FireSIGHT システム ユーザ ガイド バージョン 5.3.1
再利用可能なオブジェクトの管理
再利用可能なオブジェクトの管理
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

再利用可能なオブジェクトの管理

オブジェクト マネージャの使用

オブジェクトのグループ化

オブジェクトの参照、ソート、およびフィルタ

ネットワーク オブジェクトの操作

セキュリティ インテリジェンス リストとフィードの操作

グローバル ホワイトリストおよびブラックリストの操作

インテリジェンス フィードの操作

カスタム セキュリティ インテリジェンス フィードの操作

手動によるセキュリティ インテリジェンス フィードの更新

カスタム セキュリティ インテリジェンスのリストの操作

セキュリティ インテリジェンス リストの更新

ポート オブジェクトの操作

VLAN タグ オブジェクトの操作

URL オブジェクトの操作

アプリケーション フィルタの操作

変数セットの操作

定義済みのデフォルトの変数の最適化

変数セットについて

変数セットの管理

変数の管理

変数の追加および編集

ネットワーク変数の操作

ポート変数の操作

変数のリセット

変数セットを侵入ポリシーにリンクさせる

拡張変数について

ファイル リストの操作

ファイル リストに複数の SHA-256 値をアップロードする

個別のファイルをファイル リストにアップロードする

ファイル リストに SHA-256 値を追加する

ファイル リスト上のファイルの変更

ファイル リストからソース ファイルをダウンロードする

セキュリティ ゾーンの操作

位置情報オブジェクトの操作

再利用可能なオブジェクトの管理

柔軟性を高めて、Web インターフェイスを使用しやすくするために、FireSIGHT システムでは、名前付き オブジェクト を作成できます。これは、名前を値と関連付ける再使用可能な設定であり、その値を使用したい場合に、代わりに名前付きオブジェクトを使用できるようにします。

オブジェクトは、IP アドレスおよびネットワーク、セキュリティ インテリジェンス フィードおよびリスト、ポート/プロトコルのペア、VLAN タグ、URL、アプリケーション フィルタ、ファイル リスト、セキュリティ ゾーン、侵入ポリシーの変数セット、および位置情報に対して作成できます。その後、これらのオブジェクトを、アクセス コントロール ポリシー、侵入ポリシーの変数、侵入ルール、ネットワーク検出ルール、イベント検索、レポート、ダッシュボードなど、システムの Web インターフェイスのさまざまな場所で使用できます。

オブジェクトをグループ化すると、複数のオブジェクトを 1 つの設定で参照できます。ネットワーク、ポート、VLAN タグ、および URL のオブジェクトをグループ化できます。


ほとんどの場合、アクセス コントロール、ネットワーク検出、または侵入ポリシーで使用されるオブジェクトを編集するには、変更を反映するためにポリシーの再適用が必要になります。セキュリティ ゾーンを編集する場合にも、適切なデバイスの設定を再適用する必要があります。


詳細については、次の項を参照してください。

「オブジェクト マネージャの使用」

「ネットワーク オブジェクトの操作」

「セキュリティ インテリジェンス リストとフィードの操作」

「ポート オブジェクトの操作」

「VLAN タグ オブジェクトの操作」

「URL オブジェクトの操作」

「アプリケーション フィルタの操作」

「変数セットの操作」

「ファイル リストの操作」

「セキュリティ ゾーンの操作」

「位置情報オブジェクトの操作」

オブジェクト マネージャの使用

ライセンス:任意

オブジェクト マネージャ([Objects] > [Object Management])を使用して、アプリケーション フィルタ、変数セット、およびセキュリティ ゾーンなどのオブジェクトを作成および管理します。ネットワーク、ポート、VLAN タグ、および URL オブジェクトをグループ化できます。さらに、オブジェクトおよびオブジェクト グループのリストをソート、フィルタ、および参照することもできます。

詳細については、以下を参照してください。

「オブジェクトのグループ化」

「オブジェクトの参照、ソート、およびフィルタ」

オブジェクトのグループ化

ライセンス:任意

ネットワーク、ポート、VLAN タグ、および URL オブジェクトをグループ化できます。システムでは、Web インターフェイスでオブジェクトおよびオブジェクト グループを交互に使用することができます。たとえば、ポート オブジェクトを使用する場合はいつでも、ポート オブジェクト グループも使用できます。同じタイプのオブジェクトおよびオブジェクト グループには、同じ名前を付けることはできません。

ポリシーで使用されるオブジェクト グループ(たとえば、アクセス コントロール、ネットワーク検出、または侵入ポリシーで使用されるネットワーク オブジェクト グループ)を編集する場合、変更を有効にするためにポリシーを再適用する必要があります。

グループを削除しても、グループ内のオブジェクトは削除されず、相互の関連性だけが削除されます。さらに、使用中のグループは削除できません。たとえば、保存されたアクセス コントロール ポリシーの VLAN 条件で使用している VLAN タグのグループは削除できません。

ネットワーク、ポート、VLAN タグ、または URL オブジェクトをグループ化する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 グループ化するオブジェクトのタイプで、[Object Groups] を選択します。

グループ化するオブジェクト タイプのページが表示されます。

ステップ 3 [Add Network Group]、[Add Port Group]、[Add VLAN Tag Group]、または [Add URL Group] をクリックします。

グループを作成するためのポップアップ ウィンドウが表示されます。

ステップ 4 グループの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 1 つ以上のオブジェクトを選択し、[Add] をクリックします。

複数のオブジェクトを選択するには、Shift キーまたは Ctrl キーを使用するか、右クリックして [Select All] を選択します。

含める既存のオブジェクトを検索するには、フィルタ フィールド( )を使用します。これは入力に従って更新され、一致する項目を表示します。検索ストリングをクリアするには、検索フィールドの上にあるの再ロード アイコン( )をクリックするか、検索フィールド内のクリア アイコン( )をクリックします。

既存のオブジェクトがニーズを満たさない場合、すぐにオブジェクトを作成するには、追加アイコン( )をクリックします。

ステップ 6 [Save] をクリックします。

グループが作成されます。


 

オブジェクトの参照、ソート、およびフィルタ

ライセンス:任意

オブジェクト マネージャには、ページあたり 20 のオブジェクトまたはグループが表示されます。オブジェクトまたはグループのタイプが 20 を超える場合は、ページ下部のナビゲーション リンクを使用して追加ページを表示します。特定のページにアクセスしたり、更新アイコン( )にアクセスしてビューを更新したりすることもできます。

デフォルトでは、オブジェクトとグループはページで、アルファベット順に名前でリストされます。ただし、表示されている任意の列でオブジェクトまたはグループの各タイプをソートできます。列見出しの横にある上( )または下( )矢印は、ページがその列でその方向にソートされていることを示します。ページのオブジェクトは、名前または値でフィルタすることもできます。

オブジェクトまたはグループをソートする方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 カラムの見出しをクリックします。反対方向でソートするには、見出しを再度クリックします。


 

オブジェクトまたはグループをフィルタする方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Filter] フィールドのフィルタ条件を入力します。

ページは入力に従って更新され、一致する項目が表示されます。フィールドは、ワイルドカードとして 1 つ以上のアスタリスク( * )を受け入れます。


 

ネットワーク オブジェクトの操作

ライセンス:任意

ネットワーク オブジェクトは、個別に、またはアドレス ブロックとして指定できる 1 つ以上の IP アドレスを表します。ネットワーク オブジェクトおよびグループ(「オブジェクトのグループ化」を参照)を、アクセス コントロール ポリシー、ネットワークの変数、侵入ルール、ネットワーク検出ルール、イベント検索、レポートなど、システムの Web インターフェイスのさまざまな場所で使用できます。

また、使用中のネットワーク オブジェクトは削除できません。さらに、アクセス コントロール、ネットワーク検出、または侵入ポリシーで使用されるネットワーク オブジェクトを編集した場合は、変更を有効にするためにポリシーを再適用する必要があります。

ネットワーク オブジェクトを作成する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Network] で、[Individual Objects] を選択します。

ステップ 3 [Add Network] をクリックします。

[Network Objects] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] にネットワーク オブジェクトの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 ネットワーク オブジェクトに追加する IP アドレスまたはアドレス ブロックごとに、値を入力して [Add] をクリックします。

ステップ 6 [Save] をクリックします。

ネットワーク オブジェクトが追加されます。


 

セキュリティ インテリジェンス リストとフィードの操作

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

セキュリティ インテリジェンス機能を使用すると、アクセス コントロール ポリシーごとに、送信元または宛先 IP アドレスに基づいてネットワークをトラバースできるトラフィックを指定できます。これは、トラフィックがアクセス コントロール ルールによって分析される前に、特定の IP アドレスをブラックリストに入れる(トラフィックの送受信を拒否する)場合に特に役立ちます。同様に、IP アドレスをホワイトリストに追加して、アクセス コントロールを使用してシステムに接続を強制的に処理させることができます。

特定の IP アドレスをブラックリストに入れるかどうか決めていない場合は、「監視のみ」設定を使用できます。この場合、システムはアクセス コントロールを使用して接続を処理できますが、接続の一致はブラックリストに記録されます。

グローバル ホワイトリスト および グローバル ブラックリスト は、デフォルトですべてのアクセス コントロール ポリシーに含まれており、すべてのゾーンに適用されます。また、各アクセス コントロール ポリシー内で、ネットワーク オブジェクトとグループの組み合わせを使用して個別のホワイトリストおよびブラックリストや、セキュリティ インテリジェンスのリストとフィードを作成できます。ユーザはこれらすべてをセキュリティ ゾーン別に抑制することができます。


デフォルトで、シリーズ 2 デバイスは他のすべての Protection 機能がある場合でも、セキュリティ インテリジェンス フィルタリングを実行できません。


フィードとリストの比較

セキュリティ インテリジェンス フィード は、ユーザが設定した間隔で防御センターが HTTP または HTTPS サーバからダウンロードする IP アドレスの動的コレクションです。フィードは定期的に更新されるため、システムは最新の情報を使用してネットワーク トラフィックをフィルタできます。ユーザがブラックリストを作成できるように、シスコは、悪いレピュテーションがあるとシスコVRT が判断した IP アドレスを表す インテリジェンス フィード を提供します。

防御センターは、更新されたフィード情報をダウンロードすると、管理対象デバイスを自動的に更新します。フィードの更新が導入環境全体に反映されるまで数分かかる場合がありますが、フィードの作成または変更後、またはスケジュールされたフィードの更新後に、アクセス コントロール ポリシーを再適用する必要はありません。


防御センターがインターネットからフィードをダウンロードするタイミングを厳密に制御する場合は、そのフィードの自動更新を無効にすることができます。ただし、シスコは自動更新の許可を推奨します。手動でオンデマンド更新を行うことはできますが、システムで定期的にフィードをダウンロードできるようにすれば、最新の関連データを入手できます。


フィードとは対照的に、セキュリティ インテリジェンスの リスト は防御センターに手動でアップロードする IP アドレスの簡単な静的リストです。フィードおよびグローバル ホワイトリストやブラックリストを増加および微調整するには、カスタム リストを使用します。カスタム リストの編集(ネットワーク オブジェクトの編集およびグローバル ホワイトリストまたはブラックリストからの IP アドレスの削除)を行う場合、変更を反映させるためにアクセス コントロール ポリシーを適用する必要があることに注意してください。

フィード データの書式設定や破損

フィードとリストのソースは、1 行につき 1 つの IP アドレスまたはアドレス ブロックを持つ、最大 500 MB の単純なテキスト ファイルでなければなりません。コメント行は # 文字で始める必要があります。リストのソース ファイルは .txt 拡張子を使用する必要があります。

防御センターが破損したフィードまたは認識不能な IP アドレスを持つフィードをダウンロードした場合、システムは古いフィード データを引き続き使用します(これが初回のダウンロードである場合を除く)。ただし、システムがフィード内の IP アドレスを 1 つでも認識できる場合、防御センターは、認識できるアドレスで管理対象デバイスを更新します。

デフォルトのヘルス ポリシーには、セキュリティ インテリジェンス モジュールが含まれています。これは、防御センターがフィードを更新できない場合や、フィードが破損していたり、認識できない IP アドレスが含まれていたりする場合など、セキュリティ インテリジェンス フィルタリングが関係する一部の状態でアラートを出します。

インターネット アクセスとハイ アベイラビリティ

システムは、ポート 443/HTTPS を使用してインテリジェンス フィードをダウンロードし、443/HTTP または 80/HTTP を使用してカスタムまたはサードパーティのフィードをダウンロードします。フィードを更新するには、防御センターでインバウンドとアウトバンド両方の適切なポートを開く必要があります。フィード サイトへのダイレクト アクセスを持っていない場合、防御センターはプロキシ サーバを使用できます(「ネットワーク設定の構成」を参照してください)。


防御センターはカスタム フィードのダウンロード時にピア SSL 証明書の検証を実行しません。また、システムは、証明書のバンドルまたは自己署名証明書を使用したリモート ピアの検証もサポートしていません。


