる Firepower 9300 セキュリティ モジュール タイプまたは Firepower 4100 モデルのコンテナインスタンスを混在させ、一致させることができます。同じクラスタ内で Firepower 9300 と 4100 のインスタンスを混在させることはできません。

新しい FXOS CLI コマンド： set port-type cluster

新規/変更された Chassis Manager ページ：

• [論理デバイス（Logical Devices）] > [クラスタの追加（Add Cluster）]

• [インターフェイス（Interfaces）] > [すべてのインターフェイス（All Interfaces）] > [新規追加（Add New）] ドロップダウンメニュー > [サブインターフェイス（Subinterface）] > [タイプ（Type）] フィールド

サポートされるプラットフォーム：Firepower 4100/9300

FTD クラスタでのデータユニットへのパラレル設定同期。

FTD クラスタの制御ユニットは、デフォルトでスレーブユニットとの設定変更を同時に同期させるようになりました。以前は、同期が順番に行われていました。

サポートされるプラットフォーム：Firepower 4100/9300

クラスタへの参加の失敗や削除のメッセージを show cluster history に追加。

クラスタユニットがクラスタへの参加に失敗するか、クラスタを離脱する場合のために、新しいメッセージが show cluster history コマンドに追加されました。

サポートされるプラットフォーム：Firepower 4100/9300

Firepower Threat Defense：ルーティング

仮想ルータと VRF-Lite。

複数の仮想ルータを作成して、インターフェイスグループの個別のルーティングテーブルを管理できるようになりました。各仮想ルータには独自のルーティングテーブルがあるため、デバイスを流れるトラフィックを明確に分離できます。

仮想ルータは、Virtual Routing and Forwarding の「Light」バージョンである VRF-Lite を実装しますが、この VRF-Lite は Multiprotocol Extensions for BGP（MBGP）をサポートしていません。

作成できる仮想ルータの最大数は 5 ~ 100 の範囲で、デバイスのモデルによって異なります。完全なリストについては、『Firepower Management Center Configuration Guide』の「 Virtual Routing for Firepower Threat Defense」の章を参照してください。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ

新しい FTD CLI コマンド：show vrf 。

変更された FTD CLI コマンド： [ vrf name | all] キーワードセットを CLI コマンド clear ospf 、clear route 、ping 、show asp table routing 、show bgp 、show ipv6 route 、show ospf 、show route 、show snort counters に追加し、必要に応じて出力が仮想ルータ情報を表示するように変更しました。

サポートされるプラットフォーム：FTD（Firepower 1010 および ISA 3000 を除く）

Firepower Threat Defense：VPN

リモートアクセス VPN 内の DTLS 1.2。

Datagram Transport Layer Security（DTLS） 1.2 を使用して、RA VPN 接続を暗号化できるようになりました。

FTD プラットフォーム設定を使用して、FTD デバイスが RA VPN サーバーとして動作するときに使用する最小 TLS プロトコルバージョンを指定します。また、DTLS 1.2 を指定する場合は、最小 TLS バージョンとして TLS 1.2 を選択する必要もあります。

Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.7 以降が必要です。

新規/変更されたページ：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defense ポリシーの追加/編集（Add/Edit Threat Defense Policy）] > [SSL] > [DTLS バージョン（DTLS Version）] オプション

サポートされるプラットフォーム：FTD（ASA 5508-X および ASA 5516-X を除く）

複数のピアに対するサイト間 VPN IKEv2 のサポート。

IKEv1 と IKEv2 のポイントツーポイント エクストラネットおよびハブアンドスポークトポロジのために、サイト間 VPN 接続にバックアップピアを追加できるようになりました。これまで設定できたのは、IKEv1 ポイントツーポイント トポロジのバックアップピアのみでした。

新規/変更されたページ：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [ポイントツーポイントまたはハブアンドスポーク FTD VPN トポロジの追加または編集（Add or Edit a Point to Point or Hub and Spoke FTD VPN Topology）] > [エンドポイントの追加（Add Endpoint）] > [IP アドレス（IP Address）] フィールドで、カンマ区切りのバックアップピアがサポートされるようになりました。

サポートされるプラットフォーム：FTD

セキュリティ ポリシー

セキュリティポリシーの使いやすさの向上。

バージョン 6.6.0 を使用すると、アクセス制御ルールとプレフィルタルールが簡単に使用できるようになります。次の作業に進んでください。

• 1 回の操作（状態、アクション、ロギング、侵入ポリシーなど）で、複数のアクセス制御ルールの特定の属性を編集します。

  アクセス コントロール ポリシー エディタで、関連するルールを選択し、右クリックして [編集（Edit）] を選択します。

• 複数のパラメータによってアクセス制御ルールを検索します。

  アクセス コントロール ポリシー エディタで、[ルールの検索（Search Rules）] テキストボックスをクリックしてオプションを表示します。

• アクセス制御ルールまたはプレフィルタルール内のオブジェクトの詳細と使用状況を表示します。

  アクセス コントロール ポリシー エディタまたはプレフィルタ ポリシー エディタで、ルールを右クリックし、[オブジェクトの詳細（Object Details）] を選択します。

サポートされるプラットフォーム：FMC

アクセス コントロール ポリシーのオブジェクトグループ検索。

動作中、FTD デバイスは、アクセスルールで使用されるネットワークオブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセスコントロールリストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます。

オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。

オブジェクトグループ検索は、ルールがどのように定義されているかや、FMC にどのように表示されるかには影響しません。アクセス制御ルールと接続を照合するときに、デバイスがアクセス制御ルールを解釈して処理する方法のみに影響します。オブジェクトグループ検索はデフォルトで無効になっています。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（Edit Device）] > [デバイス（Device）] タブ > [詳細設定（Advanced Settings）] > [オブジェクトグループ検索（Object Group Search）] オプション

サポートされるプラットフォーム：FTD

アクセス コントロール ポリシーとプレフィルタポリシーの時間ベースのルール。

適用するルールの絶対時間または反復時間、あるいは時間範囲を指定できるようになりました。このルールは、トラフィックを処理するデバイスのタイムゾーンに基づいて適用されます。

新規/変更されたページ：

• アクセス コントロール ルール エディタまたはプレフィルタルールエディタ

• [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [Threat Defense ポリシーの追加/編集（Add/Edit Threat Defense Policy）] > [タイムゾーン（Time Zone ）]

• [オブジェクト（Objects）]> [オブジェクト管理（Object Management）] > [時間範囲（Time Range）] と [タイムゾーン（Time Zone）]

サポートされるプラットフォーム：FTD

出力最適化の再有効化。

アップグレードの影響。

バージョン 6.6.0 では CSCvs86257 が修正されました。出力最適化が次のような状態だった場合があります。

• 有効になっていたがオフになり、アップグレードするとオンに戻る（機能が有効になっていた場合でも、バージョン 6.4.0 と 6.5.0 の一部のパッチでは出力最適化をオフにしていました）。

• 手動で無効にした場合は、アップグレード後に asp inspect-dp egress-optimization を使用して再度有効にすることをお勧めします。

サポートされるプラットフォーム：FTD

イベントロギングおよび分析

新しいデータストアによるパフォーマンスの向上。

アップグレードの影響。

パフォーマンスを向上させるために、バージョン 6.6.0 では、接続およびセキュリティ インテリジェンス イベントに新しいデータストアを使用します。

アップグレードが完了し、FMC がリブートすると、履歴接続イベントとセキュリティ インテリジェンス イベントがバックグラウンドで移行され、リソースが制限されます。FMC モデル、システム負荷、および保存したイベント数に応じて、数時間から最大で 1 日かかることがあります。

