FireSIGHT システム インストレーション ガイド
FireSIGHT システム の概要
FireSIGHT システム の概要
発行日;2015/05/23 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

FireSIGHT システム の概要

アプライアンス

アプライアンス

アプライアンス

仮想アプライアンス

Blue Coat X-Series 向け Cisco NGIPS

FireSIGHT システム の概要

Cisco FireSIGHT® システムは、検出されたアプリケーション、ユーザ、および URL に基づいてネットワークへのアクセスを制御する機能と、業界トップのネットワーク侵入防御システムのセキュリティを統合したものです。また、FireSIGHT システム アプライアンスを使用して、スイッチド、ルーテッド、またはハイブリッド(スイッチド兼ルーテッド)環境でサービスを提供したり、ネットワーク アドレス変換(NAT)を実行したり、FirePOWER 管理対象デバイスの仮想ルータ間でセキュアなバーチャル プライベート ネットワーク(VPN)トンネルを構築したりすることもできます。

シスコ 防御センター® は、FireSIGHT システム用の集中型管理コンソールとデータベース リポジトリを提供します。ネットワーク セグメントにインストールされている管理対象デバイスは、分析用のトラフィックを監視します。

パッシブな展開のデバイスは、ネットワークを流れるトラフィックを、スイッチ SPAN、仮想スイッチ、ミラー ポートなどを使用して監視します。パッシブ センシング インターフェイスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは再送信されません。

インライン展開のデバイスでは、ネットワーク上のホストの可用性、整合性、または機密性に影響を及ぼす可能性がある攻撃からネットワークを保護できます。インライン インターフェイスはすべてのトラフィックを無条件で受信し、展開環境での設定によって明示的に廃棄されている場合を除き、これらのインターフェイスで受信されたトラフィックは再送信されます。インライン デバイスは単純な侵入防御システムとして展開できます。インライン デバイスを設定して、アクセス制御を実行したり、他の方法でネットワーク トラフィックを管理したりすることができます。

このインストール ガイドは、FireSIGHT システム アプライアンス(デバイスおよび防御センター)の展開、設置、およびセットアップに関する情報を提供します。また、FireSIGHT システム アプライアンスのハードウェア仕様と安全性および規制に関する情報も含まれています。


ヒント 物理アプライアンスを管理可能な、または、物理アプライアンスで管理可能な仮想防御センターとデバイスをホストすることができます。ただし、仮想アプライアンスは、システムのハードウェア ベースの機能(冗長性、スイッチング、ルーティングなど)をサポートしません。詳細については、『FireSIGHT System Virtual Installation Guide』を参照してください。

以降のトピックでは、FireSIGHT システム を紹介し、その主要コンポーネントについて説明します。

「FireSIGHT システム アプライアンス」

「FireSIGHT システム のコンポーネント」

「FireSIGHT システム のライセンス」

「セキュリティ、インターネット アクセス、および通信ポート」

「アプライアンスの事前設定」

FireSIGHT システム アプライアンス

FireSIGHT システム アプライアンス は、トラフィックを検知する管理対象 デバイス と管理元の 防御センター のいずれかです。

物理デバイスは、一定のスループットと機能の範囲内で利用可能な耐障害性のある専用のネットワーク アプライアンスです。防御センターは、これらのデバイスの中央管理点として機能し、デバイスが生成したイベントを自動的に集約して関連付けます。それぞれの物理アプライアンスのタイプには、いくつかの モデル があります。これらのモデルはさらに シリーズ ファミリ に分類されます。FireSIGHT システム の多くの機能は、アプライアンスによって異なります。

防御センター

防御センターは、FireSIGHT システム配置環境の集中管理ポイントとイベント データベースを提供します。防御センターは、侵入、ファイル、マルウェア、ディスカバリ、接続、およびパフォーマンスのデータを集約して相互に関連付け、特定のホストに対するイベントの影響を評価し、ホストに侵害の痕跡を付けます。これにより、デバイス間で交わされる情報の監視、ネットワーク上で発生するアクティビティ全体の評価や制御が可能になります。

防御センターの主な機能は次のとおりです。

デバイス、ライセンス、およびポリシーの管理

表、グラフ、および図を使用したイベントとコンテキスト情報の表示

ヘルスとパフォーマンスのモニタリング

外部通知とアラート

リアルタイムに脅威に対処するための関連付け、侵害の痕跡、および修復機能

カスタムもしくはテンプレートベースのレポート作成

多くの物理防御センターでは、高可用性(冗長)機能により操作の継続性が保証されています。

管理対象デバイス

組織内のネットワーク セグメントに配置されたデバイスは、分析のためにトラフィックを監視します。パッシブに展開されたデバイスは、ネットワーク トラフィックについて理解するうえで有用です。インラインで展開されている場合は、FirePOWER デバイスを使用し、複数の基準に基づいてトラフィックのフローに影響を及ぼすことができます。各デバイスには、モデルとライセンスに応じて次のような特徴があります。

組織のホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、および脆弱性に関する詳細情報を収集する

ネットワークベースのさまざまな基準、およびアプリケーション、ユーザ、URL、IP アドレスの評価、および侵入やマルウェアの調査結果を含めた他の基準によって、ネットワーク トラフィックをブロックまたは許可する

スイッチング、ルーティング、DHCP、NAT、および [VPN] 機能に加えて、設定可能バイパス インターフェイス、ファストパス ルール、および厳密な TCP 強制も備えています。

クラスタリング(冗長性)により操作の継続性を保証する、スタッキングにより複数のデバイスのリソースを組み合わせることができる

FirePOWER デバイスは、防御センターで管理する 必要があります

アプライアンスのタイプ

FireSIGHT システムは、シスコが提供するフォールトトレラントな専用の 物理 ネットワーク アプライアンスで動作します。各防御センターと管理対象デバイスには複数の モデル があります。これらのモデルはさらに シリーズ および ファミリ に分けられます。

物理管理対象デバイスは、一定範囲のスループットと一定範囲の機能を備えています。物理的な防御センターは、デバイス管理、イベント保存、およびホスト/ユーザのモニタリングに関するさまざまな機能を備えています。

また、次のソフトウェアベースのアプライアンスを配置することもできます。

VMware vSphere Hypervisor または vCloud Director 環境を使用する ESXi ホストとして、64 ビットの 仮想 防御センターおよび 仮想 管理対象デバイスを配置できます。

Blue Coat X-Series 向け Cisco NGIPS を Blue Coat X-シリーズ プラットフォーム上に展開できます。これは管理対象デバイスとして機能します。

どちらのタイプ(物理または仮想)の防御センターも、任意のタイプ(物理、仮想、Cisco ASA with FirePOWER Services、および Blue Coat X-Series 向け Cisco NGIPS)のデバイスを管理できます。ただし、FireSIGHT システムの多くの機能がアプライアンスに依存することに注意してください。