ハイ アベラビリティの導入環境では、セキュリティ インテリジェンス オブジェクトは防御センター間で同期されますが、プライマリ防御センターだけがフィードの更新をダウンロードします。プライマリ防御センターが失敗した場合、セカンダリ防御センターがフィード サイトへのアクセス権を持っていることを確認するだけでなく、セカンダリ防御センターの Web インターフェイスを使用してアクセス権のレベルを [Active] に上げる必要があります。詳細については、「ハイ アベイラビリティ ステータスのモニタリングおよび変更」を参照してください。

フィードとリストの管理

セキュリティ インテリジェンスのリストとフィード(総称してセキュリティ インテリジェンス オブジェクトと呼ばれる)は、オブジェクト マネージャのセキュリティ インテリジェンス ページを使用して作成および管理します。(ネットワーク オブジェクトおよびグループの作成および管理の詳細については、「ネットワーク オブジェクトの操作」を参照してください。)

保存または適用されているアクセス コントロール ポリシーで現在使用されているカスタム リストまたはフィードは削除できないことに注意してください。さらに、個別の IP アドレスは削除できますが、グローバル リストは削除できません。同様に、インテリジェンス フィードは削除できませんが、編集することによって更新の頻度を無効にしたり、変更したりできます。

セキュリティ インテリジェンス オブジェクトのクイック リファレンス

次の表に、セキュリティ インテリジェンスのフィルタリングを実行する場合に使用できるオブジェクトのクイック リファレンスを示します。

 

表 5-1 セキュリティ インテリジェンス オブジェクトの機能

機能
グローバル ホワイトリストまたはブラックリスト
インテリジェンス フィード
カスタム フィード
カスタム
リスト
ネットワーク オブジェクト

使用方法

デフォルトで、アクセス コントロール ポリシーで

ホワイトリストまたはブラックリスト オブジェクトとして任意のアクセス コントロール ポリシーで

セキュリティ ゾーンで制約することができるか

いいえ

はい

はい

はい

はい

削除できるか

いいえ

いいえ

はい(保存または適用されているアクセス コントロール ポリシーで現在使用されている場合を除く)

オブジェクト マネージャの編集機能

IP アドレスのみを削除する(コンテキスト メニューを使用して IP アドレスを追加する)

更新の頻度を無効にするか、変更する

完全に変更
する

変更されたリストのみをアップロードする

完全に変更
する

変更時にアクセス ポリシー コントロールの再適用が必要か

削除する場合は yes(IP アドレスを追加する場合は、再適用する必要はありません)

いいえ

いいえ

はい

はい

セキュリティ インテリジェンスのリストおよびフィードの作成、管理、および使用の詳細については、以下を参照してください。

「グローバル ホワイトリストおよびブラックリストの操作」

「インテリジェンス フィードの操作」

「カスタム セキュリティ インテリジェンス フィードの操作」

「手動によるセキュリティ インテリジェンス フィードの更新」

「カスタム セキュリティ インテリジェンスのリストの操作」

「セキュリティ インテリジェンス データに基づくトラフィックのフィルタリング」

グローバル ホワイトリストおよびブラックリストの操作

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

分析の過程で、イベント ビュー、コンテキスト エクスプローラ、またはダッシュボードで IP アドレスのコンテキスト メニューを使用し、セキュリティ インテリジェンスの グローバル ブラックリスト を作成できます。たとえば、エクスプロイトの試行に関連した侵入イベントでルーティング可能な IP アドレスのセットに気付いた場合、それらの IP アドレスを即時にブラックリストに入れることができます。また、同じ方法で グローバル ホワイトリスト も作成できます。

システムのグローバル ホワイトリストおよびブラックリストは、デフォルトですべてのアクセス コントロール ポリシーに含まれており、すべてのゾーンに適用されます。ポリシーのそれぞれについて、これらのグローバル リストを使用しないように選択することができます。

グローバル リストに IP アドレスを追加すると、防御センターは自動的に管理対象デバイスを更新します。導入環境全体で変更を反映するには数分かかる場合がありますが、グローバル リストに IP アドレスを追加した後は、アクセス コントロール ポリシーを再適用する必要はありません。逆に、グローバル ホワイトリストまたはブラックリストから IP アドレスを削除した後は、変更を反映するためにアクセス コントロール ポリシーを適用する必要があります。

ネットマスク /0 のネットワーク オブジェクトはホワイトリストまたはブラックリストに追加できますが、ネットマスク /0 を使用したアドレス ブロックは無視され、これらのアドレスに基づいたホワイトリストおよびブラックリスト フィルタリングは行われないことに注意してください。セキュリティ インテリジェンス フィードからのネットマスク /0 のアドレス ブロックも無視されます。すべてのトラフィックを監視またはブロックする場合は、セキュリティ インテリジェンス フィルタリングの代わりに、[Monitor] または [Block] ルール アクションでアクセス コントロール ルールを使用し、[Source Networks] および [Destination Networks] の [any] のデフォルト値をそれぞれ使用します。

IP アドレスをグローバル ホワイトリストまたはブラックリストに追加すると、アクセス コントロールに影響を与えるため、次のいずれかを持っている必要があります。

管理者アクセス

デフォルト ロールの組み合わせ:Network Admin または Access Admin に加えて Security Analyst および Security Approver

Modify Access Control Policy と Apply Access Control Policy の両方の権限を持つカスタム ロール。「アクセス コントロール ポリシーでのカスタム ユーザ ロールの使用」を参照してください。

コンテキスト メニューを使用して IP アドレスをグローバル ホワイトリストまたはブラックリストに追加する方法:

アクセス:Admin/Custom


ステップ 1 イベント ビュー、パケット ビュー、コンテキスト エクスプローラ、またはダッシュボードでは、ポインタを IP アドレスのホットスポットの上に移動します。


ヒント イベント ビューまたはダッシュボードで、ポインタを左側のホスト アイコン()ではなく、IP アドレスの上に移動します。

ステップ 2 コンテキスト メニューを次のように起動します。

イベント ビューまたはダッシュボードの場合は、右クリックします。

コンテキスト エクスプローラまたはパケット ビューの場合は、左クリックします。

ステップ 3 コンテキスト メニューから、[Whitelist Now] または [Blacklist Now] を選択します。

コンテキスト メニューの他のオプションの詳細については、「コンテキスト メニューの使用」を参照してください。

ステップ 4 IP アドレスをホワイトリストまたはブラックリストに登録することを確認します。

防御センターがユーザの追加を管理対象デバイスに通知すると、導入環境ではその変更に従ってトラフィックのフィルタが開始されます。


 

IP アドレスをグローバル ホワイトリストまたはブラックリストから削除する方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャのセキュリティ インテリジェンス ページで、グローバル ホワイトリストまたはブラックリストの横にある編集アイコン( )をクリックします。

グローバル ホワイトリストまたはグローバル ブラックリストのポップアップ ウィンドウが表示されます。

ステップ 2 リストから削除する IP アドレスの横にある削除アイコン( )アイコンをクリックします。

複数の IP アドレスを同時に削除するには、Shift キーまたは Ctrl キーを使用してそれらを選択し、右クリックして [Delete] を選択します。

ステップ 3 [Save] をクリックします。

変更は保存されますが、それを有効にするにはアクセス コントロール ポリシーを適用する必要があります。


 

インテリジェンス フィードの操作

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ブラックリストを作成するのに役立つように、シスコは、悪いレピュテーションがあると VRT が判断した IP アドレスの定期的に更新されるリストをインテリジェンス フィードで提供します。フィードの各リストは、オープン リレー、既知の攻撃者、bogus IP アドレス(bogon)などの、特定のカテゴリを表します。アクセス コントロール ポリシーでは、カテゴリのいずれかまたはすべてをブラックリストに登録できます。

インテリジェンス フィードは定期的に更新されるため、システムは最新の情報を使用してネットワーク トラフィックをフィルタできます。ただし、セキュリティに対する脅威(マルウェア、スパム、ボットネット、スパム、フィッシングなど)を表す不正な IP アドレスが現れては消えるペースが早すぎて、新しいポリシーを更新して適用するには間に合わないこともあります。

インテリジェンス フィードは削除できませんが、編集することによって更新の頻度を変更できます。デフォルトで、フィードは 2 時間ごとに更新されます。

インテリジェンス フィードの更新頻度を変更する方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャの [Security Intelligence] ページで、インテリジェンス フィードの横にある編集アイコン( )をクリックします。

[Cisco Security Intelligence] ポップアップ ウィンドウが表示されます。

ステップ 2 [Update Frequency] を編集します。

2 時間から 1 週間までの範囲で、さまざまな間隔から選択できます。フィードの更新を無効にすることもできます。

ステップ 3 [Save] をクリックします。

変更が保存されます。


 

カスタム セキュリティ インテリジェンス フィードの操作

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

カスタムまたはサードパーティのセキュリティ インテリジェンス フィードを使用すると、インターネット上で定期的に更新される他の信頼できるホワイトリストおよびブラックリストによって、インテリジェンス フィードを追加することができます。内部フィードをセットアップすることもできます。これは、1 つのソース リストを使用して導入環境で複数の防御センターを更新する場合に役立ちます。

フィードを設定する場合は、URL を使用して場所を指定します。この URL は Punycode エンコードすることができません。デフォルトで、防御センターは、設定した間隔でフィード ソース全体をダウンロードし、管理対象デバイスを自動更新します。

オプションで、md5 チェックサムを使用して、更新フィードをダウンロードするかどうか判断するようにシステムを設定できます。防御センターが最後にフィードをダウンロードした後にチェックサムが変更されていない場合、システムで再ダウンロードを行う必要はありません。特に内部フィードが大きい場合には、md5 チェックサムを使用することができます。md5 チェックサムは、チェックサムのみを含む単純なテキスト ファイルに保存する必要があります。コメントはサポートされていません。

セキュリティ インテリジェンス フィードを設定する方法:

アクセス:Admin/Intrusion Admin


ステップ 1 オブジェクト マネージャの [Security Intelligence] ページで、[Add Security Intelligence] をクリックします。

[Security Intelligence] ポップアップ ウィンドウが表示されます。

ステップ 2 [Name] にフィードの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 3 [Type] ドロップダウン リストから、[Feed] を設定することを指定します。

ポップアップ ウィンドウが新しいオプションで更新されます。

ステップ 4 [Feed URL] を指定し、オプションで [MD5 URL] を指定します。

ステップ 5 [Update Frequency] を選択します。

2 時間から 1 週間までの範囲で、さまざまな間隔から選択できます。フィードの更新を無効にすることもできます。

ステップ 6 [Save] をクリックします。

セキュリティ インテリジェンス フィードのオブジェクトが作成されます。フィードの更新を無効にした場合を除き、防御センターは、フィードをダウンロードして検証しようとします。これで、アクセス コントロール ポリシーでフィード オブジェクトを使用できるようになりました。


 

手動によるセキュリティ インテリジェンス フィードの更新

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

手動でセキュリティ インテリジェンス フィードを更新すると、インテリジェンス フィードを含め、すべてのフィードが更新されます。

すべてのセキュリティ インテリジェンス フィードを更新する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 オブジェクト マネージャの [Security Intelligence] ページで、[Update Feeds] をクリックします。

ステップ 2 すべてのフィードを更新することを確認します。

更新が有効になるまで数分かかる場合があることを警告する確認ダイアログが表示されます。

ステップ 3 [OK] をクリックします。

フィードの更新をダウンロードして検証した後、防御センターはすべての変更内容を管理対象デバイスに通知します。導入環境では、更新されたフィードを使用してトラフィックのフィルタリングが開始されます。


 

カスタム セキュリティ インテリジェンスのリストの操作

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

セキュリティ インテリジェンスのリストは、防御センターに手動でアップロードする IP アドレスおよびアドレス ブロックのシンプルな静的リストです。カスタム リストは、単一の防御センターの管理対象デバイスで、フィードやグローバル リストの 1 つを増やしたり、微調整したりする場合に役立ちます。

アドレス ブロックのネットマスクは、IPv4 および IPv6 の場合、それぞれ 0 から 32 、または 0 から 128 までの整数になることに注意してください。

たとえば、信頼できるフィードが重要なリソースへのアクセスを誤ってブロックしているものの、このフィードが全体的に組織にとって有用である場合、セキュリティ インテリジェンス フィード オブジェクトをアクセス コントロール ポリシーのブラックリストから削除する代わりに、誤って分類された IP アドレスだけが含まれるカスタム ホワイトリストを作成できます。

セキュリティ インテリジェンスのリストを変更するには、ソース ファイルを変更して、新しいコピーをアップロードする必要があることに注意してください。詳細については、「セキュリティ インテリジェンス リストの更新」を参照してください。

新しいセキュリティ インテリジェンスを防御センターにアップロードする方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 オブジェクト マネージャの [Security Intelligence] ページで、[Add Security Intelligence] をクリックします。

[Security Intelligence] ポップアップ ウィンドウが表示されます。

ステップ 2 [Name] にリストの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 3 [Type] ドロップダウン リストから、[List] をアップロードすることを指定します。