履歴イベントは、経過時間ごとに、最新のイベントが最初に以降されます。移行されていないイベントは、クエリ結果やダッシュボードに表示されません。移行が完了する前に接続イベントデータベースの制限に達した場合（アップグレード後のイベントの場合など）、最も古い履歴イベントは移行されません。

イベントの移行の進行状況は、メッセージセンターでモニターできます。

サポート対象プラットフォーム：FMC

URL の接続イベントとセキュリティ インテリジェンス イベントを検索する場合のワイルドカードのサポート。

example.com のパターンを持つ URL の接続イベントとセキュリティ インテリジェンス イベントを検索する場合は、ワイルドカードを含めなければならなくなりました。このような検索の場合、具体的には *example.com* を使用します。

サポート対象プラットフォーム：FMC

FTD デバイスを使用した最大 30 万の同時ユーザーセッションのモニタリング。

バージョン 6.6.0 では、FTD デバイスモデルの一部で、同時ユーザーセッション（ログイン）のモニタリングが新たにサポートされるようになります。

• 30 万セッション：Firepower 4140、4145、4150、9300

• 15 万セッション：Firepower 2140、4112、4115、4120、4125

他のすべてのデバイスは、2,000 に制限されている ASA FirePOWER を除き、以前の 64,000 の制限を引き続きサポートします。

新しい正常性モジュールでは、ユーザー ID 機能のメモリ使用率が設定可能なしきい値に達したときに、アラートを発行します。また、時間の経過に伴うメモリ使用率のグラフも表示できます。

新規/変更されたページ：

• [システム（System）] > [正常性（Health）] > [ポリシー（Policy）] > [正常性ポリシーを追加または編集（Add or Edit Health Policy）] > [Snort アイデンティティメモリ使用率（Snort Identity Memory Usage）]

• [システム（System）] > [正常性（Health）] > [モニター（Monitor）] > デバイスの選択 > [Snort アイデンティティメモリ使用率（Snort Identity Memory Usage）] モジュールの [グラフ（Graph）] オプション

サポートされるプラットフォーム：上記の FTD デバイス

IBM QRadar との統合。

IBM QRadar 向けの新しい Cisco Firepower アプリケーションをイベントデータを表示するための代替手段として使用して、ネットワークへの脅威を分析、ハント、および調査をすることができます。eStreamer が必要です。

詳細については、Integration Guide for the Cisco Firepower App for IBM QRadarを参照してください。

サポート対象プラットフォーム：FMC

管理とトラブルシューティング

設定変更を展開するための新しいオプション。

FMC メニューバーの [展開（Deploy）] ボタンが次の機能を追加するオプションが備わったメニューになりました。

• [ステータス（Status）]：デバイスごとに、変更を展開する必要があるかどうか、展開前に解決する必要がある警告またはエラーがあるかどうか、最後の展開が処理中、失敗、正常に完了のうちのどの状態かが表示されます。

• [プレビュー（Preview）]：デバイスに対して最後に展開してから行った、適用可能なすべてのポリシーとオブジェクトの変更が表示されます。

• [展開の選択（Selective Deploy）]：管理対象デバイスに対して展開するポリシーと設定から選択します。

• [展開時間の見積もり（Deploy Time Estimate）]：特定のデバイスに対して展開するためにかかる時間の見積もりが表示されます。すべての展開のみでなく、特定のポリシーや設定の見積もりを表示することができます。

• [履歴（History）]： 以前の展開の詳細が表示されます。

新規/変更されたページ：

• [展開（Deploy）] > [展開（Deployment）]

• [展開（Deploy）] > [展開履歴（Deployment History）]

サポート対象プラットフォーム：FMC

初期設定による VDB の更新と、SRU の更新のスケジュール設定。

新規および再イメージ化された FMC では、セットアッププロセスは次のようになりました。

• 最新の脆弱性データベース（VDB）の更新をダウンロードしてインストールします。

• 毎日の侵入ルール（SRU）のダウンロードを有効にします。これらのダウンロード後は、セットアッププロセスで自動展開が有効にならないことに注意してください。ただし、この設定は変更できます。

アップグレードされた FMC は影響を受けません。

新規/変更されたページ：

• [システム（System）] > [更新（Updates）] > [製品の更新（VDB の更新）（Product Updates (VDB updates)）]

• [システム（System）] > [更新（Updates）] > [ルールの更新（SRU の更新）（Rule Updates (SRU updates)）]

サポート対象プラットフォーム：FMC

FMC を復元するための VDB の一致は不要。

バックアップからの FMC の復元に交換用 FMC 上に同じ VDB を使用する必要はなくなりました。ただし、復元すると、既存の VDB がバックアップファイル内の VDB に置き換えられます。

サポート対象プラットフォーム：FMC

サブジェクト代替名（SAN）を使用した HTTPS 証明書。

SAN を使用して複数のドメイン名または IP アドレスを保護する HTTPS サーバー証明書を要求できるようになりました。SAN の詳細については、RFC 5280、セクション 4.2.1.6 を参照してください。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [HTTPS 証明書（HTTPS Certificate）] > [新しい CSR の生成（Generate New CSR）] > [サブジェクト代替名（Subject Alternative Name）] フィールド

サポート対象プラットフォーム：FMC

FMC ユーザーアカウントに関連付けられている実名。

FMC ユーザーアカウントを作成または変更するときに、実名を指定できるようになりました。これには、個人名、部署名、またはその他の識別属性を指定できます。

新規/変更されたページ：[システム（System）] > [ユーザー（Users）] > [ユーザー（Users）] > [実名（Real Name）] フィールド

サポート対象プラットフォーム：FMC

追加の FTD プラットフォームでの Cisco Support Diagnostics。

アップグレードの影響。

Cisco Support Diagnostics は、すべての FMC および FTD デバイスで完全にサポートされるようになりました。以前は、サポートは FMC、FTD 搭載 Firepower 4100/9300、および Azure 向け FTDv に限定されていました。

サポートされるプラットフォーム：FMC、FTD

ユーザビリティ

ライトテーマ。

FMC はデフォルトでバージョン 6.5.0 のベータ機能として導入されたライトテーマに設定されます。バージョン 6.6.0 にアップグレードすると、ライトテーマに自動的に切り替わります。これは、ユーザー設定で従来のテーマに戻すことができます。

すべてに返信することはできませんが、ライトテーマについてのフィードバックを歓迎します。[ユーザー設定（User Preferences）] ページのフィードバックリンクを使用するか、fmc-light-theme-feedback@cisco.com からフィードバックをお送りください。

サポート対象プラットフォーム：FMC

アップグレードの残り時間の表示。

FMC のメッセージセンターに、アップグレードが完了するまでのおおよその残り時間が表示されるようになりました。これには、リブート時間は含まれません。

新規/変更されたページ：メッセージセンター

サポート対象プラットフォーム：FMC

セキュリティと強化

デフォルトの HTTPS サーバー証明書の更新期限は 800 日。

アップグレードの影響。

現在のデフォルトの HTTPS サーバー証明書がすでに 800 日である場合を除き、バージョン 6.6.0 にアップグレードすることで証明書が更新され、有効期限がアップグレード日から 800 日後になりました。今後の更新はすべて、有効期間が 800 日になります。