FireSIGHT システム アプライアンスの詳細(サポートする特徴や機能を含む)については、次を参照してください。

「シリーズ 2 アプライアンス」

「シリーズ 3 アプライアンス」

「仮想アプライアンス」

「Blue Coat X-Series 向け Cisco NGIPS」

「Cisco ASA with FirePOWER Services」

「バージョン 5.4.1 に付属のアプライアンス」

「防御センターの各モデルでサポートされる機能」

「管理対象デバイスの各モデルでサポートされる機能」

シリーズ 2 アプライアンス

シリーズ 2 は、レガシー物理アプライアンスの 2 番目のシリーズです。リソースとアーキテクチャの制限により、シリーズ 2 デバイスは FireSIGHT システム 機能の一部しかサポートしません。

シスコは新しい シリーズ 2 アプライアンスを出荷しませんが、以前のバージョンのシステムを実行する シリーズ 2 デバイスおよび防御センターを バージョン 5.4.1 に更新または再イメージ化できます。イメージの再作成の結果、アプライアンス上のほとんど すべて の設定とイベント データは失われますので注意してください。詳細については、『FireSIGHT システム インストレーション ガイド』を参照してください。


ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.4.1 に更新できます。詳細については、バージョン 5.2 の『Cisco FireSIGHT System Migration Guide』を参照してください。

シリーズ 2 デバイスは、保護 ライセンスに関連する機能のほとんど(侵入検知と防御、ファイル制御、および基本的なアクセス制御)を自動的に保有します。ただし、シリーズ 2 デバイスはセキュリティ インテリジェンスのフィルタリング、高度なアクセス制御、および高度なマルウェア対策を実行できず、アーカイブ ファイルの内容も検査できません。また、シリーズ 2 デバイス上で他のライセンスが付与された機能を有効にすることはできません。高速パス ルール、スタッキング、およびタップ モードをサポートしている 3D9900 を除いて、シリーズ 2 のデバイスは、シリーズ 3 のデバイスに関連付けられているハードウェアベースの機能(スイッチング、ルーティング、NAT など)をサポートしていません。

バージョン 5.4.1、DC1000、および DC3000 シリーズ 2 防御センターは、FireSIGHT システム のすべての機能をサポートしていますが、DC500 には、制限された機能のみ付随しています。

シリーズ 3 アプライアンス

シリーズ 3 は、FirePOWER 物理アプライアンスの第 3 シリーズです。すべての 7000 シリーズ デバイスと 8000 シリーズ デバイスが シリーズ 3 アプライアンスです。8000 シリーズ デバイスは、より強力で、7000 シリーズ デバイスがサポートしていないいくつかの機能をサポートします。

仮想アプライアンス

VMware vSphere Hypervisor または VMware vCloud Director 環境を使用して ESXi ホストとして 64 ビット仮想防御センターおよび管理対象デバイスを展開できます。

インストールおよび適用されているライセンスに関係なく、仮想アプライアンスはシステムのハードウェアベースの機能(冗長性、リソース共有、スイッチング、ルーティングなど)をサポートしません。また、仮想デバイスには Web インターフェイスがありません。仮想アプライアンスの詳細については、『 FireSIGHT System Virtual Installation Guide 』を参照してください。

Blue Coat X-Series 向け Cisco NGIPS

Blue Coat X-Series 向け Cisco NGIPS を Blue Coat X-シリーズ プラットフォーム上にインストールすることができます。このソフトウェアベースのアプライアンスは、仮想管理対象デバイスと同様に機能します。インストールされ適用されているライセンスに関係なく、Blue Coat X-Series 向け Cisco NGIPS は次の機能をサポートしません。

Blue Coat X-Series 向け Cisco NGIPS は、システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。

Blue Coat X-Series 向け Cisco NGIPS を使用して、ネットワーク トラフィックをその発信元または宛先の国または大陸に基づいてフィルタリングすること(位置情報に基づくアクセス制御)はできません。

防御センターの Web インターフェイスを使用して Blue Coat X-Series 向け Cisco NGIPS のインターフェイスを設定することはできません。

防御センターを使用して Blue Coat X-Series 向け Cisco NGIPS のシャットダウン、再起動、その他の管理を行うことはできません。

防御センターを使用して、Blue Coat X-Series 向け Cisco NGIPS のバックアップを作成したり、バックアップからそれを復元したりすることはできません。

Blue Coat X-Series 向け Cisco NGIPS にヘルス ポリシーまたはシステム ポリシーを適用することはできません。これには時間設定の管理が含まれます。

Blue Coat X-Series 向け Cisco NGIPS に Web インターフェイスはありません。ただし、X-シリーズ プラットフォームに固有のコマンド ライン インターフェイス(CLI)があります。この CLI を使用して、システムのインストールや、次のようなプラットフォーム固有の管理タスクを実行します。

X-シリーズプラットフォームのロード バランシングと冗長性の利点(シスコの物理デバイス クラスタリングと同等)を活用できる Virtual Appliance Processor(VAP)グループの作成

パッシブおよびインライン センシング インターフェイスの設定(インターフェイスの最大伝送単位(MTU)の設定を含む)

プロセスの管理

時間設定の管理(NTP の設定を含む)

Cisco ASA with FirePOWER Services

Cisco ASA with FirePOWER Services(ASA FirePOWER デバイス)は、管理対象デバイスと同様に機能します。この配置環境では、ASA デバイスは最も重要なシステム ポリシーを提供し、アクセス制御、侵入検知と防御、ディスカバリ、および高度なマルウェア対策のためにトラフィックを FireSIGHT システムに渡します。サポートされている ASA モデルのリストについては、 「バージョン 5.4.1 FireSIGHT システム のアプライアンス」 の表を参照してください。

インストールおよび適用されているライセンスに関係なく、ASA FirePOWER デバイスは FireSIGHT システムを介して次の機能をサポートしません。

ASA FirePOWER デバイスは、FireSIGHT システムのハードウェアベースの機能(クラスタリング、スタッキング、スイッチング、ルーティング、VPN、NAT など)をサポートしません。ただし、これらの機能は ASA プラットフォームによって提供され、ASA CLI および ASDM を使用して設定できます。詳細については、ASA のマニュアルを参照してください。

ASA FirePOWER デバイスは SSL 検査をサポートしません。

防御センターの Web インターフェイスを使用して ASA FirePOWER のインターフェイスを設定することはできません。

防御センターを使用して ASA FirePOWER のシャットダウン、再起動、その他の管理を行うことはできません。

防御センターを使用して、ASA FirePOWER デバイスのバックアップを作成したり、バックアップからそのデバイスを復元したりすることはできません。

VLAN タグの条件を使用して、トラフィックを照合するためのアクセス コントロール ルールを記述することはできません。

ASA FirePOWER デバイスに FireSIGHT Web インターフェイスはありません。ただし、ASA プラットフォームに固有のソフトウェアとコマンド ライン インターフェイス(CLI)があります。ASA 専用のこれらのツールを使用して、システムのインストールおよびプラットフォーム固有のその他の管理タスクを実行します。詳細については、ASA FirePOWER モジュール のマニュアルを参照してください。