ポップアップ ウィンドウが新しいオプションで更新されます。

ステップ 4 [Browse] をクリックしてリストの .txt ファイルを位置指定し、[Upload] をクリックします。

リストがアップロードされます。ポップアップ ウィンドウに、システムがリスト内で検出した IP アドレスとアドレス ブロックの総数が表示されます。

番号が予期したものでない場合は、ファイルの書式設定を調べ、再試行してください。

ステップ 5 [Save] をクリックします。

セキュリティ インテリジェンス リストのオブジェクトが保存されます。これで、アクセス コントロール ポリシーでリスト オブジェクトを使用できるようになりました。


 

セキュリティ インテリジェンス リストの更新

ライセンス:Protection

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

セキュリティ インテリジェンス リストを編集するには、ソース ファイルを変更して、新しいコピーをアップロードする必要があります。防御センターの Web インターフェイスを使用してファイルの内容を変更することはできません。ソース ファイルへのアクセス権がない場合は、防御センターからコピーをダウンロードできます。

セキュリティ インテリジェンス リストを変更する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 オブジェクト マネージャの [Security Intelligence] ページで、更新するリストの横にある編集アイコン( )をクリックします。

[Security Intelligence] ポップアップ ウィンドウが表示されます。

ステップ 2 編集するリストのコピーが必要な場合、[Download] をクリックして、ブラウザのプロンプトに従ってリストをテキスト ファイルとして保存します。

ステップ 3 必要に応じてリストを変更します。

ステップ 4 [Security Intelligence] ポップアップ ウィンドウで、[Browse] をクリックして、変更されたリストを位置指定し、[Upload] をクリックします。

リストがアップロードされます。

ステップ 5 [Save] をクリックします。

変更が保存されます。アクティブなアクセス コントロール ポリシーでリストが使用されている場合、変更を有効にするにはポリシーを適用する必要があります。


 

ポート オブジェクトの操作

ライセンス:任意

ポート オブジェクトは、異なるプロトコルをそれぞれ少し異なる方法で表します。

TCP および UDP の場合、ポート オブジェクトは、カッコ内にプロトコル番号が記載されたトランスポート層プロトコルと、オプションの関連ポートまたはポート範囲を表します。例: TCP(6)/22

ICMP および ICMPv6(IPv6 ICMP)の場合、ポート オブジェクトはインターネット層プロトコルと、オプションのタイプおよびコードを表します。例: ICMP(1):3:3

ポート オブジェクトは、ポートを使用しない他のプロトコルを表すこともできます。

シスコが既知のポート用にデフォルトのポート オブジェクトを提供することに注意してください。これらのオブジェクトは変更または削除できますが、シスコは代わりにカスタム ポート オブジェクトを作成することを推奨します。

ポート オブジェクトおよびグループ(「オブジェクトのグループ化」を参照)を、アクセス コントロール ポリシー、ネットワーク検出ルール、ポート変数、およびイベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、組織が特定のポート範囲を使用するカスタム クライアントを使用して、システムで過剰なイベントや誤解を与えるイベントが発生した場合、それらのポートの監視を除外するようネットワーク検出ポリシーを設定できます。

使用中のポート オブジェクトは削除できません。さらに、アクセス コントロール ポリシーまたはネットワーク検出ポリシーで使用されるポート オブジェクトを編集した場合は、変更を有効にするためにポリシーを再適用する必要があります。

アクセス コントロール ルールの送信元ポートの条件には TCP/UDP 以外のプロトコルを追加できないことに注意してください。さらに、送信元ポートと宛先ポートの両方のポート条件をルールで設定する場合、トランスポート プロトコルを混在させることはできません。

送信元ポートの条件で使用されるポート オブジェクト グループにサポート対象外のプロトコルを追加した場合、使用されるルールはポリシー適用中の管理対象デバイスには適用されません。さらに、TCP と UDP の両方のポートを含むポート オブジェクトを作成してから、ルールの送信元ポートの条件としてそのポート オブジェクトを追加した場合、宛先ポートを追加することはできません。その逆もまた同様です。

ポート オブジェクトを作成する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Port] で、[Individual Objects] を選択します。

ステップ 3 [Add Port] をクリックします。

[Port Objects] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] にポート オブジェクトの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 [Protocol] を選択します。

[TCP]、[UDP]、[IP]、[ICMP]、または [IPv6-ICMP] から選択するか、[Other] ドロップダウン リストを使用して別のプロトコルまたは [All] プロトコルを選択できます。

ステップ 6 オプションで、[Port] またはポート範囲を使用して TCP または UDP ポート オブジェクトを制限します。

1 ~ 65535 までの任意のポートを指定するか、すべてのポートと一致するように [any] を指定できます。ポートの範囲を指定するには、ハイフンを使用します。

ステップ 7 オプションで、[Type] および、該当する場合は関連した [Code] を使用して ICMP または IPV6-ICMP ポート オブジェクトを制限します。

ICMP または IPv6-ICMP オブジェクトを作成する場合、タイプ、および該当する場合はコードを指定できます。ICMP のタイプとコードの詳細については、http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml およびhttp://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xml を参照してください。任意のタイプと一致するようにタイプに any を設定するか、指定したタイプの任意のコードと一致するようにコードに any を設定できます。

ステップ 8 オプションで、[Other] を選択し、ドロップダウン リストからプロトコルを選択します。[All] プロトコルを選択した場合は、[Port] フィールドにポート番号を入力します。

ステップ 9 [Save] をクリックします。

ポート オブジェクトが追加されます。


 

VLAN タグ オブジェクトの操作

ライセンス:任意

設定した各 VLAN タグ オブジェクトは、VLAN タグまたはタグの範囲を表します。VLAN タグ オブジェクトおよびグループ(「オブジェクトのグループ化」を参照)を、アクセス コントロール ポリシーおよびイベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、特定の VLAN だけに適用されるアクセス コントロール ルールを作成することもできます。

使用中の VLAN タグ オブジェクトは削除できません。さらに、アクセス コントロール ポリシーで使用される VLAN タグ オブジェクトを編集した場合は、変更を有効にするためにポリシーを再適用する必要があります。

VLAN タグ オブジェクトを追加する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [VLAN Tag] で、[Individual Objects] を選択します。

ステップ 3 [Add VLAN Tag] をクリックします。

[VLAN Tag] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] に、VLAN タグの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 [VLAN Tag] フィールドに VLAN タグの値を入力します。

1 ~ 4094 の任意の VLAN タグを指定できます。VLAN タグの範囲を指定するには、ハイフンを使用します。

ステップ 6 [Save] をクリックします。

VLAN タグのオブジェクトが追加されます。


 

URL オブジェクトの操作

ライセンス:任意

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

設定した各 URL オブジェクトは、単一の URL または IP アドレスを表します。URL オブジェクトおよびグループ(「オブジェクトのグループ化」を参照)を、アクセス コントロール ポリシーおよびイベント検索など、システムの Web インターフェイスのさまざまな場所で使用できます。たとえば、特定の URL をブロックするアクセス コントロール ルールを作成することもできます。

HTTPS トラフィックをブロックするには、トラフィックの Secure Sockets Layer(SSL)証明書から URL を入力できることに注意してください。証明書から URL を入力する場合は、ドメイン名を入力し、サブドメイン情報を省略します。(たとえば、 www.example.com の代わりに example.com と入力します。)証明書の URL に基づいてトラフィックをブロックする場合、その Web サイトへの HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。

使用中の URL オブジェクトは削除できません。さらに、アクセス コントロール ポリシーで使用される URL オブジェクトを編集した場合は、変更を有効にするためにポリシーを再適用する必要があります。

URL オブジェクトを追加する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [URL] で、[Individual Objects] を選択します。

ステップ 3 [Add URL] をクリックします。

[URL Objects] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] に URL オブジェクトの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 URL オブジェクトの [URL] または IP アドレスを入力します。

ステップ 6 [Save] をクリックします。

URL オブジェクトが追加されます。


 

アプリケーション フィルタの操

ライセンス:FireSIGHT

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

FireSIGHT システムは IP トラフィックを分析するときに、ネットワーク上でよく使用されているアプリケーションを特定しようとします。アプリケーション認識は、アプリケーション ベースのアクセス コントロールを行うために不可欠です。システムは多くのアプリケーションに対応するディテクタとともに配布されており、シスコは頻繁に更新を提供し、システムおよび脆弱性データベース(VDB)の更新を通じてディテクタをさらに追加します。また、独自のアプリケーション プロトコル ディテクタを作成して、システムの検出機能を強化することもできます。

アプリケーション フィルタは、アプリケーションのリスク、ビジネス関連性、タイプ、カテゴリ、およびタグに関連付けられている条件に従ってアプリケーションをグループ化します。 「アプリケーションの特徴」 の表を参照してください。アプリケーション プロトコル ディテクタを作成する場合、これらの基準を使用してアプリケーションを特徴付ける必要もあります。アプリケーション フィルタを使用すると、アプリケーションを個別に検索および追加する必要がないため、アクセス コントロール ルール用のアプリケーション条件を素早く作成できます。詳細については、「アプリケーション条件を使用する」を参照してください。

アプリケーション フィルタを使用する別の利点は、新しいアプリケーションを変更または追加する場合にフィルタを使用するアクセス コントロール ルールを更新する必要がないことです。たとえば、すべてのソーシャル ネットワーキング アプリケーションをブロックするようにアクセス コントロール ポリシーを設定し、VDB の更新に新しいソーシャル ネットワーキング アプリケーション ディテクタが含まれる場合、ポリシーは VDB の更新時に更新されます。システムが新しいアプリケーションをブロックする前にポリシーを再適用する必要がありますが、アプリケーションをブロックするアクセス コントロール ルールを更新する必要はありません。

シスコ提供のアプリケーション フィルタがユーザのニーズに応じてアプリケーションをグループ化しない場合、独自のフィルタを作成することができます。ユーザ定義フィルタでは、シスコ提供のフィルタをグループ化して結合できます。たとえば、非常にリスクが高く、ビジネス関連性が低いアプリケーションをすべてブロックするフィルタを作成することができます。個々のアプリケーションを手動で指定することによってもフィルタを作成できますが、これらのフィルタは、システム ソフトウェアまたは VDB を更新しても自動的に更新 されない ことを覚えておいてください。

シスコ提供のアプリケーション フィルタと同様、ユーザ定義のアプリケーション フィルタもアクセス コントロール ルールで使用できます。また、ユーザ定義フィルタを次の方法でも使用できます:

イベント ビューアを使用してアプリケーションを検索する場合は、「検索でのオブジェクトとアプリケーション フィルタの使用」を参照してください

レポート テンプレートでテーブル ビューを抑制する場合は、「レポート テンプレート セクションの検索設定の操作」を参照してください

[Custom Analysis] ダッシュボード ウィジェットでアプリケーション統計情報をフィルタする場合は、「Custom Analysis ウィジェットの設定」を参照してください

アプリケーション フィルタを作成および管理する場合は、オブジェクト マネージャ([Objects] > [Object Management])を使用します。アプリケーションの条件をアクセス コントロール ルールに追加しながら、アプリケーション フィルタをすぐに作成できることに注意してください。

[Application Filters] リストには、独自のフィルタを作成するために選択できるシスコ提供のアプリケーション フィルタが含まれます。表示されるフィルタは検索文字列を使用することによって抑制できます。これは、カテゴリとタグの場合に特に役立ちます。

[Available Applications] リストには、選択したフィルタ内の個別のアプリケーションが含まれます。また、検索ストリングを使用して、表示されるアプリケーションを抑制することもできます。

システムは、OR 演算を使用して同じフィルタ タイプの複数のフィルタをリンクします。中リスク フィルタに 100 のアプリケーションが含まれており、高リスク フィルタに 50 のアプリケーションが含まれているシナリオについて考えてみてください。両方のフィルタを選択すると、システムは使用可能な 150 のアプリケーションを表示します。

システムは、AND 演算を使用して異なるタイプのフィルタをリンクします。たとえば、中リスクおよび高リスクのフィルタと中レベルおよび高レベルのビジネス関連性のフィルタを選択した場合、システムは、中リスクまたは高リスクで、かつ中レベルおよび高レベルのビジネス関連性があるアプリケーションを表示します。


ヒント 関連するアプリケーションについての詳細は情報アイコン()をクリックします。詳細情報を表示するには、表示されるポップアップでインターネット検索リンクのいずれかをクリックします。

フィルタに追加するアプリケーションを決定したら、それらを個別に追加するか、アプリケーション フィルタを選択した場合は、[All apps matching the filter] を追加することができます。[Selected Applications and Filters] リストにあるアイテムの合計数が 50 を超えない限り、複数のフィルタおよび複数のアプリケーションを任意の組み合わせで追加できます。

アプリケーション フィルタを作成すると、オブジェクト マネージャの [Application Filters] ページにリストされます。このページには、各フィルタを構成する条件の合計数が表示されます。

表示されるアプリケーション フィルタのソートとフィルタの詳細については、「オブジェクト マネージャの使用」を参照してください。使用中のアプリケーション フィルタは削除できないことに注意してください。さらに、アクセス コントロール ポリシーで使用されるアプリケーション フィルタを編集した場合は、変更を有効にするためにポリシーを再適用する必要があります。

アプリケーション フィルタを作成する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Application Filters] をクリックします。

[Application Filters] セクションが表示されます。

ステップ 3 [Add Application Filter] をクリックします。

[Application Filter] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] にフィルタの名前を指定します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 オプションで、[Application Filters] リストにあるシスコ提供のフィルタを使用して、フィルタに追加するアプリケーションのリストを絞り込みます。