古い証明書は、生成日に応じて期限切れになるように設定されていました。

サポート対象プラットフォーム：FMC

Firepower Management Center REST API

新しい REST API 機能。

バージョン 6.6.0 の機能をサポートするための次の REST API サービスが追加されました。

• bgp、bgpgeneralsettings、ospfinterface、ospfv2routes、ospfv3interfaces、ospfv3routes、virtualrouters、routemaps、ipv4prefixlists、ipv6prefixlists、aspathlists、communitylists、extendedcommunitylists、standardaccesslists、standardcommunitylists、policylists：ルーティング

• virtualrouters、virtualipv4staticroutes、virtualipv6staticroutes、virtualstaticroutes：仮想ルーティング

• timeranges、globaltimezones、timezoneobjects：時間ベースのルール

• commands：REST API から CLI コマンドの限定的なセットを実行

• pendingchanges：保留中の改善点を展開

古い機能をサポートするために、次の REST API サービスが追加されました。

• intrusionrules、intrusionpolicies：侵入ポリシー

サポート対象プラットフォーム：FMC

拡張アクセスリストの REST API サービス名の変更。

アップグレードの影響。

FMC REST API の extendedaccesslist（単数形）サービスは、extendedaccesslists（複数形）になりました。クライアントを更新していることを確認します。古いサービス名を使用すると失敗し、無効な URL エラーが返されます。

要求タイプ：GET

特定の ID に関連付けられている拡張アクセスリストを取得するための URL：

• 旧：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslist/{objectId}

• 新：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslists/{objectId}

すべての拡張アクセスリストを取得するための URL：

• 旧：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslist

• 新：/api/fmc_config/v1/domain/{domainUUID}/object/extendedaccesslists

サポート対象プラットフォーム: FMC

ルールが競合してもカスタム侵入ルールのインポートが失敗しない。

バージョン 6.6.0 では、ルールの競合があった場合、FMC はカスタム（ローカル）侵入ルールのインポートの完全な拒否を開始しました。バージョン 6.6.1 ではこの機能を廃止し、競合が発生したルールをサイレントでスキップする、バージョン 6.6 より前の動作に戻ります。

既存のルールと同じ SID/リビジョン番号を持つ侵入ルールをインポートしようとすると、競合が発生することに注意してください。カスタムルールの更新バージョンには必ず新しいリビジョン番号を付けてください。FMC コンフィギュレーション ガイドでローカル侵入ルールをインポートするためのベストプラクティスを参考にすることを推奨します。

バージョン 6.7 では、ルールの競合に関する警告が追加されます。

廃止：クラウドベースの FMCv 展開でのメモリ不足のインスタンス。

パフォーマンス上の理由から、次の FMCv インスタンスはサポートされなくなりました。

• AWS での c3.xlarge

• AWS での c3.2xlarge

• AWS での c4.xlarge

• AWS での c4.2xlarge

• Azure での Standard_D3_v2

バージョン 6.6.0+ にアップグレードする前に、サイズを変更する必要があります。詳細については、リリースノートのバージョン 6.6 のアップグレードガイドラインを参照してください。

さらに、バージョン 6.6 リリースの時点で、クラウドベースの FMCv の展開におけるメモリ不足のインスタンスタイプが完全に廃止されました。以前の Firepower バージョンであっても、これらを使用して新しい FMCv インスタンスを作成することはできません。既存のインスタンスは引き続き実行できます。

廃止：VMware 向け FTDv の e1000 インターフェイス。

アップグレードされないようにします。

バージョン 6.6 では、VMware 向け FTDv の e1000 インターフェイスのサポートを終了します。vmxnet3 または ixgbe インターフェイスに切り替えるまで、アップグレードすることはできません。または、新しいデバイスを展開できます。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

廃止：安全性の低い Diffie-Hellman グループ、暗号化アルゴリズム、およびハッシュアルゴリズム。

バージョン 6.6 では、次の FTD セキュリティ機能は廃止されます。

• Diffie-Hellman グループ：2、5、および 24。

• 強力な暗号化の輸出規制を満たすユーザー向けの暗号化アルゴリズム：DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256。輸出規制を満たしていないユーザーの場合、DES は引き続きサポートされます（これが唯一のオプションです）。

• ハッシュアルゴリズム：MD5。

これらの機能はバージョン 6.7 で廃止されました。VPN で使用するために、IKE プロポーザルまたは IPSec ポリシーでこれらの機能を設定しないでください。できるだけ強力なオプションに変更してください。

廃止：接続イベントのカスタムテーブル。

バージョン 6.6 は、接続イベントとセキュリティ インテリジェンス イベントのカスタムテーブルのサポートを終了します。アップグレード後は、これらのイベントの既存のカスタムテーブルは引き続き「利用可能」ですが、結果は返されません。これらのテーブルを削除することをお勧めします。

他のタイプのカスタムテーブルに変更はありません。

廃止されたオプション：

• [分析（Analysis）] > [詳細設定（Advanced）] > [カスタムテーブル （Custom Tables）] > [カスタムテーブルの作成（Create Custom Table）] > [テーブル（Tables）] ドロップダウンリスト > [接続イベント（Connection Events）] と、[セキュリティ インテリジェンス イベント（Security Intelligence Events）] のクリック

廃止：イベントビューアから接続イベントを削除する機能。

バージョン 6.6 は、接続イベントとセキュリティ インテリジェンス イベントをイベントビューアから削除するためのサポートを終了しています。データベースを消去するには、[システム（System）] > [ツール（Tools）] > [データの消去（Data purge）] を選択します。

廃止されたオプション：

• [分析（Analysis）] > [接続（Connections）] > [イベント（Events）] > [削除（Delete）] と [すべて削除（Delete All）]

• [分析（Analysis）] > [接続（Connections）] > [セキュリティ インテリジェンス イベント（Security Intelligence Events）] > [削除（Delete）] と [すべて削除（Delete All）]

廃止：地理位置情報の詳細。

アップグレードの影響。

FMC で現在デフォルト設定されているの HTTPS サーバー証明書の有効期間がすでに 800 日の場合を除き、バージョン 6.5.0.5+ にアップグレードすると証明書が更新されて、アップグレードの日から 800 日後に期限切れになります。その後の更新はすべて、有効期間が 800 日になります。

古い証明書には、生成日に応じて、次の期限が設定されています。

• 6.5.0 ～ 6.5.0.4：3 年

• 6.4.0.9 以降のパッチ：800 日

• 6.4.0 ～ 6.4.0.8：3 年

• 6.3.0 およびすべてのパッチ：3 年

• 6.2.3：20 年

プラットフォーム

Firepower 1150 上の FTD。

Firepower 1150 が導入されました。

Azure 向け FTDv がより大規模なインスタンスに対応。

Microsoft Azure 向けの FTDvで、より大規模なインスタンス D4_v2 および D5_v2 がサポートされるようになりました。

VMware 向け FMCv 300。

VMware 向けのより大規模な FMCv である FMCv 300 が導入されました。他の FMCv インスタンスで管理できるデバイスは 25 台ですが、この FMCv では最大 300 台のデバイスを管理できます。

FMC モデル移行機能を使用すると、性能が劣るプラットフォームから FMCv 300 に切り替えることができます。

VMware vSphere/VMware ESXi 6.7 のサポート

VMware vSphere/VMware ESXi 6.7 に FMCv、FTDv、および NGIPSv 仮想アプライアンスを展開できるようになりました。

Firepower Threat Defense

Firepower 1010 ハードウェア スイッチのサポート

Firepower 1010 で、各イーサネット インターフェイスをスイッチポートまたはファイアウォール インターフェイスとして設定できるようになりました。

新規/変更されたページ：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [VLANインターフェイスの追加（Add VLAN Interface）]

