はじめに
このドキュメントでは、AnyConnectで高度なマルウェア防御(AMP)コネクタをインストールする手順を説明します。
AnyConnect AMPイネーブラは、エンドポイント向けAMPを導入するための媒体として使用されます。それ自体は、ファイルの処分を有罪判決を下す機能はありません。ASAからエンドポイントにAMP for EndpointsソフトウェアをプッシュするAMPをインストールすると、クラウド容量を使用してファイルの性質を確認します。さらに、AMPサービスはThreatGridと呼ばれる動的分析にファイルを送信して、未知のファイルの動作を採点できます。特定のアーティファクトが満たされると、これらのファイルは悪意のあるファイルとして有罪になる可能性があります。これは、ゼロデイ攻撃に広く有効です。
前提条件
要件
- AnyConnectセキュアモビリティクライアントバージョン4.x
- FireAMP / エンドポイント向け AMP
- Adaptive Security Device Manager(ASDM)バージョン7.3.2以降
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアバージョン9.5.1が稼働する適応型セキュリティアプライアンス(ASA)5525
- Microsoft Windows 7 Professional 64ビット上のAnyConnectセキュアモビリティクライアント4.2.00096
- ASDM バージョン 7.5.1(112)
ASA を介した AMP イネーブラのための AnyConnect の導入
設定に含まれる手順は次のとおりです。
- AnyConnect AMPイネーブラクライアントプロファイルを設定します。
- AnyConnect VPNグループポリシーを編集し、AMPイネーブラサービスプロファイルをダウンロードします。
- AMPダッシュボードにログインし、コネクタURLダウンロードリンクを取得します。
- ユーザ マシンでインストールを検証します。
ステップ1:AnyConnect AMPイネーブラクライアントプロファイルを設定します。
- Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Profileの順に選択します。
- AMPイネーブラサービスプロファイルを追加します。


ステップ2:グループポリシーを編集してAnyConnect AMPイネーブラをダウンロードする
- [Configuration] > [Remove Access VPN] > [Group Policies] > [Edit] の順に移動します。
- Advanced > AnyConnect Client > Optional Client Modules to Downloadの順に選択します。
- AnyConnect AMP Enablerを選択します。

ステップ3:FireAMPポリシーのダウンロード
注:続行する前に、システムがAMP of Endpoints Windows Connectorの要件を満たしているかどうかを確認してください。
AMP for Endpoints Windows Connector のシステム要件
これらは、Windowsオペレーティングシステムに基づくFireAMPコネクタの最小システム要件です。FireAMP Connector は、次のオペレーティング システムの 32 ビット バージョンと 64 ビット バージョンをサポートします。最新のAMPドキュメントについては、『AMPの導入』を参照してください。
オペレーティング システム |
プロセッサ |
メモリ
|
ディスク領域、
クラウド専用モード
|
ディスク領域
|
Microsoft Windows 7
|
1 GHz 以上のプロセッサ
|
メモリ 1 GB
|
150 MB の使用可能なハード ディスク領域 - クラウド専用モード
|
1 GB の使用可能なハード ディスク領域 - TETRA
|
Microsoft Windows 8 および 8.1(FireAMP Connector 5.1.3 以降が必要)
|
1 GHz 以上のプロセッサ
|
メモリ 512 MB
|
150 MB の使用可能なハード ディスク領域 - クラウド専用モード
|
1 GBの使用可能なハードディスク領域 – TETRA
|
Microsoft Windows Server 2003
|
1 GHz 以上のプロセッサ
|
メモリ 512 MB
|
150 MB の使用可能なハード ディスク領域 - クラウド専用モード
|
1 GB の使用可能なハード ディスク領域 - TETRA
|
Microsoft Windows Server 2008
|
2 GHz 以上のプロセッサ
|
メモリ 2 GB
|
150 MB の使用可能なハード ディスク領域 - クラウド専用モード
|
1 GBの使用可能なハードディスク領域 – TETRA
|
Microsoft Windows Server 2012(FireAMP Connector 5.1.3 以降が必要)
|
2 GHz 以上のプロセッサ
|
メモリ 2 GB
|
150 MB の使用可能なハード ディスク領域 - クラウド専用モード
|
1 GBの使用可能なハードディスク領域 – TETRA
|
最も一般的なのは、AMPインストーラをエンタープライズWebサーバに配置することです。
コネクタをダウンロードするには、[Management] > [Download Connector] に移動します。次に、タイプを選択し、FireAMPをダウンロードします(Windows、Android、Mac、Linux)。