リストを展開および縮小するには、各フィルタ タイプの横にある矢印をクリックします。

フィルタ タイプを右クリックし、[Check All] または [Uncheck All] をクリックします。このリストには、各タイプで選択したフィルタ数が示されることに注意してください。

表示されるフィルタを絞り込むには、[Search by name] フィールドに検索文字列を入力します。これは、カテゴリとタグの場合に特に有効です。検索をクリアするには、クリア アイコン( )をクリックします。

フィルタのリストを更新し、選択したフィルタをすべてクリアするには、リロード アイコン( )をクリックします。

すべてのフィルタと検索フィールドをクリアするには、[Clear All Filters] をクリックします。

選択したフィルタに一致するアプリケーションが [Available Applications] リストに表示されます。リストには一度に 100 のアプリケーションが表示されます。

ステップ 6 [Available Applications] リストから、フィルタに追加するアプリケーションを選択します。

前の手順で指定した制約を満たすすべてのアプリケーションを追加するには、[All apps matching the filter] を選択します。

表示される個別のアプリケーションを絞り込むには、[Search by name] フィールドに検索文字列を入力します。検索をクリアするには、クリア アイコン( )をクリックします。

使用可能な個別のアプリケーションのリストを参照するには、リストの下部にあるページング アイコンを使用します。

複数の個別オブジェクトを選択するには、Shift キーまたは Ctrl キーを使用します。現在表示されている個別のアプリケーションを選択するには、右クリックして [Select All] を選択します。

アプリケーションのリストを更新し、選択したアプリケーションをすべてクリアするには、リロード アイコン( )をクリックします。

個別のアプリケーションと [All apps matching the filter] は同時に選択できません。

ステップ 7 選択したアプリケーションをフィルタに追加します。クリックしてドラッグするか、[Add to Rule] をクリックできます。

結果は次のもので構成されています。

選択したアプリケーション フィルタ

選択した個別の使用可能なアプリケーション、または [All apps matching the filter]

フィルタには最大 50 のアプリケーションおよびフィルタを追加できます。選択したアプリケーションからアプリケーションまたはフィルタを削除するには、該当するな削除アイコン( )をクリックします。1 つ以上のアプリケーションおよびフィルタを選択するか、[Select All] を右クリックしてから、[Delete Selected] を右クリックします。

ステップ 8 [Save] をクリックします。

アプリケーション フィルタが保存されます。


 

変数セットの操作

ライセンス:Protection

変数は、侵入ルールで一般的に使用される値を表し、送信元および宛先の IP アドレスおよびポートを識別します。侵入ポリシーにある変数を使用して、ルール抑制、適応プロファイル、および動的ルール状態にある IP アドレスを表すこともできます。


ヒント プリプロセッサ ルールは、侵入ルールで使用されるネットワーク変数で定義されたホストにかかわらず、イベントをトリガーできます。

変数セットを使用して、変数を管理、カスタマイズ、およびグループ化します。シスコ提供のデフォルトの変数セットを使用するか、独自のカスタム セットを作成することができます。どのセットでも、定義済みのデフォルトの変数を変更し、ユーザ定義の変数を追加および変更することができます。

ほとんどの 共有オブジェクト ルール、および FireSIGHT システムが提供する 標準テキスト ルール は、定義済みのデフォルト変数を使用して、ネットワークおよびポート番号を定義します。たとえば、ルールの大半は、保護されたネットワークを指定するために変数 $HOME_NET を使用して、保護されていない(つまり外部の)ネットワークを指定するために変数 $EXTERNAL_NET を使用します。さらに、特殊なルールでは、他の定義済みの変数がしばしば使用されます。たとえば、Web サーバに対するエクスプロイトを検出するルールは、 $HTTP_SERVERS 変数および $HTTP_PORTS 変数を使用します。

ルールがより効率的なのは、変数がユーザのネットワーク環境をより正確に反映する場合です。少なくとも、「定義済みのデフォルトの変数の最適化」 で説明されているように、デフォルトのセットにあるデフォルトの変数を変更する必要があります。 $HOME_NET などの変数がネットワークを正しく定義し、 $HTTP_SERVERS にネットワーク上のすべての Web サーバが含まれるようにするには、処理は最適化され、疑わしいアクティビティがないかどうかすべての関連システムが監視されます。

変数を使用するには、変数セットをアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションに関連付けられている侵入ポリシーにリンクします。デフォルトでは、デフォルトの変数セットは、アクセス コントロール ポリシーによって使用されるすべての侵入ポリシーにリンクされています。

詳細については、次の項を参照してください。

「定義済みのデフォルトの変数の最適化」

「変数セットについて」

「変数セットの管理」

「変数の管理」

「変数の追加および編集」

「変数のリセット」

「変数セットを侵入ポリシーにリンクさせる」

「拡張変数について」

定義済みのデフォルトの変数の最適化

ライセンス:Protection

FireSIGHT システムはデフォルトで、定義済みのデフォルト変数で構成される単一のデフォルトの変数セットを提供します。シスコの脆弱性調査チーム(VRT)はルールの更新を使用して、デフォルト変数を含む、新規および更新された侵入ルール、および他の侵入ポリシー要素を提供します。詳細については、「ルールの更新とローカル ルール ファイルのインポート」を参照してください。

シスコで提供される多くの侵入ルールは定義済みのデフォルト変数を使用するため、これらの変数に対して適切な値を設定する必要があります。変数セットを使用してネットワーク上のトラフィックを特定する方法によっては、任意またはすべての変数セットにあるこれらのデフォルト変数の値を変更することができます。詳細については、「変数の追加および編集」を参照してください。


注意 アクセス コントロールまたは侵入ポリシーをインポートすると、デフォルトの変数セットにある既存のデフォルト変数が、インポートされたデフォルト変数でオーバーライドされます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。詳細については、「設定のインポート」を参照してください。

以下の表は、シスコで提供される変数について説明し、ユーザが通常変更する変数を示します。変数をご使用のネットワークに合わせて調整する方法を決定するには、プロフェッショナル サービスまたはサポートに問い合わせてください。

 

表 5-2 シスコによって提供される変数

変数名
説明
変更しますか

$AIM_SERVERS

既知の AOL Instant Messenger(AIM)サーバを定義し、チャット ベースのルールおよび AIM エクスプロイトを検索するルールで使用されます。

不要。

$DNS_SERVERS

ドメイン ネーム サービス(DNS)サーバを定義します。DNS サーバに特に影響するルールを作成する場合、 $DNS_SERVERS 変数を宛先または送信元 IP アドレスとして使用できます。

現在のルール セットでは不要
です。

$EXTERNAL_NET

保護されていないネットワークとして FireSIGHT システムが表示するネットワークを定義し、外部ネットワークを定義するために多くのルールで使用されます。

はい。 $HOME_NET を適切に定義してから、 $EXTERNAL_NET の値として $HOME_NET を除外する必要があります。

$FILE_DATA_PORTS

ネットワーク ストリームでファイルを検出する侵入ルールで使用される、暗号化されていないポートを定義します。

不要。

$FTP_PORTS

ネットワーク上の FTP サーバのポートを定義し、FTP サーバのエクスプロイト ルールに使用されます。

FTP サーバがデフォルト ポート以外のポートを使用する場合は変更します(Web インターフェイスでデフォルト ポートを確認できます)。

$GTP_PORTS

パケット デコーダが GTP(General Packet Radio Service [GPRS] トンネリング プロトコル)PDU 内部でペイロードを取得するデータ チャネル ポートを定義します。

不要。

$HOME_NET

関連した侵入ポリシーが監視するネットワークを定義し、内部ネットワークを定義するために多くのルールで使用されます。

内部ネットワークの IP アドレスを指定する場合は変更します。

$HTTP_PORTS

ネットワーク上の Web サーバのポートを定義し、Web サーバのエクスプロイト ルールに使用されます。

Web サーバがデフォルト ポート以外のポートを使用する場合は変更します(Web インターフェイスでデフォルト ポートを確認できます)。

$HTTP_SERVERS

ネットワーク上の Web サーバを定義します。Web サーバのエクスプロイト ルールで使用されます。

HTTP サーバを実行する場合は変更します。

$ORACLE_PORTS

ネットワーク上で Oracle データベース サーバのポートを定義し、Oracle データベースでの攻撃をスキャンするルールで使用されます。

Oracle サーバを実行する場合は変更します。

$SHELLCODE_PORTS

システムにシェル コードのエクスプロイトをスキャンさせるポートを定義し、シェル コードを使用するエクスプロイトを検出するルールで使用されます。

不要。

$SIP_PORTS

ネットワーク上の SIP サーバのポートを定義し、SIP のエクスプロイト ルールに使用されます。

不要。

$SIP_SERVERS

ネットワーク上で SIP サーバを定義し、SIP をターゲットとしたエクスプロイトを解決するルールで使用されます。

はい。SIP サーバを実行している場合は、 $HOME_NET を適切に定義してから、 $SIP_SERVERS の値として $HOME_NET を含める必要があります。

$SMTP_SERVERS

ネットワーク上で SMTP サーバを定義し、メール サーバをターゲットとするエクスプロイトを解決するルールで使用されます。

SMTP サーバを実行する場合は変更します。

$SNMP_SERVERS

ネットワーク上で SNMP サーバを定義し、SNMP サーバでの攻撃をスキャンするルールで使用されます。

SNMP サーバを実行する場合は変更します。

$SNORT_BPF

システム上のバージョン 5.3.0 より前の FireSIGHT システム ソフトウェア リリースに存在し、その後バージョン 5.3.0 以上にアップグレードされた場合にのみ表示されるレガシー拡張変数を識別します。「拡張変数について」を参照してください。

変更しません。この変数は表示または削除のみが可能です。削除後に、編集または復元することはできません。

$SQL_SERVERS

ネットワーク上でデータベース サーバを定義し、データベースをターゲットとしたエクスプロイトを解決するルールで使用されます。

SQL サーバを実行する場合は変更します。

$SSH_PORTS

ネットワーク上の SSH サーバのポートを定義し、SSH サーバのエクスプロイト ルールに使用されます。

SSH サーバがデフォルト ポート以外のポートを使用する場合は変更します(Web インターフェイスでデフォルト ポートを確認できます)。

$SSH_SERVERS

ネットワーク上で SSH サーバを定義し、SSH をターゲットとしたエクスプロイトを解決するルールで使用されます。

はい。SSH サーバを実行している場合は、 $HOME_NET を適切に定義してから、 $SSH_SERVERS の値として $HOME_NET を含める必要があります。

$TELNET_SERVERS

ネットワーク上で既知の Telnet サーバを定義し、Telnet サーバをターゲットとしたエクスプロイトを解決するルールで使用されます。

Telnet サーバを実行する場合は変更します。

$USER_CONF

本来は Web インターフェイスを介して使用できない 1 つ以上の機能を設定できる一般ツールを提供します。「拡張変数について」を参照してください。


注意 $USER_CONF の設定が競合または重複していると、システムは停止します。「拡張変数について」を参照してください。

機能の説明で指示されている場合や、サポートによる指示があった場合を除き、変更しません。

変数セットについて

ライセンス:Protection

変数を任意のセットに追加すると、それはすべてのセットに追加されます。つまり、各変数セットは、システムで現在設定されているすべての変数のコレクションになります。どの変数セットでも、ユーザ定義の変数を追加し、任意の変数の値をカスタマイズすることができます。

FireSIGHT システムは初めに、定義済みのデフォルト値で構成される単一のデフォルトの変数セットを提供します。デフォルト設定では、各変数は最初はそのデフォルト値に設定されています。定義済みの変数の場合、このデフォルト値は VRT によって設定され、ルール更新で提供される値です。

定義済みのデフォルト変数は、デフォルト値のままにすることもできますが、シスコは「定義済みのデフォルトの変数の最適化」で説明されているように、定義済みの変数のサブセットを変更することを推奨します。

変数はデフォルト セットでのみ使用できますが、多くの場合、1 つ以上のカスタム設定を追加し、異なるセットで異なる変数の値を設定し、場合によっては新しい変数を追加することによって、最大限に活用できます。

複数のセットを使用する場合は、デフォルトのセットにある任意の変数の 現在値 によって、他のすべてのセットの変数の デフォルト値 が決まることに注意してください。

例:デフォルト セットにユーザ定義変数を追加する

次の図は、値が 192.168.1.0/24 のデフォルト セットにユーザ定義変数 Var1 を追加した場合のセットのインタラクションについて説明しています。

 

オプションで、任意のセットの Var1 値をカスタマイズできます。 Var1 がカスタマイズされていない Custom Set 2 では、この値は 192.168.1.0/24 です。Custom Set 1 では、 Var1 のカスタマイズ値 192.168.2.0/24 はデフォルト値をオーバーライドします。デフォルト設定では、ユーザ定義変数をリセットすると、すべてのセットのデフォルト値が any にリセットされます。

この例では、Custom Set 2 で Var1 を更新しなかった場合、デフォルト セットで Var1 をカスタマイズまたはリセットすると、Custom Set 2 の現在のデフォルト値 Var1 が更新され、変数セットにリンクされているすべての侵入ポリシーに影響を与えることに注意してください。