サポートされるプラットフォーム：Firepower 1010

イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート

Firepower 1010 は、イーサネット 1/7 およびイーサネット 1/8 での Power over Ethernet+（PoE+）をサポートするようになりました。

新規/変更されたページ：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] > [PoE]

サポートされるプラットフォーム：Firepower 1010

キャリアグレード NAT の拡張

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます（RFC 6888 を参照してください）。

新規/変更されたページ：[デバイス（Devices）] > [NAT] > [FTD NAT ポリシーの追加/編集（add/edit FTD NAT policy）] > [NAT ルールの追加/編集（add/edit NAT rule）] > [PAT プール（PAT Pool）] タブ > [ブロック割り当て（Block Allocation）] オプション

サポートされるプラットフォーム：FTD

Firepower 4100/9300 上の複数のコンテナインスタンスの TLS 暗号化アクセラレーション

Firepower 4100/9300 シャーシ上の複数のコンテナインスタンス（最大 16 個）で TLS 暗号化アクセラレーションがサポートされるようになりました。以前は、モジュール/セキュリティエンジンごとに 1 つのコンテナインスタンスに対してのみ TLS 暗号化アクセラレーションを有効にすることができました。

新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることはありません。代わりに、create hw-crypto および scope hw-crypto CLI コマンドを使用してください。詳細については、Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。

新しい FXOS CLI コマンド：

• create hw-crypto

• delete hw-crypto

• scope hw-crypto

• show hw-crypto

削除された FXOS CLI コマンド：

• show hwCrypto （show hw-crypto に置き換えられました）

• config hwCrypto

削除された FTD CLI コマンド：

• show crypto accelerator status

サポートされるプラットフォーム：Firepower 4100/9300

セキュリティ ポリシー

アクセスコントロールルールのフィルタリング

検索条件に基づいてアクセスコントロールルールをフィルタ処理できるようになりました。

新規/変更されたページ：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセス制御（Access Control）] > ポリシーの追加/編集 > フィルタボタン（[フィルタ条件に一致するルールのみを表示（show only rules matching filter criteria）]）

サポートされるプラットフォーム：FMC

URL カテゴリまたはレピュテーションの異議申し立て

URL のカテゴリまたはレピュテーションについて異議を申し立てることができるようになりました。

新規/変更されたページ：

• [分析（Analysis）] > [接続イベント（Connection Events）] > カテゴリまたはレピュテーションを右クリック > [未処理（Dispute）]

• [分析（Analysis）] > [詳細（Advanced）] > [URL] > URL の検索 > [未処理（Dispute）] ボタン

• [システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）] > [未処理（Dispute）] リンク

サポートされるプラットフォーム：FMC

宛先ベースのセキュリティグループタグ（SGT）を使用したユーザー制御

アクセスコントロールルール内の送信元および宛先の両方の一致基準に ISE SGT タグを使用できるようになりました。SGT タグは、ISE によって取得されたタグからホスト/ネットワークへのマッピングです。

新しい接続イベントフィールド：

• [宛先SGT（Destination SGT）]（syslog：DestinationSecurityGroupTag）：接続レスポンダの SGT 属性。

名前が変更された接続イベントフィールド：

• [送信元SGT（Source SGT）]（syslog：SourceSecurityGroupTag）：接続イニシエータの SGT 属性。[セキュリティグループタグ（Security Group Tag）]（syslog：SecurityGroup）から変更されました。

新規/変更されたページ：[システム（System）] > [統合（Integration）] > [ID ソース（Identity Sources）] > [Identity Services Engine] > [セッションディレクトリのトピック（Session Directory Topic）] および [SXP のトピック（SXP Topic）] 登録オプション

サポートされるプラットフォーム：すべて

Cisco Firepower User Agent バージョン 2.5 の統合

Firepower バージョン 6.4.0 ～ 6.6.x と統合できる Cisco Firepower User Agent のバージョン 2.5 がリリースされました。

新規/変更された FMC CLI コマンド： configure user-agent

サポートされるプラットフォーム：FMC

イベントロギングおよび分析

Threat Intelligence Director の優先順位

TID ブロッキングおよびモニタリング監視可能アクションが、セキュリティ インテリジェンス ブロック リストを使用したブロッキングおよびモニタリングよりも優先されるようになりました。

[ブロック（Block）] TID 監視可能アクションを設定した場合は、トラフィックが [ブロック（Block）] に設定されたセキュリティ インテリジェンス ブロック リストにも一致していても、次のようになります。

• 接続イベントのセキュリティ インテリジェンス カテゴリは [TIDブロック（TID Block）] のバリアントになります。

• システムは、[ブロック済み（Blocked）] のアクション実施を伴う TID インシデントを生成します。

[モニター（Monitor）] TID 監視可能アクションを設定した場合は、トラフィックが [モニター（Monitor）] に設定されたセキュリティ インテリジェンス ブロック リストにも一致していても、次のようになります。

• 接続イベントのセキュリティ インテリジェンス カテゴリは [TIDモニター（TID Monitor）] のバリアントになります。

• システムは、[モニター済み（Monitored）] のアクション実施を伴う TID インシデントを生成します。

以前は、どちらの場合も、システムではカテゴリが分析別に報告され、TID インシデントは生成されませんでした。

セキュリティ インテリジェンスと TID の両方を有効にした場合のシステム動作の詳細については、FMC コンフィギュレーション ガイドの「TID-Firepower Management Center のアクションの優先順位付け」の情報を参照してください。

サポートされるプラットフォーム：FMC

packet-profile CLI コマンド

デバイスがネットワークトラフィックをどのように処理したかに関する統計情報を取得する FTD CLI を使用できるようになりました。プレフィルタポリシーによって高速パス処理されたパケット数、大規模なフローとしてオフロードされたパケット数、アクセス制御（Snort）によって完全に評価されたパケット数などを取得できます。

新しい FTD CLI コマンド：

• asp packet-profile

• no asp packet-profile

• show asp packet-profile

• clear asp packet-profile

サポートされるプラットフォーム：FTD

Cisco SecureX に対応したその他のイベントタイプ

Firepower では、ファイルやマルウェアイベントに加えて、優先度の高い接続イベント（侵入、ファイル、マルウェア、およびセキュリティ インテリジェンス イベントに関連するイベント）を Cisco SecureX に送信できるようになりました。

FMC Web インターフェイスでは、この機能を Cisco Threat Response（CTR）と呼びます。

新規/変更されたページ：[システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）]

サポートされるプラットフォーム：FTD（syslog 経由または直接統合）および従来のデバイス（syslog 経由）

管理とトラブルシューティング

ISA 3000 デバイスの高精度時間プロトコル（PTP）の設定。

FlexConfig を使用して、ISA 3000 デバイスで高精度時間プロトコル（PTP）を設定できます。PTP は、パケットベースネットワーク内のさまざまなデバイスのクロックを同期するために開発された時間同期プロトコルです。このプロトコルは、ネットワーク化された産業用の測定および制御システム向けとして特別に設計されています。

FlexConfig オブジェクトに、ptp （インターフェイス モード）コマンド、グローバル コマンド ptp mode e2etransparent 、ptp domain を追加できるようになりました。