5506-X ASA デバイスをスタンドアロン デバイスまたは管理対象デバイスとして管理できます。スタンドアロンASA FirePOWER モジュールは ASDM で管理し、管理対象 ASA FirePOWER デバイスは防御センターで管理します。デバイスが防御センターに登録されている場合、ASA FirePOWER モジュールを ASDM で管理することはできません。

また、ASA FirePOWER モジュールには FirePOWER アプライアンス用の CLI も含まれています。CLI を使用して、FireSIGHT システムを表示、設定、およびトラブルシューティングすることができます。詳細については、『 FireSIGHT System User Guide 』を参照してください。

バージョン 5.4.1 に付属のアプライアンス

以下の表は、シスコ が FireSIGHT システム のバージョン 5.4.1 で配布するアプライアンスについて示しています。

 

表 1-1 バージョン 5.4.1 FireSIGHT システム のアプライアンス

モデル/ファミリ
シリーズ
フォーム
タイプ

70xx ファミリ:

3D7010、3D7020、3D7030、3D7050

シリーズ 3(7000 シリーズ)

ハードウェア

デバイス

71xx ファミリ:

3D7110、3D7120

3D7115、3D7125

AMP7150

シリーズ 3(7000 シリーズ)

ハードウェア

デバイス

81xx ファミリ:

3D8120、3D8130、3D8140

AMP8150

シリーズ 3(8000 シリーズ)

ハードウェア

デバイス

82xx ファミリ:

3D8250

3D8260、3D8270、3D8290

シリーズ 3(8000 シリーズ)

ハードウェア

デバイス

83xx ファミリ:

3D8350

3D8360、3D8370、3D8390

シリーズ 3(8000 シリーズ)

ハードウェア

デバイス

64 ビット仮想デバイス

n/a

ソフトウェア

デバイス

Blue Coat X-Series 向け Cisco NGIPS

n/a

ソフトウェア

デバイス

ASA FirePOWER:

ASA5585-X-SSP-10、ASA5585-X-SSP-20、ASA5585-X-SSP-40、ASA5585-X-SSP-60

n/a

ハードウェア

デバイス

ASA FirePOWER:

ASA5506-X、ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X

n/a

ソフトウェア

デバイス

シリーズ 3 防御センター:

DC750、DC1500、DC2000、DC3500、DC4000

シリーズ 3

ハードウェア

防御センター

64 ビット仮想防御センター

n/a

ソフトウェア

防御センター

シスコでは、今後新しいシリーズ 2 アプライアンスを出荷する予定はありませんが、旧バージョンのシステムを実行している以下の シリーズ 2 デバイスと防御センターをバージョン 5.4.1 に更新または再イメージングすることができます。

3D500、3D1000、および 3D2000

3D2100、3D2500、3D3500、3D4500

3D6500

3D9900

DC500、DC1000、DC3000

再イメージ化すると、アプライアンスに関する すべての 設定とイベント データが失われることに注意してください。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください。


ヒント バージョン 4.10.3 の配置環境からバージョン 5.2 の配置環境に特定の設定とイベント データを移行してから、バージョン 5.4.1 に更新できます。詳細については、バージョン 5.2 の『FireSIGHT System Migration Guide』を参照してください。

防御センターの各モデルでサポートされる機能

バージョン 5.4.1 を実行したときは、すべての防御センターが同様の機能を持っていますが、ごく一部にモデルベースの制限があります。次の表は、システムの主な機能と、これらの機能をサポートする防御センターを示しています(これらの機能をサポートするデバイスを管理しており、適切なライセンスがインストール/適用済みであることを想定しています)。

防御センターの各モデルは、この表に示した機能に加えて、監視できるデバイス数、保存できるイベント数、および監視できるホストとユーザの数も異なります。詳細については、 FireSIGHT System User Guide を参照してください。

また、バージョン 5.4.1 のシステムを実行する防御センターの任意のモデルを使用して、任意のバージョン 5.4.1 デバイスを管理できますが、多くのシステム機能はデバイスのモデルによって制限されることに留意してください。たとえば、シリーズ 3 防御センターを使用している場合でも、展開にシリーズ 3 デバイスが含まれていない場合は [VPN] を実装できません。詳細については、「管理対象デバイスの各モデルでサポートされる機能」を参照してください。

 

表 1-2 防御センターの各モデルでサポートされる機能

特徴または機能
シリーズ 2
防御センター
シリーズ 3
防御センター
仮想防御センター

管理対象デバイスによって報告されるディスカバリ データ(ホスト、アプリケーション、およびユーザ)を収集し、組織のネットワーク マップを作成する

yes

yes

yes

ネットワーク トラフィックの位置情報データを表示する

DC1000、DC3000

yes

yes

侵入検知と防御(IPS)の配置を管理する

yes

yes

yes

セキュリティ インテリジェンスのフィルタリングを実行するデバイスを管理する

DC1000、DC3000

yes

yes

位置情報ベースのフィルタリングを含む単純なネットワークベース制御を実行するデバイスを管理する

yes

yes

yes

アプリケーション制御を実行するデバイスを管理する

yes

yes

yes

ユーザ制御を実行するデバイスを管理する

DC1000、DC3000

yes

yes

リテラル URL によってネットワーク トラフィックをフィルタリングするデバイスを管理する

yes

yes

yes

カテゴリとレピュテーションによる URL フィルタリングを実行しているデバイスを管理する

DC1000、DC3000

yes

yes

ファイル タイプによる単純なファイル制御を実行するデバイスを管理する

yes

yes

yes

ネットワークベースの高度なマルウェア対策(AMP)を実行するデバイスを管理する

DC1000、DC3000

yes

yes

FireAMP 配置環境からエンドポイントベースのマルウェア(FireAMP)イベントを受信する

yes

yes

yes

デバイスベースのハードウェアベース機能を管理する

高速パス ルール

厳密な TCP の適用

設定可能バイパス インターフェイス

タップ モード

スイッチングとルーティング

NAT ポリシー

[VPN]

yes

yes

yes

デバイスベースの冗長性とリソース共有を管理する

デバイス スタック

デバイス クラスタ

Blue Coat X-Series 向け Cisco NGIPSの VAP グループ

クラスタ化スタック

yes

yes

yes

トラフィック チャネルを使用して、内部と外部のトラフィックを分離して管理する

no

yes

yes

複数の管理インターフェイスを使用して、異なるネットワーク上のトラフィックを分離して管理する

no

yes

yes

ハイ アベイラビリティを確立する

DC1000、DC3000

DC1500、DC2000、DC3500、DC4000

no

マルウェア ストレージ パックをインストールする

DC1000、DC3000

yes

no

eStreamer、ホスト入力、またはデータベース クライアントに接続する

yes

yes

yes

管理対象デバイスの各モデルでサポートされる機能

デバイスはネットワーク トラフィックを処理するアプライアンスです。そのため、FireSIGHT システムの機能の多くは、管理対象デバイスのモデルによって異なります。