この例では示されていませんが、セット間のインタラクションは、デフォルトのセットのデフォルト変数をリセットすると現在のルールの更新でシスコによって設定された値にリセットされること以外は、ユーザ定義変数およびデフォルト変数で同じであることに注意してください。

例:カスタム セットにユーザ定義変数を追加する

次の 2 つの例は、カスタム セットにユーザ定義変数を追加した場合の変数セットのインタラクションについて説明しています。新しい変数を保存すると、設定値を他のセットのデフォルト値として使用するかどうかを尋ねるプロンプトが出されます。次の例では、設定値を 使用する という選択がなされています。

 

Custom Set 1 からの Var1 の発信元を除き、この例は  Var1 をデフォルト セットに追加した上述の例と同じであることに注意してください。 Var1 のカスタマイズ値 192.168.1.0/24 を Custom Set 1 に追加すると、値はデフォルト値 any を持つカスタマイズ値としてデフォルト セットにコピーされます。その後、 Var1 の値とインタラクションは、 Var1 をデフォルト セットに追加した場合と同じになります。前述の例と同様、デフォルト セットで Var1 をカスタマイズまたはリセットすると、Custom Set 2 の現在のデフォルト値 Var1 が更新され、変数セットにリンクされているすべての侵入ポリシーに影響を与えることに注意してください。

次の例では、前述の例にあるように値が 192.168.1.0/24 の Var1 を Custom Set 1 に追加しますが、 Var1 の設定値を他のセットのデフォルト値として 使用しない ことを選択します。

 

このアプローチでは、 Var1 をデフォルト値 any を持つすべてのセットに追加します。 Var1 を追加したら、任意のセットでその値をカスタマイズできます。このアプローチの利点は、デフォルト セットで Var1 を最初にカスタマイズしないことによって、デフォルト セットの値をカスタマイズし、 Var1 をカスタマイズしていない Custom Set 2 などのセット内の現在の値を意図せずに変更してしまうリスクが軽減されます。

変数セットの管理

ライセンス:Protection

[Object Manager] ページ([Objects] > [Object Management])で [Variable Sets] を選択した場合、オブジェクト マネージャは、デフォルトの変数セットとユーザが作成したカスタム セットをリストします。

新しくインストールされたシステムで、デフォルトの変数セットは、シスコで定義済みのデフォルト変数だけで構成されます。

各変数セットには、シスコによって提供されるデフォルト変数と、任意の変数セットから追加したすべてのカスタム変数が含まれます。デフォルト設定は編集できますが、デフォルト セットの名前を変更したり、削除したりすることはできないことに注意してください。


注意 アクセス コントロールまたは侵入ポリシーをインポートすると、デフォルトの変数セットにある既存のデフォルト変数が、インポートされたデフォルト変数でオーバーライドされます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。詳細については、「設定のインポート」を参照してください。

次の表に、変数セットを管理するために実行できるアクションを要約します。

 

表 5-3 変数セットの管理アクション

目的
操作

変数セットを表示する

[Objects] > [Object Management] を選択し、[Variable Set] を選択します。

変数セットを名前でフィルタする

名前の入力を開始します。入力するにつれて、ページが更新され、一致する名前が表示されます。

名前のフィルタリングをクリアする

フィルタ フィールドのクリア アイコン( )をクリックします。

カスタム変数セットを追加する

[Add Variable Set] をクリックします。

便宜を図るため、新しい変数セットには、現在定義されているすべてのデフォルト変数とカスタマイズ変数が含まれます。

変数セットを編集する

編集する変数セットの横にある編集アイコン( )をクリックします。

ヒント 変数セットの行内で右クリックし、[Edit] を選択することもできます。

カスタム変数セットを削除する

変数セットの横にある削除アイコン( )をクリックしてから、[Yes] をクリックします。デフォルトの変数セットは削除できません。削除する変数セットで作成された変数は、他のセットで削除されたり他の方法で影響を受けたりしないことに注意してください。

ヒント 変数セットの行内で右クリックし、[Delete] を選択してから、[Yes] をクリックすることもできます。複数のセットを選択するには、Ctrl キーと Shift キーを使用します。

変数セットを設定したら、それらをアクセス コントロール ルールおよびアクセス コントロール ポリシーのデフォルト アクションに関連付けられている侵入ポリシーにリンクできます。詳細については、「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」および「アクセス コントロール ポリシーの詳細設定」を参照してください。

変数セットを編集または作成する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Variable Set] を選択します。

ステップ 3 変数セットを追加したり、既存のセットを編集したりするには、次の手順に従います。

変数セットを追加するには、[Add Variable Set] をクリックします。

変数セットを編集するには、変数セットの横にある編集アイコン( )をクリックします。

新規の変数セット ページ、または変数セットの編集ページが表示されます。変数セット内の変数を追加および編集する方法の詳細については、「変数の追加および編集」を参照してください。


 

変数の管理

ライセンス:Protection

変数セット内の新規の変数セット ページ、または変数セットの編集ページで変数を管理します。すべての変数セットの変数ページでは、変数は [Customized Variables] ページ領域と [Default Variables] ページ領域に分かれています。

デフォルトの変数 は、シスコによって提供される変数です。デフォルト変数の値をカスタマイズすることができます。デフォルト変数の名前変更または削除はできません。また、デフォルト値を変更することもできません。

カスタマイズされた変数 は、次のいずれかになります。

カスタマイズされたデフォルト変数

デフォルト変数の値を編集すると、システムはその変数を [Default Variables] 領域から [Customized Variables] 領域に移動します。デフォルト セットの変数値によってカスタム セットの変数のデフォルト値が決まるため、デフォルト セットのデフォルト変数をカスタマイズすると、他のすべてのセットの変数のデフォルト値が変更されます。

ユーザ定義変数

独自の変数を追加および削除したり、異なる変数セット内の値をカスタマイズしたり、カスタマイズされた変数をそのデフォルト値にリセットしたりできます。ユーザ定義変数をリセットすると、それは [Customized Variables] 領域に残ります。

次の表に、変数を作成または編集するために実行できるアクションを要約します。

 

表 5-4 変数の管理アクション

目的
操作

変数のページを表示する

変数セット ページで、[Add Variable Set] をクリックして新しい変数セットを作成するか、編集する変数セットの横にある編集アイコン( )をクリックします。

変数セットに名前を付け、オプションで説明を加える

[Name] および [Description] フィールドにスペースや特殊文字を含む、英数字文字列を入力します。

変数の完全な値を表示する

変数の横にある [Value] 列の値にポインタを移動します。

(注) 変数値には最大で 8192 文字まで格納できます。ただし、この制限は変数の拡張値のサイズに適用されることに注意してください。1 つ以上の変数を使用して別の変数を定義する場合、すべての変数値の文字やスペースの合計数は 8192 文字を超えてはいけません。

変数を追加する

[Add] をクリックします。

詳細については、「変数の追加および編集」を参照してください。

変数を編集する

編集する変数の横にある編集アイコン( )をクリックします。

詳細については、「変数の追加および編集」を参照してください。

変更された変数をデフォルト値にリセットする

変更された変数の横にあるリセット アイコン( )をクリックします。影付きリセット アイコンは、現在の値がすでにデフォルト値であることを示します。

ヒント アクティブなリセット アイコンの上にポインタを移動して、デフォルト値を表示します。

ユーザ定義のカスタマイズされた変数を削除する

変数セットの横にある削除アイコン( )をクリックします。変数の追加後に変数セットを保存した場合は、[Yes] をクリックして変数を削除することを確認します。

デフォルト変数は削除できません。また、侵入ルールまたは他の変数によって使用されているユーザ定義変数は削除できません。

変数セットへの変更を保存する

変数セットがアクセス コントロール ポリシーで使用されている場合は [Save] をクリックしてから、[Yes] をクリックして変更を保存することを確認します。

デフォルト セットの現在の値によって他のすべてのセットのデフォルト値が決まるため、デフォルト セットの変数を変更またはリセットすると、デフォルト値がカスタマイズされていない他のセットの現在の値が変更されます。

変数セットの変数を表示する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Variable Set] を選択します。

ステップ 3 変数セットを追加したり、既存のセットを編集したりするには、次の手順に従います。

変数セットを追加するには、[Add Variable Set] をクリックします。

変数セットを編集するには、変数セットの横にある編集アイコン( )をクリックします。

新規の変数セット ページ、または変数セットの編集ページが表示されます。

ステップ 4 変数を追加したり、既存の変数を編集したりするには、次の手順に従います。

変数を追加するには、[Add] をクリックします。

変数を編集するには、変数の横にある編集アイコン( )をクリックします。

新規の変数ページ、または変数の編集ページが表示されます。

変数セット内の変数を追加および編集する方法の詳細については、「変数の追加および編集」を参照してください。


 

変数の追加および編集

ライセンス:Protection

任意のカスタム セットで変数を変更できます。

カスタム 標準テキスト ルール を作成する場合、独自のユーザ定義変数を追加して、トラフィックをより正確に反映したり、ショートカットとしてルール作成プロセスを単純化することもできます。たとえば、「緩衝地帯」(つまり DMZ)でのみトラフィックを検査するルールを作成する場合、公開されているサーバの IP アドレスが値にリストされる変数 $DMZ を作成できます。こうして、この地帯で作成された任意のルールで $DMZ 変数を使用できます。

変数セットに変数を追加すると、他のすべてのセットにもその変数が追加されます。以下に説明されている 1 つの例外を除き、変数はデフォルト値として他のセットに追加され、その後ユーザはそれをカスタマイズできます。

カスタム セットから変数を追加すると、設定値をデフォルト セットのカスタマイズ値として使用するかどうかを決定する必要があります。

設定値(たとえば、192.168.0.0/16)を 使用する 場合、変数は、デフォルト値 any を持つカスタマイズ値として設定値を使用するデフォルト セットに追加されます。デフォルト セットの現在の値によって他のセットのデフォルト値が決まるため、他のカスタム セットの初期のデフォルト値は設定値(この例では 192.168.0.0/16)になります。

設定値を 使用しない 場合、変数はデフォルト値 any のみを使用してデフォルト セットに追加され、こうして、他のカスタム セットの初期のデフォルト値は any になります。

詳細については、「変数セットについて」を参照してください。

変数セット内の変数の追加は [New Variable] ページで行い、既存の変数の編集は [Edit Variable] ページで行います。これら 2 つのページは、既存の変数を編集する場合に、変数名または変数タイプを変更できないこと以外は、同じように使用します。

各ページは主に次の 3 つのウィンドウで構成されます。

既存のネットワークまたはポート変数、オブジェクト、およびネットワーク オブジェクト グループを含む、使用可能な項目

変数定義に包含するネットワークまたはポート

変数定義から除外するネットワークまたはポート

次の 2 種類の変数を作成または編集できます。

ネットワーク 変数は、ネットワーク トラフィックのホストの IP アドレスを指定します。「ネットワーク変数の操作」を参照してください。

ポート 変数は、ネットワーク トラフィックの TCP または UDP ポートを指定するもので、いずれかのタイプを意味する値 any を指定することもできます。「ポート変数の操作」を参照してください。

ネットワーク変数タイプを追加するのか、ポート変数タイプを追加するのかを指定すると、ページが更新され、使用可能な項目がリストされます。リストの上部にある検索フィールドを使用してリストを制約できます。これは、入力するにつれて更新されます。

項目のリストから使用可能な項目を選択してドラッグし、包含または除外することができます。また、項目を選択し、[Include] または [Exclude] ボタンをクリックすることもできます。複数の項目を選択するには、Ctrl キーと Shift キーを使用します。包含または除外された項目のリストの下にある設定フィールドを使用して、ネットワーク変数にリテラル IP アドレスおよびアドレス ブロック、およびポート変数にポートおよびポート範囲を指定できます。

ネットワーク変数の場合、包含または除外する項目のリストは、リテラル文字列や既存の変数、オブジェクト、およびネットワーク オブジェクト グループの任意の組み合わせで構成できます。

次の表に、変数を作成または編集するために実行できるアクションを要約します。

 

表 5-5 変数の編集アクション

目的
操作

変数のページを表示する

変数セットのページで、[Add] をクリックして新しい変数を追加するか、既存の変数の横にある編集アイコン( )をクリックします。

変数に名前を付ける

[Name] フィールドに、下線文字(_)以外の特殊文字が含まれない、大文字と小文字が区別される一意の英数字文字列を入力します。

変数名は大文字と小文字を区別することに注意してください。たとえば、 var Var はそれぞれ一意です。

ネットワーク変数またはポート変数を指定する

[Type] ドロップダウン リストから [Network] または [Port] を選択します。

ネットワーク変数およびポート変数を使用して設定する方法の詳細については、「ネットワーク変数の操作」および「ポート変数の操作」を参照してください。

利用可能なネットワークのリストから選択できるように、個別のネットワーク オブジェクトを追加する

[Type] ドロップダウン リストから [Network] を選択してから、追加アイコン( )をクリックします。オブジェクト マネージャを使用してネットワーク オブジェクトを追加する方法の詳細については、「ネットワーク オブジェクトの操作」を参照してください。