新規/変更されたコマンド： show ptp

サポートされるプラットフォーム：FTD を使用した ISA 3000

設定できるドメイン数の増加（マルチテナンシー）

マルチテナンシーを実装する（管理対象デバイス、設定、およびイベントへのユーザーアクセスをセグメント化する）場合、最上位のグローバルドメインの下に、2 つまたは 3 つのレベルで最大 100 個のサブドメインを作成できます。以前は、最大で 50 ドメインでした。

サポートされるプラットフォーム：FMC

ISE 接続ステータスのモニターの機能拡張

[ISE接続ステータスのモニター（ISE Connection Status Monitor）] ヘルスモジュールで、TrustSec SXP（SGT Exchange Protocol）サブスクリプション ステータスに関する問題のアラートが表示されるようになりました。

サポートされるプラットフォーム：FMC

地域のクラウド

アップグレードの影響。

Cisco Threat Response の統合、Cisco Support Diagnostics、または Cisco Success Network 機能を使用する場合は、地域クラウドを選択できるようになりました。

デフォルトでは、アップグレードによって米国（北米）リージョンに割り当てられます。

新規/変更されたページ：[システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）]

サポートされるプラットフォーム：FMC、FTD

Cisco Support Diagnostics

アップグレードの影響。

Cisco Support Diagnostics（「シスコのプロアクティブサポート」とも呼ばれる）は、設定および運用上の健全性データをシスコに送信し、自動化された問題検出システムを通じてそのデータを処理して問題をプロアクティブに通知できるようにします。また、この機能により、Cisco TACTAC ケースの過程でデバイスから必要な情報を収集することもできます。

初期設定およびアップグレード中に、登録するか尋ねられます。登録はいつでも変更できます。

バージョン 6.5.0 では、Cisco Support Diagnostics のサポートは一部のプラットフォームに限定されています。

新規/変更されたページ：

• [システム（System）] > [スマートライセンス（Smart Licenses）]

• [システム（System）] > [スマートライセンス（Smart Licenses）] > [登録（Register）]

サポートされるプラットフォーム：FMC、Firepower 4100/9300、および Azure 向け FTDv

FMC モデル移行

バックアップおよび復元機能を使用して、FMC が同じモデルでない場合でも、FMC 間で設定とイベントを移行できるようになりました。これにより、組織の拡大、物理実装から仮想実装への移行、ハードウェアの更新など、技術面またはビジネス面の理由による FMC の交換が容易になります。

一般に、ローエンドの FMC からハイエンドの FMC に移行することはできますが、その逆に移行することはできません。KVM および Microsoft Azure からの移行はサポートされていません。また、Cisco Smart Software Manager（CSSM）への登録を解除して再登録する必要があります。

サポート対象の移行先モデルなどの詳細については、『Firepower Management Center Model Migration Guide』を参照してください。

サポート対象プラットフォーム：FMC

デフォルトの HTTPS サーバー証明書。

バージョン 6.4.0.9 以降からアップグレードする場合、デフォルトの HTTPS サーバー証明書の lifespan-on-renew は 3 年に戻りますが、バージョン 6.5.0.5 以降および 6.6 以降で再び 800 日に更新されます。

現在のデフォルトの HTTPS サーバー証明書は、いつ生成されたかに応じて、次のように期限切れになるように設定されています。

• 6.4.0.9 以降のパッチ：800 日

• 6.4.0 ～ 6.4.0.8：3 年

• 6.3.0 およびすべてのパッチ：3 年

• 6.2.3：20 年

セキュリティと強化

FXOS ベースの FTD デバイス上のアプライアンス コンポーネントの安全な消去

指定したアプライアンス コンポーネントを安全に消去する FXOS CLI を使用できるようになりました。

新しい FXOS CLI コマンド： erase secure

サポートされるプラットフォーム：Firepower 1000/2000 および Firepower 4100/9300

初期設定時における FMC admin アカウントのパスワード要件の厳格化

FMC の初期設定時に、admin アカウントの「強力な」パスワードを選択することが必要になりました。設定プロセスでは、FMC Web インターフェイスと CLI の両方の admin アカウントにこの強力なパスワードが適用されます。

サポートされるプラットフォーム：FMC

同時ユーザーセッション数の制限

FMC に同時にログインできるユーザーの数を制限できるようになりました。読み取り専用ロール、読み取り/書き込みロール、またはその両方を持つユーザーの同時セッション数を制限できます。CLI ユーザーは、読み取り/書き込み設定によって制限されることに注意してください。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [ユーザー設定（User Configuration）] > [許可された最大同時セッション数（Max Concurrent Sessions Allowed）] オプション

サポートされるプラットフォーム：FMC

認証済み NTP サーバー

SHA1 または MD5 対称キー認証を使用して FMC と NTP サーバー間のセキュアな通信を設定できるようになりました。システムセキュリティのために、この機能を使用することをお勧めします。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [時刻の同期（Time Synchronization）]

サポートされるプラットフォーム：FMC

ユーザビリティとパフォーマンス

初期設定の改善

新規および再イメージ化された FMC では、ウィザードによって以前の初期設定プロセスが置き換えられます。GUI ウィザードを使用すると、初期設定の完了時に FMC に [デバイス管理（Device Management）] ページが表示され、導入環境のライセンシング と設定をすぐに開始できます。

また、設定プロセスでは以下が自動的にスケジュールされます。

• ソフトウェアのダウンロード。導入環境に適用されるソフトウェアパッチおよび公開されているホットフィックスをダウンロードする（インストールはしない）、毎週にスケジュール設定されたタスクが作成されます。

• FMC 設定のみのバックアップ。FMC の設定をバックアップしてローカルに保存する、週次のスケジュールされたタスクが作成されます。

• GeoDB の更新。地理位置情報データベースの毎週の更新が有効になります。

タスクは UTC でスケジュールされるため、いつ現地で実行されるかは、日付と場所によって異なります。また、タスクは UTC でスケジュールされるため、サマータイムなど、所在地で実施される場合がある季節調整に合わせて調節されることもありません。このような影響を受ける場合、スケジュールされたタスクは、現地時間を基準とすると、夏期では冬期の場合よりも 1 時間「遅れて」実行されることになります。

アップグレードされた FMC は影響を受けません。初期設定ウィザードの詳細については、ご使用の FMC モデルのスタートアップガイドを参照してください。スケジュールされたタスクの詳細については、FMC コンフィギュレーション ガイドを参照してください。

サポートされるプラットフォーム：FMC

ライトテーマ

ベータ版。

FMC Web インターフェイスのデフォルトはクラシックテーマですが、新しいライトテーマを選択することもできます。

新規/変更されたページ：ユーザー名の下にあるドロップダウンリストの [ユーザー設定（User Preferences）]

サポートされるプラットフォーム：FMC

オブジェクトの表示に関するユーザビリティの拡張

次のように、ネットワーク、ポート、VLAN、および URL オブジェクトに対する「オブジェクトの表示」機能が強化されました。

• アクセス コントロール ポリシーで FTD ルーティングを設定するときに、オブジェクトを右クリックして [オブジェクトの表示（View Objects）] を選択すると、そのオブジェクトに関する詳細が表示されます。

• オブジェクトの詳細を表示しているとき、またはオブジェクトマネージャでオブジェクトを参照しているときに、[使用状況の検索（Find Usage）]（）をクリックすると、オブジェクトグループとネストされたオブジェクトにドリルダウンできるようになりました。

新規/変更されたページ：

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > サポートされているオブジェクトタイプの選択 > [使用状況の検索（Find Usage）]（）