次の表は、システムの主な機能と、これらの機能をサポートするデバイスを示しています(管理を行う防御センターから適切なライセンスがインストール/適用済みであることを想定しています)。

バージョン 5.4.1 のシステムを実行する防御センターの任意のモデルを使用して、任意のバージョン 5.4.1 デバイスを管理できますが、いくつかのシステム機能は防御センターのモデルによって制限されることに留意してください。たとえば、デバイスがセキュリティ インテリジェンスのフィルタリングをサポートしていても、シリーズ 2 の DC500 を使用してこの機能を実行するデバイスを管理することはできません。詳細については、「防御センターの各モデルでサポートされる機能」を参照してください。

 

表 1-3 管理対象デバイスの各モデルでサポートされる機能

特徴または機能
シリーズ 2
デバイス
シリーズ 3
デバイス
ASA FirePOWER
仮想
デバイス
X-シリーズ

ネットワーク ディスカバリ:ホスト、アプリケーション、およびユーザ

yes

yes

yes

yes

yes

侵入検知および防御(IPS)

yes

yes

yes

yes

yes

セキュリティ インテリジェンス フィルタリング

no

yes

yes

yes

yes

アクセス制御:基本的なネットワーク制御

yes

yes

yes

yes

yes

アクセス制御:位置情報ベースのフィルタリング

no

yes

yes

yes

no

アクセス制御:アプリケーション制御

no

yes

yes

yes

yes

アクセス制御:ユーザ制御

no

yes

yes

yes

yes

アクセス制御:リテラル URL

no

yes

yes

yes

yes

アクセス コントロール:カテゴリとレピュテーションによる URL フィルタリング

no

yes

yes

yes

yes

ファイル制御:ファイル タイプ別

yes

yes

yes

yes

yes

ネットワーク ベースの高度マルウェア防御(AMP)

no

yes

yes

yes

yes

Automatic Application Bypass

yes

yes

no

yes

no

高速パス ルール

3D9900

8000 シリーズ

no

no

no

厳密な TCP の適用

no

yes

no

no

no

設定可能バイパス インターフェイス

yes

ハードウェアが制限されている場合を除く

no

no

no

タップ モード

3D9900

yes

no

no

no

スイッチングとルーティング

no

yes

no

no

no

NAT ポリシー

no

yes

no

no

no

[VPN]

no

yes

no

no

no

デバイス スタッキング

3D9900

3D8140
82xx ファミリ
83xx ファミリ

no

no

no

デバイス クラスタリング

no

yes

no

no

no

クラスタ化スタック

no

3D8140
82xx ファミリ
83xx ファミリ

no

no

no

トラフィック チャネル

no

yes

no

no

no

複数の管理インターフェイス

no

yes

no

no

no

マルウェア ストレージ パック

no

yes

no

no

no

制限されたコマンドライン インターフェイス(CLI)

no

yes

yes

yes

no

外部認証

yes

yes

no

no

no

eStreamer クライアントへの接続

yes

yes

yes

no

no

シリーズ 3 デバイス シャーシの認定情報

ここでは、7000 シリーズ デバイス、8000 シリーズ デバイス、およびそれらのシャーシ ハードウェア コードを示します。シャーシ コードはシャーシの外側の規制ラベルに記載されており、ハードウェア認定および安全性のための正式な参照コードです。

7000 シリーズ シャーシの認定情報

次の表に、全世界で使用される 7000 シリーズ モデルのシャーシ指定を示します。

 

表 1-4 7000 シリーズ シャーシ モデル

3D デバイス モデル
ハードウェアのシャーシ コード

3D7010、3D7020、3D7030

CHRY-1U-AC

3D7050

NEME-1U-AC

3D7110、3D7120(銅線)

GERY-1U-8-C-AC

3D7110、3D7120(ファイバ)

GERY-1U-8-FM-AC

3D7115、3D7125、AMP7150

GERY-1U-4C8S-AC

8000 シリーズ シャーシの認定情報

次の表に、全世界で使用される シリーズ 3 モデルのシャーシ指定を示します。

 

表 1-5 8000 シリーズ シャーシ モデル

3D デバイス モデル
ハードウェアのシャーシ コード

3D8120、3D8130、3D8140、AMP8150
(AC 電源)

CHAS-1U-AC

3D8120、3D8130、3D8140、AMP8150
(DC 電源)

CHAS-1U-DC

3D8250、3D8260、3D8270、3D8290
(AC 電源)

CHAS-2U-AC

3D8250、3D8260、3D8270、3D8290
(DC 電源)

CHAS-2U-DC

3D8350、3D8360、3D8370、3D8390
(AC/DC 電源)

PG35-2U-AC/DC

FireSIGHT システム のコンポーネント

ここでは、組織のセキュリティ、アクセプタブル ユース ポリシー、およびトラフィック管理戦略に役立つ FireSIGHT システム の主要な機能の一部について説明します。


ヒント FireSIGHT システム の機能の多くが、アプライアンス モデル、ライセンス、およびユーザ ロールによって異なります。必要に応じて、FireSIGHT システム のマニュアルに機能とタスクごとの要件が記載されています。

冗長性およびリソース共有

FireSIGHT システム の冗長性とリソース共有機能を使用すれば、運用継続性を保証し、複数の物理デバイスの処理リソースを統合することができます。

防御センターの高可用性を使用すれば、冗長構成の DC1000、DC1500、DC3000、DC3500、または DC4000 防御センターを指定してデバイスを管理できます。

デバイスのスタッキングでは、1 つのスタック構成内で 2 ~ 4 個の物理デバイスを接続することにより、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。

デバイス クラスタリングを使用すれば、複数の シリーズ 3 デバイスまたはスタック間のネットワーキング機能と設定データの冗長性を構築することができます。

複数の管理インターフェイス

防御センター、デバイス、またはその両方で 複数の管理インターフェイス を使用して、トラフィックを 2 つのトラフィック チャネルに分離することでパフォーマンスを改善できます。このうち 管理トラフィック チャネル はデバイス間通信を伝送し、 イベント トラフィック チャネル は、侵入イベントなどの大容量のイベント トラフィックを伝送します。両方のトラフィック チャネルを同じ管理インターフェイス上で伝送することも、2 つの管理インターフェイスに分割して各インターフェイスで 1 つずつトラフィック チャネルを伝送することもできます。