利用可能なポートのリストから選択できるように、個別のポート オブジェクトを追加する

[Type] ドロップダウン リストから [Port] を選択してから、追加アイコン( )をクリックします。

任意のポート タイプを追加できますが、いずれかのタイプを意味する値 any を含め、TCP および UDP ポートだけが有効な変数値であり、使用可能なポートのリストにはこれらの値タイプを使用する変数のみが表示されます。オブジェクト マネージャを使用してポート オブジェクトを追加する方法の詳細については、「ポート オブジェクトの操作」を参照してください。

使用可能なポート項目またはネットワーク項目を名前で検索する

使用可能な項目のリストの上にある検索フィールドで名前を入力していきます。入力するに従ってページが更新され、一致する名前が表示されます。

名前の検索をクリアする

検索フィールドの上のリロード アイコン( )、または検索フィールド内のクリア アイコン( )をクリックします。

使用可能な項目を区別する

変数アイコン( )、ネットワーク オブジェクト アイコン( )、ポート アイコン( )、およびオブジェクト グループ アイコン( )の横にある項目を探します。

ポート グループではなく、ネットワーク グループだけが使用可能であることに注意してください。

変数定義に含める(または除外する)オブジェクトを選択する

使用可能なネットワークまたはポートのリストにあるオブジェクトをクリックします。複数のオブジェクトを選択するには、Ctrl キーと Shift キーを使用します。

含まれる(または除外される)ネットワークまたはポートのリストに、選択した項目を追加する

選択した項目をドラッグ アンド ドロップします。あるいは、[Include] または [Excluede] をクリックします。

使用可能な項目のリストから、ネットワークやポートの変数とオブジェクトを追加できます。また、ネットワーク オブジェクト グループを追加することもできます。

リテラル ネットワークまたはポートを含める(または除外する)ために、ネットワークまたはポートのリストに追加する

クリックしてリテラル [Network] または [Port] フィールドからプロンプトを削除し、ネットワーク変数の場合はリテラル IP アドレスまたはアドレス ブロック、ポート変数の場合はリテラル ポートまたはポート範囲をそれぞれ入力して、[Add] をクリックします。

ドメイン名やリストを入力できないことに注意してください。複数の項目を追加するには、それぞれを個別に追加します。

値が any の変数を追加する

変数に名前を付け、変数タイプを選択してから、値を設定せずに [Save] をクリックします。

包含/除外リストから変数またはオブジェクトを削除する

変数の横にある削除アイコン( )をクリックします。

新規または変更された変数を保存する

[Save] をクリックします。カスタム セットから変数を追加している場合は、[Yes] をクリックすると設定値が他のセットのデフォルト値として使用され、[No] をクリックするとデフォルト値 any が使用されます。

詳細については、次の項を参照してください。

「ネットワーク変数の操作」

「ポート変数の操作」

変数を追加または編集する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Variable Set] を選択します。

ステップ 3 変数セットを追加したり、既存のセットを編集したりするには、次の手順に従います。

変数セットを追加するには、[Add Variable Set] をクリックします。

既存の変数セットを編集するには、変数セットの横にある編集アイコン( )をクリックします。

新しい変数セットのページ、または変数セットの編集ページが表示されます。

ステップ 4 新しい変数を追加したり、既存の変数を編集したりするには、次の手順に従います。

新しい変数を追加するには、[Add] をクリックします。

既存の変数を編集するには、変数の横にある編集アイコン( )をクリックします。

新しい変数のページ、または変数の編集ページが表示されます。


ヒント 変数ページで、右クリックのコンテキスト メニューを使用して項目を選択または削除できます(「コンテキスト メニューの使用」を参照)。

ステップ 5 新しい変数を追加している場合は:

[Name] に一意の変数名を入力します。

英数字およびアンダースコア(_)文字を使用できます。

ドロップダウン リストから、変数の [Type] として[Network] または [Port] を選択します。

ステップ 6 オプションで、使用可能なネットワークまたはポートのリストから、包含または除外項目リストに項目を移動します。

1 つ以上の項目を選択してから、ドラッグ アンド ドロップするか、[Include] または [Exclude] をクリックできます。複数の項目を選択するには、Ctrl キーと Shift キーを使用します。


ヒント ネットワーク変数またはポート変数の包含リストと除外リストにあるアドレスやポートが重複している場合、除外されているアドレスまたはポートが優先されます。

ステップ 7 オプションで、1 つのリテラル値を入力し、[Add] をクリックします。

ネットワーク変数の場合、単一の IP アドレスまたはアドレス ブロックを入力できます。ポート変数の場合、単一ポートまたはポート範囲を追加できます。ポート範囲は上限値と下限値をハイフン(-)で区切ります。

複数のリテラル値を入力する場合は、必要に応じてこの手順を繰り返します。

ステップ 8 [Save] をクリックして変数を保存します。カスタム セットから新しい変数を追加する場合、次のオプションがあります。

[Yes] をクリックすると、設定値を使用する変数がデフォルト セットのカスタマイズ値として追加され、結果として他のカスタム セットのデフォルト値として追加されます。

[No] をクリックすると、変数はデフォルト セットのデフォルト値 any として追加され、結果として他のカスタム セットのデフォルト値として追加されます。

ステップ 9 変更を終えたら、変数セットを保存するために [Save] をクリックして、[Yes] をクリックします。

変更内容が保存され、変数セットにリンクされているアクセス コントロール ポリシーに失効ステータスが表示されます。変更を反映させるには、変数セットが侵入ポリシーに関連付けられているアクセス コントロール ポリシーを適用する必要があります(「アクセス コントロール ポリシーの適用」を参照してください)。


 

ネットワーク変数の操作

ライセンス:Protection

ネットワーク変数で表される IP アドレスを、侵入ポリシーで有効になった侵入ルール、侵入ポリシー ルール抑制、動的ルール状態、および適応型プロファイルで使用することができます。ネットワーク変数とネットワーク オブジェクトおよびネットワーク オブジェクト グループとの相違点として、ネットワーク変数は侵入ポリシーおよび侵入ルールに固有のものです。一方、ネットワーク オブジェクトおよびグループを使用すると、アクセス コントロール ポリシー、ネットワーク変数、侵入ルール、ネットワーク検出 ルール、イベント検索、レポートなど、システムの Web インターフェイスのさまざまな場所で IP アドレスを表すことができます。詳細については、「ネットワーク オブジェクトの操作」を参照してください。

次の設定でネットワーク変数を使用して、ネットワーク上のホストの IP アドレスを指定できます。

侵入ルール

侵入ルールの [Source IPs] および [Destination IPs] 見出し フィールドを使用すると、パケット インスペクションを、特定の送信元または宛先 IP アドレスを持つパケットに制限することができます。「侵入ルールでの IP アドレスの指定」を参照してください。

抑制

送信元または宛先の侵入ルール抑制の [Network] フィールドを使用すると、特定の 1 つの IP アドレスまたは IP アドレス範囲が侵入ルールやプリプロセッサをトリガーした場合の侵入イベント通知を抑制できます。「侵入ポリシー単位の抑制の設定」を参照してください。

動的ルール状態

送信元または宛先の動的ルール状態の [Network] フィールドを使用すると、指定時間内に発生した侵入ルールやプリプロセッサ ルールの一致数が多すぎる場合に、それを検出できます。「動的ルール状態の追加」を参照してください。

適応型プロファイル

適応型プロファイルの [Networks] フィールドは、パッシブ展開でのパケット フラグメントと TCP ストリームの再構築リアセンブリを改善させる必要があるネットワーク マップ内のホストを特定します。「適応型プロファイルの設定」を参照してください。


) アクセス コントロール ポリシーのデフォルト アクションに関連付けられた侵入ポリシーでのみ、適応型プロファイルを有効にする必要があります。


このセクションで示されるフィールドで変数を使用する場合、侵入ポリシーにリンクされた変数セットは、侵入ポリシーを使用するアクセス コントロール ポリシーで処理されるネットワーク トラフィックでの変数値を決定します。

次のネットワーク設定を任意に組み合わせて変数に追加できます。

使用可能なネットワーク リストから選択したネットワーク変数、ネットワーク オブジェクト、およびネットワーク オブジェクト グループの任意の組み合わせ

オブジェクト マネージャを使用して個別のネットワーク オブジェクトとグループ ネットワーク オブジェクトを作成する方法については、「ネットワーク オブジェクトの操作」を参照してください。

[New Variable] または [Edit Variable] ページから追加した個々のネットワーク オブジェクト(独自の変数や、他の既存の変数、さらに今後の変数にこれらを追加できます)

リテラルの単一 IP アドレスまたはアドレス ブロック

それぞれを個別に追加することにより、複数のリテラル IP アドレスとアドレス ブロックをリストできます。IPv4 および IPv6 アドレスとアドレス ブロックを単独で、または任意に組み合わせてリストできます。IPv6 アドレスを指定するときには、RFC 4291 で定義された任意のアドレス指定規則を使用できます。

追加する変数での包含ネットワークのデフォルト値は any で、これは任意の IPv4 または IPv6 アドレスを示します。除外ネットワークのデフォルト値は none で、これは「ネットワークなし」を示します。また、リテラル値の中でアドレス :: を指定すると、包含ネットワーク リストで任意の IPv6 アドレスを指定でき、除外リストでは IPv6 アドレスなしを指定できます。

除外リストにネットワークを追加すると、指定されたアドレスおよびアドレス ブロックが拒否されます。つまり、除外された IP アドレスやアドレス ブロックを除き、任意の IP アドレスに一致させることができます。

たとえば、リテラル アドレス 192.168.1.1 を除外すると 192.168.1.1 以外の任意の IP アドレスが指定され、 2001:db8:ca2e::fa4c を除外すると 2001:db8:ca2e::fa4c 以外の任意の IP アドレスが指定されます。

リテラル ネットワークまたは使用可能なネットワークを任意に組み合わせて、除外で使用できます。たとえば、リテラル値 192.168.1.1 および 192.168.1.5 を除外すると、192.168.1.1 と 192.168.1.5 以外の任意の IP アドレスが 含まれ ます。つまり、システムはこの構文を「192.168.1.1 でなく、しかも 192.168.1.5 でない 」と解釈し、大カッコ内に列挙されたものを除くすべての IP アドレスに一致させます。

ネットワーク変数を追加または編集するときには、次の点に注意してください。

論理的に言って、値 any を除外することはできません。any を除外すると「アドレスなし」を意味することになります。たとえば、除外ネットワーク リストに、値 any を持つ変数を追加することはできません。

ネットワーク変数は、指定された侵入ルールおよび侵入ポリシー機能に関するトラフィックを識別します。プリプロセッサ ルールは、侵入ルールで使われているネットワーク変数で定義されたホストとは無関係に、イベントをトリガーできることに注意してください。

除外される値は、包含される値のサブセットに解決される必要があります。たとえば、アドレス ブロック 192.168.5.0/24 を包含し、192.168.6.0/24 を除外することはできません。エラー メッセージが表示され、問題となっている変数が明示されます。包含される値の範囲外となる値を除外した場合は、変数セットを保存できません。

ネットワーク変数の追加および編集の詳細については、「変数の追加および編集」を参照してください。

ポート変数の操作

ライセンス:Protection

ポート変数は、侵入ポリシーで有効になった侵入ルールの [Source Port] および [Destination Port] 見出し フィールドで使用できる TCP ポートと UDP ポートを表します。ポート変数とポート オブジェクトおよびポート オブジェクト グループとの相違点は、ポート変数が侵入ルール固有のものであることです。TCP や UDP 以外のプロトコル用にポート オブジェクトを作成し、ポート変数、アクセス コントロール ポリシー、ネットワーク検出 ルール、イベント検索など、システムの Web インターフェイスのさまざまな場所でポート オブジェクトを使用できます。詳細については、「ポート オブジェクトの操作」を参照してください。

侵入ルールの [Source Port] および [Destination Port] 見出し フィールドでポート変数を使用すると、パケット インスペクションを、特定の送信元または宛先 TCP/UDP ポートを持つパケットに制限することができます。

これらのフィールドで変数を使用した場合、アクセス コントロール ルールまたはポリシーに関連付けられた侵入ポリシーにリンクされる変数セットは、アクセス コントロール ポリシーが適用されるネットワーク トラフィックでのこれらの変数の値を決定します。

次のポート設定を任意に組み合わせて変数に追加できます。

使用可能なポート リストから選択したポート変数およびポート オブジェクトの任意の組み合わせ

使用可能なポート リストには、ポート オブジェクト グループが表示されず、したがってこれらを変数に追加できないことに注意してください。オブジェクト マネージャを使用してポート オブジェクトを作成する方法については、「ポート オブジェクトの操作」を参照してください。

[New Variable] または [Edit Variable] ページから追加した個々のポート オブジェクト(独自の変数や、他の既存の変数、さらに今後の変数にこれらを追加できます)

有効な変数値は TCP および UDP ポートのみです(どちらのタイプでも値 any を含む)。新しい変数のページまたは変数の編集ページを使用して、有効な変数値ではない有効なポート オブジェクトを追加した場合、オブジェクトはシステムに追加されますが、使用可能なオブジェクト リストには表示されません。オブジェクト マネージャを使用して、変数で使われるポート オブジェクトを編集する場合、有効な変数値にのみ値を変更できます。

