FAQ とサポート

この章は、次の項で構成されています。

Cisco Security Cloud Control

Cisco Security Cloud Controlとは

Cisco Security Cloud Control(旧称 Cisco Defense Orchestrator)は、ネットワーク管理者がさまざまなセキュリティデバイス間で一貫したセキュリティポリシーを作成および維持できるクラウドベースのマルチデバイスマネージャです。

Security Cloud Control を使用して、次のデバイスを管理できます。

  • Cisco Secure Firewall ASA

  • Cisco Secure Firewall Threat Defense

  • Cisco Umbrella

  • Meraki

  • Cisco IOS デバイス

  • Amazon Web Services(AWS)インスタンス

  • SSH 接続を使用して管理されるデバイス

Security Cloud Control 管理者は、これらすべてのデバイスタイプを単一のインターフェイスで監視および保守できます。

Security Cloud Control へのデバイスのオンボーディングに関する FAQ

Secure Firewall ASASecurity Cloud Control へのオンボーディングに関する FAQ

資格情報を使用して ASA をオンボードするにはどうすればよいですか?

ASA のオンボーディングは、一度に 1 つずつ、またはまとめて実行できます。デバイスを一度に。高可用性ペアの一部である ASA をオンボーディングする場合は、「Onboard an ASA Device」を使用してペアのプライマリデバイスのみをオンボーディングします。セキュリティコンテキストまたは管理コンテキストをオンボーディングする方法は、他の ASA をオンボーディングする場合と同じです。

一度に複数の ASA をオンボードするにはどうすればよいですか?

CSV ファイルを使用して ASA のリストを作成できます。Security Cloud Control はリスト内のすべての ASA をオンボーディングします。ASA を一括でオンボーディングする方法については、「Onboard ASAs in Bulk」を参照してください。

ASA をオンボーディングした後はどうすればよいですか?

開始するには、『Managing ASA with Cisco Security Cloud Control』[英語] を参照してください。

Security Cloud Control への FDM 管理対象デバイスのオンボーディングに関する FAQ

FDM 管理対象デバイスをオンボーディングするにはどうすればよいですか。

FDM 管理対象デバイスのオンボーディングにはさまざまな方法があります。登録キー方式を使用することが推奨されます。開始するには、「Onboard an FDM-Managed Device」を参照してください。

Secure Firewall Threat Defense の クラウド提供型 Firewall Management Center へのオンボーディングに関する FAQ

Secure Firewall Threat Defense をオンボーディングするにはどうすればよいですか。

CLI 登録キー、ゼロタッチプロビジョニング、またはシリアル番号を使用して、FTD デバイスをオンボードできます。

Secure Firewall Threat Defense のオンボーディング後は何をすればよいですか。

デバイスが同期されたら、[ツールとサービス(Tools & Services)] > [Firewall Management Center] に移動し、[アクション(Actions)]、[管理(Management)]、または [設定(Settings)] ペインからアクションを選択して、クラウド提供型 Firewall Management Center で Threat Defense デバイスの設定を開始します。開始するには「Cloud-delivered Firewall Management Center Application Page」を参照してください。

Secure Firewall Threat Defense のトラブルシューティング方法を教えてください。

Troubleshoot Onboarding your Secure Firewall Threat Defense」を参照してください。

オンプレミスの Secure Firewall Management Center に関する FAQ

オンプレミス Management Center のオンボーディング方法

オンプレミス Management Center を Security Cloud Control にオンボードできます。オンプレミス Management Center をオンボードすると、そのオンプレミス Management Center に登録されているすべてのデバイスもオンボードされます。Security Cloud Control は、オンプレミス Management Center またはオンプレミス Management Center に登録されたデバイスに関連付けられたオブジェクトまたはポリシーの作成や変更をサポートしていません。これらの変更は、オンプレミス Management Center UI で行う必要があります。開始するには、「Onboard an On-Prem Management Center 」を参照してください。

Security Cloud Control への Meraki デバイスのオンボーディングに関する FAQ

Meraki デバイスをオンボーディングするにはどうすればよいですか。

MX デバイスは、Security Cloud Control と Meraki ダッシュボードの両方で管理できます。Security Cloud Control は、設定の変更を Meraki ダッシュボードに展開します。これにより、設定がデバイスに安全に展開されます。開始するには、「Meraki MX デバイスのオンボーディング」を参照してください。

Security Cloud Control への SSH デバイスのオンボーディングに関する FAQ

SSH デバイスをオンボードするにはどうすればよいですか?

SSH デバイスに保存されている、高レベルの権限を持つユーザーのユーザー名とパスワードを使用して、デバイスを Secure Device Connector(SDC)でオンボーディングできます。開始するには、「SSH デバイスのオンボーディング」を参照してください。

デバイスの削除方法

[セキュリティデバイス(Security Devices)] ページからデバイスを削除できます。

Security Cloud Control への IOS デバイスのオンボーディングに関する FAQ

Cisco IOS デバイスをオンボードするにはどうすればよいですか?