また、防御センター上の特定の管理インターフェイスから別のネットワークまでのルートを作成することにより、あるネットワーク上のデバイスからのトラフィックと別のネットワーク上のデバイスからのトラフィックを、防御センターで別々に管理することもできます。

追加の管理インターフェイスは、デフォルト管理インターフェイスと同じ多くの機能を備えています(防御センター間のハイ アベイラビリティの使用など)。ただし、次の例外があります。

DHCP は、デフォルト( eth0 )管理インターフェイスにのみ設定できます。追加のインターフェイス(eth1 など)には、固有の静的 IP アドレスとホスト名が必要です。

防御センターと管理対象デバイスが NAT デバイスによって分離されている場合は、同じデフォルト以外の管理インターフェイスを使用するように両方のトラフィック チャネルを設定する必要があります。

Lights-Out 管理は、デフォルトの管理インターフェイスでのみ使用できます。

70xx ファミリでは、トラフィックを 2 つのチャネルに分離して、防御センター上の 1 つ以上の管理インターフェイスにトラフィックを送信するようにそれらのチャネルを設定できます。ただし、70xx ファミリには 1 つの管理インターフェイスしかないため、デバイスは唯一の管理インターフェイス上で防御センターから送信されたトラフィックを受信します。

アプライアンスを設置した後、Web ブラウザを使用して複数の管理インターフェイスを設定します。詳細については、『FireSIGHT System User Guide』の「Multiple Management Interfaces」を参照してください。

ネットワーク トラフィックの管理

FireSIGHT システム のネットワーク トラフィック管理機能を使用すれば、シリーズ 3 デバイスを組織のネットワーク インフラストラクチャの一部として機能させることができます。次の作業を実行できます。

複数のネットワーク セグメント間のパケット スイッチングを実行するようにレイヤ 2 展開を設定する

複数のインターフェイス間のトラフィックをルーティングするようにレイヤ 3 展開を設定する

ネットワーク アドレス変換(NAT)を実行する

管理対象デバイス上の仮想ルータからリモート デバイスまたはその他のサードパーティ製 [VPN] エンドポイントへのセキュアな [VPN] トンネルを構築する

FireSIGHT

FireSIGHT™ は、ネットワークの全体像を提供するためにホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、位置情報、および脆弱性に関する情報を収集するシスコのディスカバリおよび認識テクノロジーです。

防御センターの Web インターフェイスを使用して、FireSIGHT で収集したデータを表示および分析することができます。また、このデータを使用することで、アクセス コントロールを実施し、侵入ルールの状態を修正できます。また、ホストの相関イベント データに基づいて、ネットワーク上のホストの侵害の痕跡を生成し、追跡できます。

アクセス コントロール

アクセス制御は、ネットワークを通過するトラフィックを指定、検査、および記録することが可能なポリシー ベースの機能です。アクセス制御の一部として、セキュリティ インテリジェンス機能を使用すれば、トラフィックをより詳細な分析にかける前に、特定の IP アドレスをブラックリストに追加(そのアドレスへのトラフックとそのアドレスからのトラフィックを拒否)することができます。

セキュリティ インテリジェンス フィルタリングの実行後は、対象のデバイスがどのトラフィックをどのように処理するか(単純な IP アドレスのマッチングから、異なるユーザ、アプリケーション、ポート、および URL が関与する複雑なシナリオまで)を定義することができます。トラフィックを信頼、監視、またはブロックすることも、次のように詳細な分析を実行することもできます。

侵入検知と防御

ファイル制御

ファイル トラッキングとネットワーク ベースの高度マルウェア防御(AMP)

侵入検知と侵入防御

侵入検知および防御は、ネットワーク トラフィックのセキュリティ違反を監視したり、インライン展開で悪意のあるトラフィックをブロックまたは修正したりできるアクセス制御に統合されたポリシー ベースの機能です。侵入ポリシーは次のようなさまざまな要素で構成されます。

プロトコル ヘッダー値、ペイロードの内容、および特定のパケット サイズの特性を検査するルール

FireSIGHT の推奨事項に基づくルール状態設定

プリプロセッサやその他の検出およびパフォーマンス機能などの高度な設定

関連するプリプロセッサとプリプロセッサ オプション用のイベントを生成可能なプリプロセッサ ルール

ファイル トラッキング、制御、およびネットワーク ベースの高度なマルウェア防御(AMP)

マルウェアの影響を特定し、軽減することを容易にするために、FireSIGHT システム のファイル制御、ネットワーク ファイルのトラジェクトリ、および高度なマルウェア防御のコンポーネントはネットワーク トラフィック内のファイルの伝送を(マルウェア ファイルも含めて)検出、追跡、取得、分析、およびオプションでブロックすることができます。

ファイル制御は、管理対象デバイスでユーザによる特定のアプリケーション プロトコル経由の特定のタイプのファイルのアップロード(送信)またはダウンロード(受信)を検出してブロックすることが可能な、アクセス制御に統合されたポリシー ベースの機能です。

ネットワークベースの 高度なマルウェア対策 (AMP)によって、複数のファイル タイプのマルウェアに関してネットワーク トラフィックを検査できます。アプライアンスでは、検出されたファイルをさらに分析するためにハード ドライブまたは(一部のモデルで)マルウェア ストレージ パックに保存できます。

検出されたファイルを手元に保存するかどうかに関わらず、ファイルの SHA-256 ハッシュ値を使用して単純な既知ディスポジション ルックアップ用にシスコ クラウドにそれを送信することができます。また、脅威のスコアを生成する 動的分析 を行うためにファイルを送信することもできます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するようにシステムを設定できます。

FireAMP は シスコ のエンタープライズクラスの高度なマルウェア分析および防御ソリューションで、高度なマルウェアの発生、高度で継続的な脅威、および標的型攻撃を検出、認識、ブロックします。組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自身のコンピュータおよびモバイル デバイス(エンドポイントとも呼ばれる)に FireAMP Connector をインストールします。これらの軽量なエージェントは シスコ クラウドと通信し、これが防御センターと通信します。

防御センターをクラウドに接続するように設定した後で防御センターの Web インターフェイスを使用して、組織のエンドポイントでのスキャン、検出、および検疫の結果として生成されたエンドポイントベースのマルウェア イベントを表示することができます。また、防御センターは FireAMP のデータを使用して、ホストに対する侵害の痕跡を生成および追跡するとともに、ネットワーク ファイルのトラジェクトリを表示します。

ネットワーク ファイル トラジェクトリ機能を使用すれば、ネットワーク全体のファイルの伝送パスを追跡することができます。システムは SHA-256 ハッシュ値を使用してファイルを追跡します。各ファイルには、関連するトラジェクトリ マップが付随しており、これには、一定期間のファイルの転送を視覚的に表したものや、ファイルに関する追加情報が含まれています。