• [ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセス制御（Access Control）] > ポリシーの作成または編集 > ルールの作成または編集 > サポートされている条件タイプの選択 > オブジェクトの右クリック > [オブジェクトの表示（View Objects）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > FTD デバイスの編集 > [ルーティング（Routing）] > サポートされているオブジェクトの右クリック > [オブジェクトの表示（View Objects）]

サポートされるプラットフォーム：FMC

設定変更の展開に関するユーザビリティの拡張

設定変更の展開に関連するエラーと警告の表示が整理されました。すぐに詳細が表示されるのではなく、[クリックしてすべての詳細を表示します（Click to view all details）] をクリックすると、特定のエラーまたは警告に関する詳細情報を表示できるようになりました。

新規/変更されたページ：[要求された展開のエラーと警告（Errors and Warnings for Requested Deployment）] ダイアログボックス

サポートされるプラットフォーム：FMC

FTD NAT ポリシー管理に関するユーザビリティの拡張

FTD NAT の設定時に、次のことが可能になりました。

• NAT ポリシーの警告とエラーをデバイス別に表示できます。警告とエラーによって、トラフィックやフローに悪影響を及ぼしたり、ポリシーの展開を妨げたりする構成がマークされます。

• ページあたり最大 1000 個の NAT ルールを表示できます。デフォルトは 100 です。

新規/変更されたページ：[デバイス（Devices）] > [NAT] > [FTD NAT ポリシーの作成または編集（create or edit FTD NAT policy）] > [警告を表示（Show Warnings）] および [ページあたりのルール数（Rules Per Page）] オプション

サポートされるプラットフォーム：FTD

Firepower Management Center REST API

新しい REST API 機能

バージョン 6.5.0 の機能をサポートするための次の REST API オブジェクトを追加しました。

• cloudregions：地域クラウド

古い機能をサポートするための次の REST API オブジェクトを追加しました。

• categories：アクセスコントロールルールのカテゴリ

• domain、inheritancesettings：ドメインとポリシーの継承

• prefilterpolicies、prefilterrules、tunneltags：プレフィルタポリシー

• vlaninterfaces：VLAN インターフェイス

サポート対象プラットフォーム: FMC

バージョン 6.5.0.2

廃止：出力最適化（一時的）。

アップグレードの影響。

出力最適化は、選択された IPS トラフィックを対象としたパフォーマンス機能です。すべての FTD プラットフォームでデフォルトで有効になっていて、バージョン 6.5.0 のアップグレードプロセスでは、対象デバイスでの出力最適化が有効になります。ただし、CSCvq34340 を軽減するため、FTD にパッチを適用してバージョン 6.5.0.2 以降にすると、出力最適化処理がオフになります。これは、出力最適化機能が有効になっているか、無効になっているかに関係なく発生します。

詳細については、ソフトウェアアドバイザリ『FTD traffic outage due to 9344 block size depletion caused by the egress optimization feature』を参照してください。

サポートされるプラットフォーム：FTD

サポート終了：FMC 750、1500、3500。

FMC モデルの FMC 1000、2500、および 4500 ではバージョン 6.5 以降 を実行できません。これらの FMC を使用してバージョン 6.5+ のデバイスを管理することはできません。

サポート終了：ASA 5515-X および ASA 5585-X シリーズ

ASA 5515-X および ASA 5585-X シリーズ デバイス（SSP-10、-20、-40、および -60）では、バージョン 6.5 以降を実行できません。

サポート終了：Firepower 7000/8000 シリーズ。

AMP モデルを含む、Firepower 7000/8000 シリーズ デバイスでは、バージョン 6.5 以降を実行できません。

廃止：FMC CLI を無効にする機能。

バージョン 6.3 では、明示的に有効にする必要がある FMC CLI が導入されました。バージョン 6.5 では、新しい展開とアップグレードされた展開の両方に対して、CLI が自動的に有効になります。Linux シェル（エキスパート モードとも呼ばれる）にアクセスする場合は、CLI にログインしてから、expert コマンドを使用する必要があります。

廃止されたオプション：[システム（System）] > [設定（Configuration）] > [コンソール設定（Console Configuration）] > [CLI アクセスの有効化（Enable CLI Access）] チェックボックス

廃止：SNMPv3 ユーザー向けの MD5 認証アルゴリズムと DES 暗号化。

バージョン 6.5 では、FTD における SNMPv3 ユーザー向けの MD5 認証アルゴリズムと DES 暗号化が廃止されます。

これらの設定はアップグレード後も引き続き機能しますが、展開時に警告が表示されます。また、これらのオプションを使用して新しいユーザーを作成したり、既存のユーザーを編集したりはできません。

サポートはバージョン 7.0 で削除されます。プラットフォーム設定ポリシーでこれらのオプションを引き続き使用する場合は、より強力なオプションに切り替えることをお勧めします。

新規/変更された画面：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [SNMP] > [ユーザー（Users）]

廃止：TLS 1.0 および 1.1。

セキュリティ強化対策：

• キャプティブポータル（アクティブ認証）では、TLS 1.0 のサポートが廃止されました。

• ホスト入力で TLS 1.0 および TLS 1.1 のサポートが廃止されました。

クライアントが Firepower アプライアンスとの接続に失敗した場合は、TLS 1.2 をサポートするようにクライアントをアップグレードすることをお勧めします。

廃止：Firepower 4100/9300 用の TLS crypto アクセラレーション FXOS CLI コマンド。

Firepower 4100/9300 の複数のコンテナ インスタンスに対して TLS crypto アクセラレーションを許可する一環として、次の FXOS CLI コマンドを削除しました。

• show hwCrypto

• config hwCrypto

および、この FTD CLI コマンドを削除しました。

• show crypto accelerator status

代替手段の詳細については、新しい機能のマニュアルを参照してください。

廃止：Cisco Security Packet Analyzer の統合。

バージョン 6.5 では、FMC と Cisco Security Packet Analyzer の統合のサポートを終了します。

廃止された画面/オプション：

• [システム（System）] > [統合（Integration）] > [パケットアナライザ（Packet Analyzer）]

• [分析（Analysis）] > [詳細（Advanced）] > [パケットアナライザのクエリ（Packet Analyzer Queries）]

• ダッシュボードまたはイベント ビューアでイベントを右クリックしたときの [クエリパケットアナライザ（Query Packet Analyzer）]

廃止：地理位置情報の詳細。

バージョン 6.4.0.10

アップグレードがスケジュールされたタスクを延期する。

アップグレードの影響。

アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。

この機能は、バージョン 6.4.0.10 以降のパッチを実行している Firepower アプライアンスでサポートされています。バージョン 6.4.0.10 へのアップグレード、またはバージョン 6.4.0.10 をスキップするアップグレードではサポートされません。この機能はバージョン 6.5.0 ～ 6.6.1 で一時的に廃止になりましたが、バージョン 6.6.3 で戻ります。

バージョン 6.4.0.9

デフォルトの HTTPS サーバー証明書。

アップグレードの影響。

FMC または 7000/8000 シリーズのデバイスをバージョン 6.4.0 ～ 6.4.0.8 から以降のバージョン 6.4.0.x のパッチに（または FMC をバージョン 6.6.0+ に）アップグレードすると、デフォルトの HTTPS サーバー証明書が更新されます。この証明書は、アップグレードの日から 800 日後に期限切れになります。その後の更新はすべて、有効期間が 800 日になります。