単一のリテラル ポート値とポート範囲

ポート範囲はダッシュ(-)を使って区切る必要があります。下位互換性のために、コロンで指定されるポート範囲もサポートされていますが、作成するポート変数ではコロンを使用できません。

複数のリテラル ポートの値および範囲をリストするには、それぞれを個別に追加して任意に組み合わることができます。

ポート変数を追加または編集するときには、次の点に注意してください。

追加する変数での包含ポートのデフォルト値は any で、これは任意のポートまたはポート範囲を示します。除外ポートのデフォルト値は none で、これは「ポートなし」を示します。


ヒント 値 any を持つ変数を作成するには、特定の値を追加せずに変数に名前を付けて保存します。

論理的に言って、値 any を除外することはできません。any を除外すると「ポートなし」を意味することになります。たとえば、値 any を持つ変数を除外ポート リストに追加した場合、変数セットを保存することはできません。

除外リストにポートを追加すると、指定されたポートおよびポート範囲が拒否されます。つまり、除外されたポートまたはポート範囲を除き、任意のポートに一致させることができます。

除外される値は、包含される値のサブセットに解決される必要があります。たとえば、ポート範囲 10 から 50 を包含し、ポート 60 を除外することはできません。エラー メッセージが表示され、問題となっている変数が明示されます。包含される値の範囲外となる値を除外した場合は、変数セットを保存できません。

ポート変数の追加および編集の詳細については、「変数の追加および編集」を参照してください。

変数のリセット

ライセンス:Protection

変数セットの新しい変数ページまたは変数の編集ページで、変数をデフォルト値にリセットできます。次の表に、変数をリセットするときの基本原則を要約します。

 

表 5-6 変数のリセット値

リセットする変数のタイプ
それが含まれるセット タイプ
リセット後の値

デフォルト

デフォルト

ルール更新値

ユーザ定義

デフォルト

any

デフォルトまたはユーザ定義

カスタム

現在のデフォルト セット値(変更/未変更にかかわらず)

カスタム セットの変数をリセットすると、単にデフォルト セット内のその変数の現在値にリセットされます。

逆に、デフォルト セットの変数の値をリセットまたは変更すると、すべてのカスタム セット内のその変数のデフォルト値が常に更新されます。リセット アイコンがグレー表示され、その変数をリセットできないことを示している場合、そのセットでは変数のカスタマイズ値が存在しないことを意味します。カスタム セット内の変数の値をすでにカスタマイズした場合を除き、デフォルト セットの変数を変更すると、変数セットがリンクされた侵入ポリシーで使われている値が更新されます。


デフォルト セット内の変数を変更するときには、その変更により、リンクされたカスタム セットの変数を使用する侵入ポリシーがどのような影響を受けるか評価するのが適切です(特に、カスタム セット内の変数値をまだカスタマイズしていない場合)。


変数セット内のリセット アイコン( )の上にポインタを置くと、リセット値を確認できます。カスタマイズされた値とリセット値が同じである場合は、次のいずれかを示しています。

カスタム セットまたはデフォルト セットの中で、値 any を持つ変数を追加した

カスタム セットの中で、明示的な値を持つ変数を追加し、設定した値をデフォルト値として使用することを選択した

変数セットを侵入ポリシーにリンクさせる

ライセンス:Control

デフォルトは、FireSIGHT システムは、アクセス コントロール ポリシーで使用されるすべての侵入ポリシーにデフォルト変数セットをリンクします。侵入ポリシーを使用するアクセス コントロール ポリシーを適用すると、その侵入ポリシー内で有効になった侵入ルールは、リンクされた変数セットの変数値を使用します。

アクセス コントロール ポリシー内の侵入ポリシーで使われるカスタム変数セットを変更すると、システムの [Access Control] ページで、そのポリシーのステータスが「失効」と示されます。変数セットの変更内容を反映させるには、アクセス コントロール ポリシーを再適用する必要があります。デフォルト セットを変更すると、侵入ポリシーを使用するすべてのアクセス コントロール ポリシーのステータスが「失効」と示され、変更内容を反映させるにはアクセス コントロール ポリシーを再適用する必要があります。

情報については、次の各項を参照してください。

デフォルト セット以外の変数セットをアクセス コントロール ルールにリンクさせるには、「許可されたトラフィックに対するファイル インスペクションと侵入インスペクションの実行」の手順を参照してください。

デフォルト セット以外の変数セットをアクセス コントロール ポリシーのデフォルト アクションにリンクさせるには、「アクセス コントロール ポリシーの詳細設定」を参照してください。

変数セットを侵入ポリシーにリンクさせるポリシーを含むアクセス コントロール ポリシーを適用するには、「アクセス コントロール ポリシーの適用」を参照してください。

拡張変数について

ライセンス:Protection

拡張変数を使用すると、他の方法では Web インターフェイスで設定できない機能を設定することができます。現在、FireSIGHT システムには 2 つの拡張変数だけが備わっており、そのうち USER_CONF 拡張変数のみを編集できます。

USER_CONF

USER_CONF は、Web インターフェイスで通常設定できない 1 つ以上の機能を設定するための汎用ツールです。


注意 機能の説明またはサポート担当の指示に従う場合を除き、拡張変数 USER_CONF を使用して侵入ポリシー機能を設定しないでください。競合または重複する設定が存在すると、システムが停止します。

USER_CONF を編集するときには、1 行に合計 4096 文字まで入力できます。行は自動的に折り返します。変数の最大長 8192 文字、またはディスク スペースなどの物理制限に達するまで、任意の数の有効な指示または行数を含めることができます。コマンド ディレクティブでは、完全な引数の後にバックスラッシュ(\)行連結文字を使用します。

USER_CONF をリセットすると、空になります。

SNORT_BPF

SNORT_BPF はレガシー拡張変数です。バージョン 5.3.0 以降にアップグレードされる前の旧バージョンの FireSIGHT システム ソフトウェア リリースのときにシステムでこの変数が設定された場合にのみ、これが表示されます。この変数を表示または削除することだけが可能です。削除後に、編集または復元することはできません。

この変数を使用すると、Berkeley Packet Filter(BPF)を適用して、システムに到達する前のトラフィックをフィルタできました。SNORT_BPF に備わっていたフィルタリング機能を今後も適用するには、この変数の代わりにアクセス コントロール ルールを使用してください。この変数は、システム アップグレード前に存在していた設定でのみ表示されます。

ファイル リストの操作

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ネットワークベースの拡張マルウェア対策(AMP)を使用している場合、Collective Security Intelligence クラウド によってファイルの性質が誤って認識されたときに、SHA-256 ハッシュ値を使ってそのファイルを ファイル リスト に追加すると、その後、ファイルがより適切に検出されるようになります。ファイル リストのタイプに応じて、次の操作を実行できます。

クラウドがクリーンの性質を割り当てた場合と同じ方法でファイルを扱うには、 クリーン リスト にファイルを追加します。

クラウドがマルウェアの性質を割り当てた場合と同じ方法でファイルを扱うには、 カスタム検出リスト にファイルを追加します。

これらのファイルのブロッキング動作は手動で指定されるため、そのファイルがクラウドによってマルウェアと識別されるような場合でも、システムはマルウェア クラウド ルックアップを実行しません。ファイルの SHA 値を計算するには、マルウェア クラウド ルックアップ アクションとマルウェア ブロック アクションのどちらか、および一致するファイル タイプを使用して、ファイル ポリシー内のルールを設定する必要があることに注意してください。詳細については、「ファイル ルールの操作」を参照してください。

システムのクリーン リストとカスタム検出リストは、デフォルトですべてのファイル ポリシーに含まれています。ポリシーごとに、いずれかまたは両方のリストを使用しないことを選択できます。


注意 実際にマルウェアであるファイルをこのリストに含めないでください。クラウドがそのファイルのマルウェアの性質を割り当てた場合、またはファイルをカスタム検出リストに追加した場合でも、システムはそれをブロックしません。

各ファイル リストには、一意の SHA-256 値を最大 10000 個まで含めることができます。ファイルをファイル リストに追加するには、次の操作を実行できます。

イベント ビューアのコンテキスト メニューを使用して SHA-256 値を追加する。

ファイルをアップロードする。これにより、システムはそのファイルの SHA-256 値を計算してそれを追加します。

ファイルの SHA-256 値を直接入力する。

複数の SHA-256 値を含むコンマ区切り値(CSV)ソース ファイルを作成してアップロードする。重複しないすべての SHA-256 値がこのファイル リストに追加されます。

ファイル リストにファイルを追加したり、ファイル リスト内の SHA-256 値を編集したり、ファイル リストから SHA-256 値を削除したりした場合、変更を有効にするには、そのリストを使用するファイル ポリシーを含むアクセス コントロール ポリシーをすべて再適用する必要があります。

ファイル リストにファイルを追加するとアクセス コントロールに影響を与えるため、ユーザは、ファイル リストのすべての側面を管理する次のいずれかを持っている必要があります。

管理者アクセス

[Network Admin] または [Access Admin] アクセス権(ファイル リストを編集する場合)、[Security Approver] アクセス権(アクセス コントロール ポリシーを再適用する場合)、および [Security Analyst] または [Security Analyst(RO)] アクセス権(イベント ビューから SHA-256 値を使用してファイルを追加する場合)の組み合わせ

[Modify Access Control Policy] および [Object Manager](ファイル リストを編集する場合)、[Apply Access Control Policy](アクセス コントロール ポリシーを再適用する場合)、および [Modify File Events](イベント ビューから SHA-256 値を使用してファイルを追加する場合)権限を持つカスタム ロール。「アクセス コントロール ポリシーでのカスタム ユーザ ロールの使用」を参照してください。

ファイル リストの使用の詳細については、次のトピックを参照してください。

「コンテキスト メニューの使用」

「ファイル リストに複数の SHA-256 値をアップロードする」

「個別のファイルをファイル リストにアップロードする」

「ファイル リストに SHA-256 値を追加する」

「ファイル リスト上のファイルの変更」

「ファイル リストからソース ファイルをダウンロードする」

ファイル リストに複数の SHA-256 値をアップロードする

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

SHA-256 値のリストと説明を含むコンマ区切り値(CSV)ソース ファイルをアップロードすることによって、複数の SHA-256 値をファイル リストに追加できます。防御センターはその内容を検証し、有効な SHA-256 値をファイル リストに入れます。

ソース ファイルは、ファイル名拡張子 .csv の単純なテキスト ファイルである必要があります。見出しはポンド記号( # )で始まる必要があります。これはコメントとして処理され、アップロードされません。各エントリには、1 つの SHA-256 値の後に(最大 256 個の英文字または特殊文字からなる)説明が含まれる必要があり、 LF または CR+LF 改行文字で終わる必要があります。システムはエントリ内のこれ以外の情報をすべて無視します。

次の点に注意してください。

ファイル リストからソース ファイルを削除すると、それに関連付けられているすべての SHA-256 ハッシュもファイル リストから削除されます。

ソース ファイルのアップロードに成功した結果、10000 個を超える個別の SHA-256 値がファイル リストに含まれる場合は、複数のファイルをファイル リストにアップロードすることはできません。

システムは、アップロード時に 256 文字を超える説明を最初の 256 文字で切り捨てます。説明にコンマを含める場合は、エスケープ文字( \ )を使用する必要があります。説明が含まれていない場合、代わりにソース ファイル名が使用されます。

すでにファイル リストに存在する SHA-256 値を含むソース ファイルをアップロードした場合、新しくアップロードされた値によって既存の SHA-256 値が変更されることはありません。SHA-256 値に関連するキャプチャ済みファイル、ファイル イベント、またはマルウェア イベントを表示するとき、個々の SHA-256 値から脅威名または説明が得られます。

システムはソース ファイル内の無効な SHA-256 値をアップロードしません。

アップロードされた複数のソース ファイル内に同じ SHA-256 値に関するエントリが含まれる場合、システムは最も新しい値を使用します。

1 つのソース ファイル内に同じ SHA-256 値のエントリが複数含まれる場合、システムは最後のものを使用します。

オブジェクト マネージャ内でソース ファイルを直接編集することはできません。変更を行うには、最初にソース ファイルを直接変更し、システム上のコピーを削除した後、変更済みソース ファイルをアップロードする必要があります。詳細については、「ファイル リストからソース ファイルをダウンロードする」を参照してください。

ソース ファイルをファイル リストにアップロードする方法:

アクセス:Admin/Any Security Analyst


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [File List] をクリックします。

[File List] セクションが表示されます。

ステップ 3 ソース ファイルからの値の追加先となるファイル リストの横にある編集アイコン( )をクリックします。

[File List] ポップアップ ウィンドウが表示されます。

ステップ 4 [Add by] フィールドから [List of SHAs] を選択します。

ポップアップ ウィンドウが更新され、新しいフィールドが含まれます。

ステップ 5 オプションで、[Description] フィールドにソース ファイルの説明を入力します。

説明を入力しない場合、システムはファイル名を使用します。

ステップ 6 [Browse] をクリックしてソース ファイルを参照してから、[Upload and Add List] をクリックしてリストを追加します。

ソース ファイルがファイル リストに追加されます。SHA-256 カラムには、ファイルに含まれる SHA-256 値の数がリストされます。

ステップ 7 [Save] をクリックします。

ステップ 8 ファイル リストを使用するファイル ポリシーを含んでいるすべてのアクセス コントロール ポリシーを再適用します。

ポリシーが適用されると、システムはファイル リスト内のファイルに対してマルウェア クラウド ルックアップを実行しなくなります。


 