アプリケーション プログラミング インターフェイス

アプリケーション プログラミング インターフェース(API)を使用してシステムと対話する方法がいくつか用意されています。

Event Streamer(eStreamer)を使用すれば、FireSIGHT システム アプライアンスからの数種類のイベント データをカスタム開発されたクライアント アプリケーションにストリーム配信できます。

データベース アクセス機能を使用すれば、JDBC SSL 接続をサポートするサードパーティ製クライアントを使用して、防御センター上の複数のデータベース テーブルに対してクエリを実行することができます。

ホスト入力機能では、スクリプトまたはコマンドライン ファイルを使用してサードパーティのソースからデータをインポートすることにより、ネットワーク マップの情報を増やすことができます。

修復は、ネットワーク上の特定の条件が満たされたときに防御センターが自動的に起動可能なプログラムです。これにより、ユーザが攻撃に即時に対処できない場合でも攻撃の影響を自動的に緩和でき、またシステムが組織のセキュリティ ポリシーに準拠し続けるようにすることができます。

FireSIGHT システム のライセンス

組織に対して FireSIGHT システム の最適な展開を実現するために、さまざまな機能についてライセンスを取得することができます。防御センターを使用して、それ自身と管理対象デバイスのライセンスを管理する必要があります。

シスコ は、防御センターの初期設定時に、購入したライセンスを追加することを推奨します。そうしない場合、初期設定時に登録するデバイスは、未ライセンスとして防御センターに追加されます。この場合、初期設定プロセスが終了した後で、各デバイスで個別にライセンスを有効化する必要があります。詳細については、「FireSIGHT システム アプライアンスの設定」を参照してください。

FireSIGHT ライセンスは、防御センターの各購入に含まれており、ホスト、アプリケーション、およびユーザ ディスカバリを実行するために必要です。また、防御センター上の FireSIGHT ライセンスは、防御センターとその管理対象デバイスを使って監視できる個別のホスト数とユーザ数、およびユーザ制御に使用できるユーザ数を決定します。次の表に示すように、 FireSIGHT のホスト ライセンスとユーザ ライセンスの制限はモデル固有です。

 

表 1-6 防御センター モデル別の FireSIGHT の制限

防御センター モデル
FireSIGHT のホストとユーザの制限

DC500

1000(ユーザ制御なし)

DC750

2000

DC1000

20,000

DC1500

50,000

DC2000

100,000

DC3000

100,000

DC3500

300,000

DC4000

600,000

防御センターが以前バージョン 4.10.x を実行していた場合は、FireSIGHT ライセンスの代わりに、従来の RNA ホスト ライセンスと RUA ユーザ ライセンスを使用できる場合があります。詳細については、「従来の RNA ホスト ライセンスと RUA ユーザ ライセンスの使用」を参照してください。

モデル固有ライセンスを追加すれば、管理対象デバイスは、次のように、さまざまな機能を実行できます。

保護

保護ライセンスでは、管理対象デバイスで侵入の検出および防御、ファイル制御、セキュリティ インテリジェンスのフィルタリングを実行することができます。

Control

Controlライセンスでは、管理対象デバイスでユーザおよびアプリケーションの制御を実行することができます。また、デバイスがスイッチングおよびルーティング(DHCP リレーを含む)や NAT を実行したり、デバイスおよびスタックをクラスタ化したりできます。Controlライセンスには、保護ライセンスが必要です。

URL フィルタリング

URL フィルタリング ライセンスでは、管理対象デバイスが定期的に更新されるクラウドベースのカテゴリおよびレピュテーション データを使用して、監視対象ホストが要求した URL に基づいて、ネットワークを通貨できるトラフィックを判別できます。URL フィルタリング ライセンスには保護ライセンスが必要です。

マルウェア

マルウェア ライセンスにより、管理対象デバイスはネットワークベースの高度なマルウェア防御(AMP)を実行できます。これはネットワーク上で転送されるファイルに含まれるマルウェアを検出し、ブロックする機能です。また、ネットワーク上で転送されるファイルを追跡するトラジェクトリを表示することもできます。マルウェア ライセンスには保護ライセンスが必要です。

[VPN]

[VPN] ライセンスを使用すると、シスコの管理対象デバイス上の仮想ルータ間、あるいは管理対象デバイスからリモート デバイスまたは他のサードパーティ製 [VPN] エンドポイントまでのセキュアな [VPN] トンネルを構築できます。[VPN] ライセンスには、保護ライセンスとControlライセンスが必要です。

アーキテクチャとリソースの制限により、すべての管理対象デバイスにすべてのライセンスが適用できるわけではありません。一般に、デバイスがサポートしていない機能のライセンスは付与できません。「管理対象デバイスの各モデルでサポートされる機能」を参照してください。

次の表に、防御センターに追加して、各デバイス モデルに適用可能なライセンスの概要を示します。防御センターの行(FireSIGHT を除くすべてのライセンス)は、防御センターがそれらのライセンスを使用してデバイスを管理できるかどうかを示します。たとえば、シリーズ 2 DC1000 では、シリーズ 3 デバイスを使用する [VPN] 展開を構築できますが、DC500 を使用して、カテゴリおよびレピュテーション ベースの URL フィルタリングを実行することはできません(管理するデバイスとは無関係)。なお、 n/a は、管理対象デバイスとは関係のない防御センター ベースのライセンスを示します。

 

表 1-7 各モデルでサポートされるライセンス

モデル
FireSIGHT
保護
Control
URL フィルタリング
マルウェア
[VPN]

シリーズ 2 デバイス:

3D500、3D1000、3D2000

3D2100、3D2500、3D3500、3D4500

3D6500

3D9900

n/a

自動、セキュリティ インテリジェンスなし

no

no

no

no

シリーズ 3 デバイス:

7000 シリーズ

8000 シリーズ

n/a

yes

yes

yes

yes

yes

仮想デバイス

n/a

yes

はい、ただしハードウェア機能のサポートなし

yes

yes

no

Cisco ASA with FirePOWER Services

n/a

yes

はい、ただしハードウェア機能のサポートなし

yes

yes

no

Blue Coat X-Series 向け Cisco NGIPS

n/a

yes

はい、ただしハードウェア機能のサポートなし

yes

yes

no

シリーズ 2 防御センター:

DC500

yes

はい、ただしセキュリティ インテリジェンスなし

はい、ただしユーザ制御なし

no

no

yes

シリーズ 2 防御センター:

DC1000、DC3000

yes

yes

yes

yes

yes

yes

シリーズ 3 防御センター:

DC750、DC1500、DC2000、DC3500、DC4000

yes

yes

yes

yes

yes

yes

仮想の防御センター

yes

yes

yes

yes

yes

yes

この表内の情報に加えて、次の点に注意してください。

シリーズ 2 デバイスには、セキュリティ インテリジェンス フィルタリングを除く、保護機能が自動的に組み込まれています。

仮想デバイス上のControlライセンスを有効にできますが、仮想デバイスはスイッチングやルーティングなどの、そのライセンスによって付与されるハードウェア ベースの機能をサポートしません。