コネクタのダウンロードページでは、FireAMPコネクタのタイプごとにインストールパッケージをダウンロードできます。このパッケージは、ネットワーク共有に配置することも、管理ソフトウェアを介して配布することもできます。

[Select a Group]
- 監査のみ:各ファイルについて計算されたSHA-256に基づいてシステムを監視します。この監査専用モードでは、マルウェアは検疫されず、イベントがアラートとして送信されます。
- 保護:悪意のあるファイルを隔離する保護モード。ファイルのコピーと移動を監視します。
- トリアージ:これは、すでに感染または感染したコンピュータで使用するためのものです。
- サーバ:TetraエンジンおよびDFCドライバなしでコネクタがインストールされるWindowsサーバ用のインストールスイート。このグループは、非ドメインコントローラサーバの名前で設計されています。
- ドメインコントローラ:このグループの既定のポリシーは、サーバーグループと同様に監査モードに設定されます。このグループにすべてのActive Directoryサーバを関連付けます。つまり、コネクタはWindowsドメインコントローラで実行されます。
AMPには、完全なアンチウイルスエンジンであるTETRAと呼ばれる機能があります。このオプションは、ポリシーごとにオプションです。
機能
- インストール時のフラッシュスキャン:スキャンプロセスはインストール時に実行されます。実行は比較的短時間で済み、1回だけ実行することを推奨します。
- 再配布可能:32ビットおよび64ビットインストーラを含む単一のパッケージをダウンロードする必要があります。このオプションをオンのままにしておくとインストーラのファイルがダウンロードされ、実行後にブートストラッパを使用できます。
注:独自のグループを作成し、それに関連するポリシーを設定できます。この目的は、すべてのActive Directoryサーバを1つのグループに配置し、ポリシーを監査モードに設定することです。
ブートストラッパと再配布可能インストーラの両方に、AMPコネクタのコンフィギュレーションファイルとして使用されるpolicy.xmlファイルも含まれています。
ステップ4:Webセキュリティクライアントプロファイルをダウンロードします。
AMPインストーラを使用して、会社のWebサーバまたはネットワーク共有を指定します。これは、帯域幅を節約し、信頼できるインストーラを中央の場所に配置するために、会社全体で最も一般的に使用されています。
エンドポイントからHTTPSリンクに到達でき、証明書エラーが発生しないこと、およびマシンのストアにルート証明書がインストールされていることを確認してください。
ASAで前に作成したAMPプロファイル(ステップ1)に戻り、AMPイネーブラプロファイルを編集します。
- AMPモードの場合は、Install AMP Enablerオプションボタンをクリックします。
- Windows Installerフィールドで、WebサーバのIPとFireAMPのファイルを追加します。
- [Windows Options] はオプションです。
[OK] をクリックし、変更を適用します。

ステップ5:AnyConnectに接続し、モジュールのインストールを確認する
Anyconnect VPNユーザが接続すると、ASAはVPN経由でAnyConnect AMPイネーブラモジュールをプッシュします。すでにログインしているユーザの場合、この機能を有効にするために、ログオフしてから再度ログインすることを推奨します。
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

ステップ6:VPN接続の開始AMPイネーブラとAMPコネクタのインストール
ボタンconnectを押してVPNを起動すると、新しいダウンローダモジュールがダウンロードされます。AMPイネーブラがインストールされ、前に指定したURLパスからAMPパッケージがダウンロードされます。

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
ステップ7:AnyConnectを確認し、すべてがインストールされていることを確認する
VPNが接続され、Webサーバの設定がインストールされたら、AnyConnectをチェックし、すべてが正しくインストールされていることを確認します。
services.mscには、CiscoAMP_5.1.3という名前の新しいサービスがあります。Powershellコマンドでは、次のように表示されます。
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

AMPインストーラは、Windows OSに新しいドライバを追加します。ドライバを一覧表示するには、driverqueryコマンドを使用できます。
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
ステップ8:ゾンビPDFファイルに含まれるEicar文字列を使用してテストする
テストコンピュータでZombies PDFファイルに含まれるEicar文字列を使用してテストし、悪意のあるファイルが隔離されていることを確認します。
Zombies.pdfにはEicar文字列が含まれています
ステップ9:導入の概要
このページには、成功したFireAMPコネクタと失敗したFireAMPコネクタ、および現在進行中のインストールのリストが表示されます。[Management] > [Deployment Summary] に移動できます。

ステップ10:スレッド検出の検証
Zombies.pdfが検疫イベントをトリガーし、AMPダッシュボードに送信しました。
検疫イベント
追加情報
AMPアカウントを取得するには、ATS Universityにサインアップできます。ここでは、ラボのAMP機能の概要を説明します。
関連情報