古い証明書には、生成日に応じて、次の期限が設定されています。

• 6.4.0 ～ 6.4.0.8：3 年

• 6.3.0 およびすべてのパッチ：3 年

• 6.2.3 以前：20 年

バージョン 6.5.0 ～ 6.5.0.4 では、更新時の有効期限が 3 年に戻ることに注意してください。ただし、バージョン 6.5.0.5 および 6.6.0 では 800 日に更新されます。

バージョン 6.4.0.4

新しい syslog フィールド。

次の新しい syslog フィールドは、一意の接続イベントをまとめて識別します。

• センサー UUID

• 最初のパケット時間

• 接続インスタンス ID

• 接続数カウンタ

これらのフィールドは、侵入、ファイル、およびマルウェアイベントの syslog にも表示され、接続イベントをこれらのイベントに関連付けることができます。

バージョン 6.4.0.2

FTD NAT ポリシーでのルールの競合の検出。

アップグレードの影響。

バージョン 6.4.0.2 以降のパッチにアップグレードすると、競合するルール（「重複」ルールまたは「オーバーラップ」ルールとも呼ばれます）を持つ FTD NAT ポリシーを作成できなくなります。これは、競合する NAT ルールが順序どおりに適用されていなかった問題を修正するものです。

現在競合している NAT ルールがある場合は、アップグレード後に展開することができます。ただし、NAT ルールは引き続き順序どおりに適用されません。

そのため、アップグレード後に FTD NAT ポリシーを調べることをお勧めします。それには、ポリシーを編集して再保存を試みます（変更は必要ありません）。ルールが競合している場合は保存ができません。問題を修正して保存し、それから展開します。

バージョン 6.4.0.2

[ISE接続ステータスのモニター（ISE Connection Status Monitor）] ヘルスモジュール。

新しいヘルスモジュール [ISE接続ステータスのモニター（ISE Connection Status Monitor）] は、Cisco Identity Services Engine（ISE）と FMC 間のサーバー接続のステータスをモニターします。

プラットフォーム

FMC 1600、2600、4600。

FMC モデル 1600、2600、および 4600 が導入されました。

Azure 向け FMCv。

Microsoft Azure 向けの FMCv が導入されました。

Firepower 1010、1120、1140 上の FTD。

Firepower 1010、1120、および 1140 を導入しました。

Firepower 4115、4125、4145 上の FTD。

Firepower 4115、4125、および 4145 が導入されました。

Firepower 9300 SM-40、SM-48、および SM-56 のサポート。

新しい 3 つのセキュリティ モジュール（SM-40、SM-48、SM-56）を導入しました。

FXOS バージョン 2.6.1 では、同じシャーシ内に異なるタイプのセキュリティモジュールを混在できます。

同じ Firepower 9300 上の ASA および FTD。

FXOS 2.6.1 では、ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。

Firepower Threat Defense：デバイス管理

VMware の FTDv は、デフォルトで vmxnet3 インターフェイスに設定されます。

VMware の FTDv は、仮想デバイスを作成するときにデフォルトで vmxnet3 インターフェイスに設定されるようになりました。以前は、デフォルトは e1000 でした。Vmxnet3 のデバイス ドライバとネットワーク処理は ESXi ハイパーバイザと統合されているため、使用するリソースが少なくなり、ネットワーク パフォーマンスが向上します。

サポートされているプラットフォーム：VMware の FTDv

Firepower Threat Defense：ルーティング

OSPFv2 ルーティングの循環（キーチェーン）認証。

OSPFv2 ルーティングを設定すると、循環（キーチェーン）認証を使用できるようになりました。

新規/変更されたページ：

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [キーチェーン（Key Chain）] オブジェクト

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ > [OSPF 設定（OSPF settings）] > [インターフェイス（Interface）] タブ > [インターフェイスの追加/編集（add/edit interface）] > [認証（Authentication）] オプション

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイスの編集（edit device）] > [ルーティング（Routing）] タブ > [OSPF 設定（OSPF settings）] > [エリア（Area）] タブ > [エリアの追加/編集（add/edit area）] > [仮想リンク（Virtual Link）] サブタブ > [仮想リンクの追加/編集（add/edit virtual link）]> [認証（Authentication）] オプション

サポートされるプラットフォーム：FTD

Firepower Threat Defense：暗号化と VPN

RA VPN：セカンダリ認証。

セカンダリ認証（二重認証とも呼ばれる）は、2 つの異なる認証サーバーを使用して、RA VPN 接続にさらにもう 1 つのセキュリティのレイヤを追加します。セカンダリ認証が有効になっている場合、AnyConnect VPN のユーザーは VPN ゲートウェイにログインするために 2 組のクレデンシャルを提供する必要があります。

RA VPN は、AAA のみのセカンダリ認証と、クライアント証明書認証方式および AAA 認証方式をサポートします。

新規/変更されたページ：[デバイス（Devices）] > [VPN] > [リモートアクセス（Remote Access）] > [設定の追加/編集（add/edit configuration）] > [接続プロファイル（Connection Profile）] > [AAA] 領域

サポートされるプラットフォーム：FTD

サイト間 VPN：エクストラネット エンドポイントのダイナミック IP アドレス。

エクストラネット エンドポイントにダイナミック IP アドレスを使用するように、サイト間 VPN を設定できるようになりました。ハブアンドスポーク導入環境では、ハブをエクストラネット エンドポイントとして使用できます。

新規/変更されたページ：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [FTD VPN トポロジの追加/編集（add/edit FTD VPN topology）] > [エンドポイント（Endpoints）] タブ > [エンドポイントの追加（add endpoint）] > [IP アドレス（IP Address）] オプション

サポートされるプラットフォーム：FTD

サイト間 VPN：ポイントツーポイント トポロジのためのダイナミック暗号マップ。

ポイントツーポイントおよびハブアンドスポーク VPN トポロジでは、ダイナミック暗号マップを使用できるようになりました。フル メッシュ トポロジについては、ダイナミック暗号マップはまだサポートされていません。

トポロジを設定するときは、暗号マップ タイプを指定します。トポロジ内のピアの 1 つに対して、ダイナミック IP アドレスも指定する必要があります。

新規/変更されたページ：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [FTD VPN トポロジの追加/編集（add/edit FTD VPN topology）] > [IPsec] タブ > [暗号マップタイプ（Crypto Map Type）] オプション

サポートされるプラットフォーム：FTD

TLS 暗号化アクセラレーション。

アップグレードの影響。

SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。バージョン 6.4.0 のアップグレードプロセスでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。

ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。ただし、Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、モジュール/セキュリティ エンジンごとに、1 つのコンテナ インスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナ インスタンスに対してアクセラレーションは無効になっていますが、ネイティブ インスタンスには有効になっています。

Firepower 4100/9300 シャーシ向けの新しい FXOS CLI コマンド：

• show hwCrypto

• config hwCrypto

新しい FTD CLI コマンド：

• show crypto accelerator status （system support ssl-hw-status の代替）

削除された FTD CLI コマンド：

• system support ssl-hw-accel

• system support ssl-hw-status

サポートされるプラットフォーム：Firepower 2100 シリーズ、Firepower 4100/9300

イベントロギングおよび分析

ファイルおよびマルウェアイベントの syslog メッセージの改良。

完全修飾ファイルおよびマルウェアのイベント データが syslog 経由で管理対象デバイスから送信できるようになりました。

新規/変更されたページ：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセス制御（Access Control）] > [ポリシーの追加/編集（add/edit policy）] > [ロギング（Logging）] タブ > [ファイルおよびマルウェアの設定（File and Malware Settings）] 領域