DC500 は、保護ライセンスとControlライセンスを使用してデバイスを管理できますが、セキュリティ インテリジェンス フィルタリングまたはユーザ制御は実行できません。

ライセンスの詳細については、『FireSIGHT System User Guide』の「Licensing the FireSIGHT システム」の章を参照してください。

従来の RNA ホスト ライセンスと RUA ユーザ ライセンスの使用

FireSIGHT システム のバージョン 4.10.x では、RNA ホスト機能と RUA ユーザ機能のライセンスによって、監視対象のホストとユーザの制限がそれぞれ決定されました。防御センターが以前バージョン 4.10.x を実行していた場合は、FireSIGHT ライセンスの代わりに、従来のホスト ライセンスとユーザ ライセンスを使用できる場合があります。

従来のライセンスを使用するバージョン 5.4.1 防御センターは、FireSIGHT ホスト制限として RNA ホスト制限を使用し、FireSIGHT ユーザとアクセス制御ユーザの両方の制限として RUA ユーザ制限を使用します。FireSIGHT ホスト ライセンス制限ヘルス モジュールはライセンス制限に適したアラートを発行します。

RNA ホスト制限と RUA ユーザ制限は累積的であることに注意してください。つまり、各タイプの複数のライセンスを防御センターに追加することにより、ライセンスによって許可されるホストまたはユーザの総数を監視できます。

後から FireSIGHT ライセンスを追加した場合は、防御センターがより高い制限を使用します。たとえば、DC1500 上の FireSIGHT ライセンスは、最大 50,000 のホストとユーザをサポートします。バージョン 4.10.x DC1500 の RNA Host 制限が 50,000 よりも大きい場合は、バージョン 5.4.1 が稼働する同じ 防御センターでレガシー ホスト ライセンスを使用すると、いずれか大きい方の制限が適用されます。便宜上、Web インターフェイスにはより高い制限を示すライセンスだけが表示されます。


) FireSIGHT ライセンス制限は防御センターのハードウェア機能に適合しているため、シスコ では、従来のライセンスを使用する場合はこの制限を超えないようにすることを推奨しています。ガイダンスについては、サポートまでご連絡ください。


バージョン 4.10.x からバージョン 5.4.1 への更新パスが存在しないため、ISO イメージを使用して防御センターに「復元する」必要があります。再イメージ化すると、アプライアンスに関する すべての 設定とイベント データが失われることに注意してください。再イメージ化後は、このデータをアプライアンスにインポート できなくなります 。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください


) アプライアンスの再イメージ化は、必ず保守期間中に行ってください。再イメージ化によって、インライン展開内のデバイスが非バイパス設定にリセットされ、バイパス モードが再設定されるまで、ネットワーク上のトラフィックが中断されます。詳細については、「復元プロセスにおけるトラフィック フロー」を参照してください。


復元プロセスで、ライセンスとネットワークの設定を削除するように促されます。これらの設定を誤って削除しても、後から追加し直すことができますが、そのままにしておいてください。バージョン 5.4.1 防御センターは、バージョン 4.10.x デバイスを管理できないことに注意してください。ただし、サポートされているバージョン 4.10.x デバイスを最新バージョンに復元して更新することができます。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください。

セキュリティ、インターネット アクセス、および通信ポート

防御センターを保護するには、保護された内部ネットワークにそれをインストールしてください。防御センターは必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで(または管理対象デバイスまで)決して到達できないようにする必要があります。

防御センターとその管理対象デバイスが同じネットワーク上に存在する場合は、デバイス上の管理インターフェイスを、防御センターと同じ保護された内部ネットワークに接続できます。これにより、防御センターからデバイスを安全に制御することができます。また、他のネットワーク上のデバイスからのトラフィックを防御センターで管理および分離できるように、複数の管理インターフェイスを設定することもできます。

アプライアンスの展開方法とは無関係に、アプライアンス間通信は暗号化されます。それでも、分散型サービス拒否(DDoS)や中間者攻撃などの手段でアプライアンス間の通信が中断、ブロック、または改ざんされないよう何らかの対策を講じる必要があります。

また、FireSIGHT システムの機能によってはインターネット接続が必要となることにも注意してください。デフォルトで、すべてのアプライアンスはインターネットに直接接続するよう設定されます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的は基本的なアプライアンス間通信、セキュアなアプライアンス アクセス、および特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にすることです。


ヒント Blue Coat X-Series 向け Cisco NGIPS と Cisco ASA with FirePOWER Services を除いて、FireSIGHT システム アプライアンスではプロキシ サーバを使用できます。詳細については、FireSIGHT System User Guide を参照してください。

詳細については、以下を参照してください。

「インターネット アクセス要件」

「通信ポートの要件」

インターネット アクセス要件

FireSIGHT システム アプライアンスは、デフォルトで開かれるポート 443/tcp(HTTPS)とポート 80/tcp(HTTP)を介して、インターネットに直接接続するよう設定されます(「通信ポートの要件」を参照)。ほとんどの FireSIGHT システム アプライアンスでプロキシ サーバを使用できることに注意してください(『FireSIGHT System User Guide』の「Configuring Network Settings」の章を参照してください)。プロキシ サーバは whois アクセスに使用できない点にも注意が必要です。

運用継続性を確保するために、高可用性ペアの両方の防御センターがインターネットにアクセスできる必要があります。特定の機能については、プライマリ防御センターがインターネットにアクセスし、同期プロセスでセカンダリと情報を共有します。そのため、『FireSIGHT System User Guide』の「デバイスの管理」の章に記載されているように、プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させる必要があります。

次の表に、FireSIGHT システムの特定の機能におけるインターネット アクセス要件を示します。

 

表 1-8 FireSIGHT システム機能のインターネット アクセス要件

機能
インターネット アクセスの用途
アプライアンス
ハイ アベイラビリティの考慮事項

動的分析:照会

動的分析のために、提出済みファイルの脅威スコアを Collective Security Intelligence クラウドに照会します。

防御センター

ペア化された防御センターは、個別に脅威スコアをクラウドに照会します。

動的分析:送信

動的分析のためにファイルを Collective Security Intelligence クラウドに提出します。

管理対象デバイス

n/a

FireAMP 統合

Collective Security Intelligence クラウドからエンドポイント ベースの(FireAMP)マルウェア イベントを受信します。

防御センター

クラウド接続は同期されません。両方の防御センターでクラウド接続を設定します。

侵入ルール、VDB、および GeoDB の更新

侵入ルール、GeoDB、または VDB の更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。

防御センター

侵入ルール、GeoDB、および VDB の更新は同期されます。

ネットワークベースの AMP

マルウェア クラウド検索を実行します。

防御センター

ペア化された防御センターは、個別にクラウド検索を実行します。

RSS フィード ダッシュボード ウィジェット

シスコ を含む外部ソースから RSS フィード データをダウンロードします。

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

フィード データは同期されません。

セキュリティ インテリジェンス フィルタリング

FireSIGHT システム インテリジェンス フィードを含む外部ソースからのセキュリティ インテリジェンス フィード データをダウンロードします。

防御センター

プライマリ防御センターがフィード データをダウンロードして、セカンダリと共有します。プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させてください。