個別のファイルをファイル リストにアップロードする

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ファイル リストに追加するファイルのコピーがある場合、分析用にファイルを防御センターにアップロードできます。システムはファイルの SHA-256 値を計算し、ファイルをリストに追加します。SHA-256 を計算するとき、システムはファイル サイズを制限しません。

防御センターに SHA-256 値を計算させることによってファイルを追加する方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャの [File List] ページで、ファイルの追加場所となるクリーン リストまたはカスタム検出リストの横の編集アイコン( )をクリックします。

[File List] ポップアップ ウィンドウが表示されます。

ステップ 2 [Add by] フィールドから [Calculate SHA] を選択します。

ポップアップ ウィンドウが更新され、新しいフィールドが含まれます。

ステップ 3 オプションで、[Description] フィールドにファイルの説明を入力します。

説明を入力しない場合、アップロード時にファイル名が説明として使用されます。

ステップ 4 [Browse] をクリックしてソース ファイルを参照してから、[Calculate and Add SHA] をクリックしてリストを追加します。

ファイルがファイル リストに追加されます。

ステップ 5 [Save] をクリックします。

ステップ 6 ファイル リストを使用するファイル ポリシーを含んでいるすべてのアクセス コントロール ポリシーを再適用します。

ポリシーが適用されると、システムはファイル リスト内のファイルに対してマルウェア クラウド ルックアップを実行しなくなります。


 

ファイル リストに SHA-256 値を追加する

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ファイルの SHA-256 値を送信して、それをファイル リストに追加できます。重複する SHA-256 値は追加できません。


ヒント イベント ビューからファイルまたはマルウェア イベントを右クリックし、コンテキスト メニューで [Show Full Text] を選択し、ファイルの SHA-256 値全体を表示してコピーします。

ファイルの SHA-256 値を手動で入力することによってファイルを追加する方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャの [File List] ページで、ファイルの追加場所となるクリーン リストまたはカスタム検出リストの横の編集アイコン( )をクリックします。

[File List] ポップアップ ウィンドウが表示されます。

ステップ 2 [Add by] フィールドから [Enter SHA Value] を選択します。

ポップアップ ウィンドウが更新され、新しいフィールドが含まれます。

ステップ 3 [Description] フィールドにソース ファイルの説明を入力します。

ステップ 4 ファイルの SHA-256 値全体を入力するか、貼り付けます。システムでは値の部分的な一致はサポートされません。

ステップ 5 ファイルを追加するには、[Add] をクリックします。

ファイルがファイル リストに追加されます。

ステップ 6 [Save] をクリックします。

ステップ 7 ファイル リストを使用するファイル ポリシーを含んでいるすべてのアクセス コントロール ポリシーを再適用します。

ポリシーが適用されると、システムはファイル リスト内のファイルに対してマルウェア クラウド ルックアップを実行しなくなります。


 

ファイル リスト上のファイルの変更

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ファイル リストの個々の SHA-256 値を編集または削除することができます。オブジェクト マネージャ内でソース ファイルを直接編集できないことに注意してください。変更を行うには、最初にソース ファイルを直接変更し、システム上のコピーを削除した後、変更済みソース ファイルをアップロードする必要があります。詳細については、「ファイル リストからソース ファイルをダウンロードする」を参照してください。ファイル リスト上のファイルを編集する方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャの [File List] ページで、変更するファイルが入っているクリーン リストまたはカスタム検出リストの横の編集アイコン( )をクリックします。

[File List] ポップアップ ウィンドウが表示されます。

ステップ 2 編集する SHA-256 値の横にある編集アイコン( )をクリックします。

[Edit SHA-256] ポップアップ ウィンドウが表示されます。


ヒント リストからファイルを削除することもできます。削除するファイルの横にある削除アイコン()をクリックしてください。

ステップ 3 [SHA-256] 値または [Description] を更新します。

ステップ 4 [Save] をクリックします。

[File List] ポップアップ ウィンドウが表示されます。リスト内のファイル エントリが更新されます。

ステップ 5 [Save] をクリックします。

ステップ 6 ファイル リストを使用するファイル ポリシーを含んでいるすべてのアクセス コントロール ポリシーを再適用します。

ポリシーが適用されると、システムはファイル リスト内のファイルに対してマルウェア クラウド ルックアップを実行しなくなります。


 

ファイル リストからソース ファイルをダウンロードする

ライセンス:Malware

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

ファイル リスト上の既存のソース ファイル エントリを表示、ダウンロード、または削除できます。いったんアップロードされたソース ファイルを編集することはできません。まずファイル リストからソース ファイルを削除し、更新後のファイルをアップロードする必要があります。ソース ファイルをアップロードする方法については、「ファイル リストに複数の SHA-256 値をアップロードする」を参照してください。

ソース ファイルに関連付けられたエントリ数とは、個別の SHA-256 値の数です。ファイル リストからソース ファイルを削除すると、ファイル リストに含まれる SHA-256 エントリの合計数は、ソース ファイル内の有効なエントリ数だけ減少します。

ソース ファイルをダウンロードする方法:

アクセス:Admin/Network Admin


ステップ 1 オブジェクト マネージャの [File List] ページで、ソースファイルのダウンロード対象となるクリーン リストまたはカスタム検出リストの横の編集アイコン( )をクリックします。

[File List] ポップアップ ウィンドウが表示されます。

ステップ 2 ダウンロードするソース ファイルの横にある表示アイコン( )をクリックします。

[View SHA-256's in list] ポップアップ ウィンドウが表示されます。

ステップ 3 [Download SHA List] をクリックし、プロンプトに従ってソース ファイルを保存します。

ステップ 4 [Close] をクリックします。

[File List] ポップアップ ウィンドウが表示されます。


 

セキュリティ ゾーンの操作

ライセンス:任意

サポート対象デバイス:任意

セキュリティ ゾーン は、1 つ以上のインライン、パッシブ、スイッチ型、ルーティング型、または ASA インターフェイスからなるグループです。これを使用すると、さまざまなポリシーと設定でトラフィック フローを管理および分類できます。1 つのゾーン内のインターフェイスは、複数デバイスにまたがる場合があります。また、1 つのデバイスで複数のゾーンを設定することもできます。これにより、ネットワークを複数セグメントに分割して、さまざまなポリシーをそれらに適用できます。トラフィックを処理するには、その前に、設定する各インターフェイスを 1 つのセキュリティ ゾーンに割り当てる必要があります。各インターフェイスは 1 つのゾーンにのみ属することができます。

セキュリティ ゾーンを使用してインターフェイスをグループ化することに加えて、アクセス コントロール ポリシー、ネットワーク検出 ルール、イベント検索など、システムの Web インターフェイスのさまざまな場所でゾーンを使用できます。たとえば、特定の送信元または宛先ゾーンにのみ適用されるアクセス コントロール ルールを作成したり、ネットワーク検出を、特定のゾーンに送受信されるトラフィックに限定したりすることができます。

セキュリティ ゾーン オブジェクトを更新すると、システムはオブジェクトの新しいリビジョンを保存します。この結果、同じセキュリティ ゾーン内に、いくつかの異なるリビジョンのセキュリティ ゾーンオブジェクトを含む管理対象デバイスが存在する場合は、接続の重複と思われる項目をログに記録できます。接続の重複が報告されていることに気づいた場合、同じリビジョンのオブジェクトを使用するよう、すべての管理対象デバイスを更新できます。オブジェクト マネージャでセキュリティ ゾーンを選択して、すべての管理対象デバイスを削除し、オブジェクトを保存し、管理対象デバイスを再び追加して、オブジェクトを再び保存します。次に、影響を受けるすべてのデバイス ポリシーを再適用します。デバイス ポリシーの適用の詳細については、「デバイスへの変更の適用」を参照してください。

次のいずれかの方法でセキュリティ ゾーンを作成します。

初期設定時にデバイスで選択した検出モードに応じて、デバイス登録時にシステムがセキュリティ ゾーンを作成します。たとえば、パッシブ展開ではシステムはパッシブ ゾーンを作成し、インライン展開では外部ゾーンと内部ゾーンを作成します。システムは、ASA インターフェイスのデフォルト ゾーンを作成しません。

管理対象デバイスでインターフェイスを設定するときに、その場でセキュリティ ゾーンを作成できます。

オブジェクト マネージャを使用してセキュリティ ゾーンを作成できます([Objects] > [Object Management])。

オブジェクト マネージャの [Security Zones] ページには、管理対象デバイスで設定されたゾーンがリストされます。また、このページには、各ゾーンのインターフェイスのタイプも表示され、各ゾーンを展開すると、どのデバイスのどのインターフェイスが各ゾーンに属するかを表示できます。


1 つのセキュリティ ゾーン内のすべてのインターフェイスは同じタイプ(つまり、すべてインライン、パッシブ、スイッチ型、ルーティング型、または ASA)でなければなりません。さらに、セキュリティ ゾーンを作成した後、それに含まれるインターフェイスのタイプを変更することはできません。


使用中のセキュリティ ゾーンは削除できません。インターフェイスをゾーンで追加または削除した後は、インターフェイスが存在するデバイスにデバイス設定を再適用する必要があります。また、ゾーンを使用するアクセス コントロール ポリシーおよびネットワーク検出ポリシーを再適用する必要もあります。

セキュリティ ゾーンを追加する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 [Security Zones] を選択します。

ステップ 3 [Add Security Zone] をクリックします。

[Security Zones] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] に、ゾーンの名前を入力します。中カッコ({})とポンド記号(#)を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 [Type] で、ゾーンのインターフェイスのタイプを選択します。

セキュリティ ゾーンの作成後に、タイプを変更することはできません。

ステップ 6 [Device] > [Interfaces] ドロップダウン リストから、ゾーンに追加するインターフェイスを含んでいるデバイスを選択します。

ステップ 7 1 つ以上のインターフェイスを選択します。

複数のオブジェクトを選択するには、Ctrl キーと Shift キーを使用します。管理対象デバイスでインターフェイスをまだ設定していない場合は、空のゾーンを作成し、後でそこにインターフェイスを追加できます。手順 10 に進みます。

ステップ 8 [Add] をクリックします。

選択したインターフェイスがゾーンに追加され、デバイス別にグループ化されます。

ステップ 9 他のデバイスのインターフェイスをゾーンに追加するには、手順 6 から 8 までを繰り返します。

ステップ 10 [Save] をクリックします。

セキュリティ ゾーンが追加されます。


 

位置情報オブジェクトの操作

ライセンス:FireSIGHT

サポート対象デバイス:シリーズ 3、仮想、X-Series、ASA FirePOWER

サポート対象防御センター:任意(DC500 を除く)

設定済みの位置情報(ジオロケーション)オブジェクトは、管理対象ネットワーク上のトラフィックの送信元または宛先としてシステムで識別された 1 つ以上の国または大陸を表します。アクセス コントロール ポリシーやイベント検索など、システムの Web インターフェイスのさまざまな場所で位置情報オブジェクトを使用できます。たとえば、特定の国が送信元/宛先であるトラフィックをブロックするアクセス コントロール ルールを作成できます。地理的な場所によるトラフィックのフィルタリングについては、「位置情報条件の追加」を参照してください。

常に最新の情報を使用してネットワーク トラフィックをフィルタ処理できるように、シスコでは、位置情報データベース(GeoDB)を定期的に更新することを強くお勧めします。GeoDB の更新をダウンロードおよびインストールする方法については、「地理情報データベースについて」を参照してください。

使用中の位置情報オブジェクトは削除できません。さらに、アクセス コントロール ポリシーで使用される位置情報オブジェクトを編集した後、変更内容を有効にするには、関連するアクセス コントロール ポリシーを再適用する必要があります。

位置情報オブジェクトを追加する方法:

アクセス:Admin/Access Admin/Network Admin


ステップ 1 [Objects] > [Object Management] を選択します。

[Object Management] ページが表示されます。

ステップ 2 位置情報を示す [Geolocation] を選択します。

[Geolocation Objects] ページが表示されます。

ステップ 3 [Add Geolocation] をクリックします。

[Geolocation Object] ポップアップ ウィンドウが表示されます。

ステップ 4 [Name] に、位置情報オブジェクトの名前を入力します。中カッコ( {} )を除く、印字可能な任意の標準 ASCII 文字を使用できます。

ステップ 5 位置情報オブジェクトに含める国および大陸のチェック ボックスを選択します。

大陸を選択すると、その大陸内のすべての国、および GeoDB 更新によってその大陸に今後追加されるすべての国が選択されます。大陸の下でいずれかの国を選択解除すると、その大陸が選択解除されます。国と大陸を任意に組み合わせて選択できます。

ステップ 6 [Save] をクリックします。

位置情報オブジェクトが追加されます。