サポートされているプラットフォーム：すべて

CVE ID による侵入イベントの検索。

特定の CVE エクスプロイトの結果として生成された侵入イベントを検索できるようになりました。

新規/変更されたページ：[分析（Analysis）] > [検索（Search）]

サポートされるプラットフォーム：FMC

[IntrusionPolicy] フィールドが syslog に含まれるようになりました。

侵入イベントの syslog メッセージは、イベントをトリガーした侵入ポリシーを指定するようになりました。

サポートされているプラットフォーム：すべて

Cisco SecureX の統合。

Cisco SecureX は、脅威の迅速な検出、調査、および対応に役立つクラウドサービスです。

この機能を使用すると、Firepower Threat Defense などの複数の製品から集約されたデータを使用してインシデントを分析できます。FMC Web インターフェイスでは、この機能を Cisco Threat Response（CTR）と呼びます。

新規/変更されたページ：[システム（System）] > [統合（Integration）] > [クラウドサービス（Cloud Services）]

サポートされるプラットフォーム：FTD

Splunk の統合。

Splunk のユーザーは、新しい個別の Splunk アプリである Splunk 向け Cisco Secure Firewall（旧称Firepower）を使用して、イベントを分析できます。どの機能を使用できるかは、Firepower のバージョンによって異なります。

Cisco Secure Firewall App for Splunk ユーザーガイドを参照してください。

サポートされるプラットフォーム：FMC

Cisco Security Analytics and Logging（SaaS）の統合。

Firepower イベントを Stealthwatch Cloud に送信して保存したり、必要に応じて、Firepower イベントデータを Stealthwatch Cloud によるセキュリティ分析に利用できるようにすることが可能です。

Cisco Security Analytics and Logging（SaaS）（SAL（SaaS）とも呼ばれる）により、Firepower デバイスは、イベントを syslog メッセージとしてネットワーク上の仮想マシンにインストールされた Security Events Connector（SEC）に送信します。この SEC は、イベントを Stealthwatch Cloud に転送して保存します。Web ベースの Cisco Defense Orchestrator（CDO）ポータルを使用して、イベントを表示および操作します。購入するライセンスによっては、Stealthwatch ポータルを使用して、その製品の分析機能にアクセスすることもできます。

Cisco Secure Firewall Management Center と Cisco Security Analytics and Logging（SaaS）統合ガイドを参照してください。

サポートされるプラットフォーム：FMC を搭載した FTD

管理とトラブルシューティング

ISA 3000 の新しいライセンス機能。

ASA FirePOWER および FTD の導入環境では、 ISA 3000 は URL フィルタリングおよびマルウェアのライセンスと各ライセンスの関連機能をサポートするようになりました。

FTD のみ、ISA 3000 は、承認されたお客様向けに特定のライセンスの予約をサポートするようになりました。

サポートされるプラットフォーム：ISA 3000

管理対象デバイスのスケジュールされたリモートバックアップ。

FMC を使用して、特定の管理対象デバイスのリモートバックアップをスケジュールできるようになりました。以前、スケジュールされたバックアップをサポートしていたのは Firepower 7000/8000 シリーズのデバイスのみで、デバイスのローカル GUI を使用する必要がありました。

新規/変更されたページ：[システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）] > [タスクの追加/編集（add/edit task）] > [ジョブタイプ：バックアップ（Job Type: Backup）] を選択 > [バックアップのタイプ（Backup Type）] を選択

サポートされるプラットフォーム：FTD の物理プラットフォーム、VMware 向け FTDv、Firepower 7000/8000 シリーズ

例外：FTD のクラスタ化されたデバイスまたはコンテナ インスタンスはサポートされていません。

管理インターフェイスで重複アドレス検出（DAD）を無効にする機能。

IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用するとサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [インターフェイス（Interfaces）] 領域 > [インターフェイスの編集（edit interface）] > [IPv6 DAD] チェックボックス

サポートされるプラットフォーム：FMC、Firepower 7000/8000 シリーズ

管理インターフェイス上の ICMPv6 エコー応答および宛先到達不能メッセージを無効にする機能。

IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

新規/変更されたページ：[システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [ICMPv6]

新規/変更されたコマンド：

• configure network ipv6 destination-unreachable

• configure network ipv6 echo-reply

サポートされるプラットフォーム：FMC（Web インターフェイスのみ）、管理対象デバイス（CLI のみ）

RADIUS サーバーに定義されている FTD ユーザーの Service-Type 属性のサポート。

FTD CLI ユーザーの RADIUS 認証では、以前は RADIUS 外部認証オブジェクトにユーザー名を事前に定義してから、RADIUS サーバーに定義されているユーザー名とリストが一致していることを手動で確認する必要がありました。Service-Type 属性を使用して RADIUS サーバーで CLI ユーザーを定義できるようになりました。また、Basic と Config の両方のユーザー ロールも定義できます。このメソッドを使用するには、外部認証オブジェクトのシェル アクセス フィルタを空白のままにしてください。

新規/変更されたページ：[システム（System）] > [ユーザー（Users）] > [外部認証（External Authentication）] タブ > [外部認証オブジェクトの追加/編集（add/edit external authentication object）] > [シェルアクセスフィルタ（Shell Access Filter）]

サポートされるプラットフォーム：FTD

オブジェクトの使用状況の表示。

オブジェクト マネージャでネットワーク、ポート、VLAN、または URL オブジェクトが使用されているポリシー、設定、およびその他のオブジェクトを表示できるようになりました。

新規/変更されたページ：[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > でオブジェクトタイプ、[使用状況の検索（Find Usage）]（双眼鏡）アイコンの順に選択

サポートされるプラットフォーム：FMC

アクセス制御ルールと事前フィルタルールのヒットカウント。

FTD デバイスのアクセス制御ルールと事前フィルタ ルールのヒット カウントにアクセスできるようになりました。

新規/変更されたページ：

• [ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセス制御（Access Control）] > [ポリシーの追加/編集（add/edit policy）] > [ヒットカウントの分析（Analyze Hit Counts）]

• [ポリシー（Policies）] > [アクセス制御（Access Control）] > [事前フィルタ（Prefilter）] > [ポリシーの追加/編集（add/edit policy）] > [ヒットカウントの分析（Analyze Hit Counts）]

新しいコマンド：

• show rule hits

• clear rule hits

• cluster exec show rule hits

• cluster exec clear rule hits

• show cluster rule hits

変更されたコマンド： show failover

サポートされるプラットフォーム：FTD

URL フィルタリング ヘルス モニターの改善。

URL フィルタリング モニター アラートの時間しきい値を設定できるようになりました。

新規/変更されたページ：[システム（System）] > [正常性（Health）] > [ポリシー（Policy）] > [ポリシーの追加/編集（add/edit policy ）] > [URL フィルタリングモニター（URL Filtering Monitor）]

サポートされるプラットフォーム：すべて

接続ベースのトラブルシューティング。

接続ベースのトラブルシューティングまたはデバッグにおいて、モジュール間で一貫したデバッグが提供され、特定の接続について適切なログを収集します。また、レベルベースのデバッグを最大 7 レベルまでサポートし、lina ログと Snort ログで一貫したログ収集メカニズムを使用できます。

新規/変更されたコマンド：

• clear packet debugs

• debug packet start

• debug packet stop

• show packet debugs