システム ソフトウェアの更新

システム更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

システム更新は同期されません。

URL フィルタリング

クラウドベースの URL カテゴリおよびレピュテーション データをアクセス制御用にダウンロードし、カテゴライズされていない URL に対してルックアップを実行します。

防御センター

プライマリ防御センターが URL フィルタリング データをダウンロードして、セカンダリと共有します。プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させてください。

whois

外部ホストの whois 情報を要求します。

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

whois 情報を要求するすべてのアプライアンスがインターネットにアクセスできる必要があります。

通信ポートの要件

FireSIGHT システム アプライアンスは、(デフォルトでポート 8305/tcp を使用する)双方向 SSL 暗号化通信チャネルを使って通信します。基本的なアプライアンス間通信用にこのポートを開いたままにする 必要があります 。他のオープン ポートの役割は次のとおりです。

アプライアンスの Web インターフェイスにアクセスする

アプライアンスへのリモート接続を保護する

特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にする

一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。たとえば、防御センターをユーザ エージェントに接続するまでは、エージェント通信ポート(3306/tcp)は閉じたままになります。別の例として、LOM を有効にするまでは、シリーズ 3 アプライアンス上のポート 623/udp が閉じたままになります。


注意 開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを閉じないでください

たとえば、管理デバイス上のポート 25/tcp(SMTP)アウトバウンドを閉じると、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります(『FireSIGHT System User Guide』を参照)。別の例として、ポート 443/tcp(HTTPS)を閉じることにより物理管理対象デバイスの Web インターフェイスへのアクセスを無効にできますが、それと同時に、動的分析のためにデバイスから疑わしいマルウェア ファイルをクラウドに送信できなくなります。

次のように、システムのいくつかの通信ポートを変更できることに注意してください。

システムと認証サーバの間の接続を設定するときに、LDAP および RADIUS 認証用のカスタム ポートを指定できます(『FireSIGHT System User Guide』を参照)。

管理ポート(8305/tcp)を変更できます(『FireSIGHT System User Guide』を参照)。ただし、シスコでは、デフォルト設定を維持することを 強く 推奨しています。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。

ポート 32137/tcp を使用して、アップグレード対象の防御センターと Collective Security Intelligence クラウドの通信を可能にすることができます。ただし、シスコでは、バージョン 5.4.1 以降の新規インストールのデフォルトであるポート 443 に切り替えることを推奨しています。詳細については、FireSIGHT System User Guide を参照してください。

次の表は、FireSIGHT システムの機能を最大限に活用できるように、各アプライアンス タイプで必要なオープン ポートを示しています。

 

表 1-9 FireSIGHT システムの機能と運用のためのデフォルト通信ポート

ポート
説明
方向
開いているアプライアンス
目的

22/tcp

SSH/SSL

双方向

すべて

アプライアンスへのセキュアなリモート接続を許可します。

25/tcp

SMTP

発信

すべて

アプライアンスから電子メール通知とアラートを送信します。

53/tcp

DNS

発信

すべて

DNS を使用します。

67/udp

68/udp

DHCP

発信

すべて(X-シリーズ を除く)

DHCP を使用します。

80/tcp

HTTP

発信

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

RSS フィード ダッシュボード ウィジェットからリモート Web サーバに接続できるようにします。

双方向

防御センター

HTTP 経由でカスタムおよびサードパーティのセキュリティ インテリジェンス フィードを更新します。

URL カテゴリおよびレピュテーション データをダウンロードします(さらにポート 443 も必要)。

161/udp

SNMP

双方向

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

SNMP ポーリング経由でアプライアンスの MIB にアクセスできるようにします。

162/udp

SNMP

発信

すべて

リモート トラップ サーバに SNMP アラートを送信します。

389/tcp

636/tcp

LDAP

発信

すべて(仮想デバイスと X-シリーズ を除く)

外部認証用に LDAP サーバと通信します。

389/tcp

636/tcp

LDAP

発信

防御センター

検出された LDAP ユーザに関するメタデータを取得します。

443/tcp

HTTPS

着信

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

アプライアンスの Web インターフェイスにアクセスします。

443/tcp

HTTPS

AMQP

クラウド通信

双方向

防御センター

次のものを取得します。

ソフトウェア、侵入ルール、VDB、および GeoDB の更新

URL カテゴリおよびレピュテーション データ(さらにポート 80 も必要)

シスコ インテリジェンス フィードおよび他のセキュアなセキュリティ インテリジェンス フィード

エンドポイント ベースの(FireAMP)マルウェア イベント

ファイルに関してネットワーク トラフィックで検出されたマルウェアの性質

送信されたファイルに関する動的分析情報

シリーズ 2 デバイスと シリーズ 3 デバイス

デバイスのローカル Web インターフェイスを使用してソフトウェア更新をダウンロードします。

シリーズ 3、仮想デバイス、X-シリーズ、および ASA FirePOWER

動的分析用にファイルをシスコ クラウドに送信します。

514/udp

syslog

発信

すべて

リモート syslog サーバにアラートを送信します。

623/udp

SOL/LOM

双方向

シリーズ 3

Serial Over LAN(SOL)接続を使用して Lights-Out Management を実行できるようにします。

1500/tcp

2000/tcp

データベース アクセス

着信

防御センター

サードパーティ クライアントによるデータベースへの読み取り専用アクセスを可能にします。

1812/udp

1813/udp

RADIUS

双方向

すべて(仮想デバイス、X-シリーズ、および ASA FirePOWER を除く)

外部認証とアカウンティングのために RADIUS サーバと通信します。

3306/tcp

User Agent

着信

防御センター

ユーザ エージェントと通信します。

8302/tcp

eStreamer

双方向

すべて(仮想デバイスと X-シリーズ を除く)

eStreamer クライアントと通信します。

8305/tcp

アプライアンス通信

双方向

すべて

展開におけるアプライアンス間で安全に通信します。 必須です。

8307/tcp

ホスト入力クライアント

双方向

防御センター

ホスト入力クライアントと通信します。

32137/tcp

クラウド通信

双方向

防御センター

アップグレード対象の防御センター とシスコ クラウドの通信を可能にします。

アプライアンスの事前設定

あとで他のサイトに展開するために、1 つの場所で一元的に複数のアプライアンスと防御センターを事前設定することができます。アプライアンスを事前設定するときの考慮事項については、「FireSIGHT システム アプライアンスの事前設定」を参照してください。