Secure Device Connector(SDC)を使用して、Cisco IOS(Internetwork Operating System)を実行しているライブ Cisco デバイスをオンボードできます。開始するには、「Cisco IOS デバイスのオンボーディング」を参照してください。

デバイスの削除方法

[セキュリティデバイス(Security Devices)] ページからデバイスを削除できます。

デバイスタイプ

適応型セキュリティアプライアンス(ASA)とは何ですか。

Cisco ASA は、追加モジュールとの統合サービスに加え、高度なステートフル ファイアウォールおよび VPN コンセントレータ機能を 1 つのデバイスで提供します。ASA は、複数のセキュリティ コンテキスト(仮想ファイアウォールに類似)、クラスタリング(複数のファイアウォールを 1 つのファイアウォールに統合)、トランスペアレント(レイヤ 2)ファイアウォールまたはルーテッド(レイヤ 3)ファイアウォール オペレーション、高度なインスペクション エンジン、IPsec VPN、SSL VPN、クライアントレス SSL VPN サポートなど、多数の高度な機能を含みます。ASA は、仮想マシンまたはサポートされているハードウェアにインストールできます。

ASA モデルとは何ですか。

ASA モデルは、Security Cloud Control にオンボードされた ASA デバイスの実行構成ファイルのコピーです。ASA モデルを使用すると、デバイス自体をオンボードせずに ASA デバイスの設定を分析することができます。

Firepower Threat Defense(FTD)とは何ですか。

シスコの次世代ファイアウォール ソフトウェア イメージです。Sourcefire 次世代ファイアウォールサービスと ASA プラットフォームの長所を組み合わせることを目指しています。さまざまな Firepower ハードウェアデバイスまたは仮想マシンにインストールできます。これは、ASA FirePOWER モジュールとは異なります。詳細については、「ASA ソフトウェアおよびハードウェアサポート」を参照してください。

Firepower Device Manager(FDM)とは何ですか。

Firepower Device Manager は、FTD イメージとともに提供される Firepower Threat Defense 管理ソフトウェアです。FDM は、いっしょに提供される 1 つの FTD を管理するように設計されています。FDM は「ローカルデバイスマネージャ」と呼ばれる場合もあります。

Firepower とは何ですか。

Firepower は、次世代ファイアウォール ハードウェアおよびソフトウェアのグループを指す包括的な用語です。

デバイスが「同期済み(Synced)」であるのは、どのような場合ですか。

Security Cloud Control の設定と、デバイスにローカルに保存されている設定が同じになっているときです。

デバイスが「未同期(Not Synced)」であるのは、どのような場合ですか。

Security Cloud Control に保存されている設定が変更され、デバイスにローカルに保存されている設定と異なっているときです。

デバイスが「競合検出(Conflict Detected)」状態であるのは、どのような場合ですか。

デバイスの設定が Security Cloud Control の外部(アウトオブバンド)で変更され、Security Cloud Control に保存されている設定と異なっているときです。

アウトオブバンド変更とは何ですか。

Security Cloud Control の外部でデバイスに変更が加えられることです。この変更は、CLI コマンドを使用するか、ASDM や FDM などのデバイス上のマネージャを使用して、デバイス上で直接行われたものです。アウトオブバンド変更が行われると、デバイスが [競合検出(Conflict Detected)] 状態であると Security Cloud Control が通知します。

変更をデバイスに展開するとは、どういう意味ですか。

デバイスを Security Cloud Control にオンボードすると、Security Cloud Control はその設定のコピーを保持します。Security Cloud Control に変更を加えると、Security Cloud Control は、デバイスの設定のコピーに変更を加えます。その変更をデバイスに「展開」すると、Security Cloud Control は、加えた変更をデバイスの設定のコピーにコピーします。次のトピックを参照してください。

現在、どの ASA コマンドがサポートされていますか。

すべてのコマンドです。ASA CLI を使用するには、[デバイスアクション(Device Actions)] の [コマンドラインインターフェイス(Command Line Interface)] をクリックしてください。

デバイスの管理に関して規模の制約はありますか。

Security Cloud Control のクラウドアーキテクチャにより、数千台のデバイスにまで規模を拡張できます。

Security Cloud Control は、Cisco サービス統合型ルータおよびアグリゲーション サービス ルータを管理できますか。

Security Cloud Control では ISR および ASR 用のモデルデバイスを作成して、その設定をインポートできます。次に、インポートされた設定に基づいてテンプレートを作成し、その設定を標準の設定としてエクスポートできます。この標準の設定を、ISR および ASR の新規または既存のデバイスに展開して、セキュリティの一貫性を確保できます。

Security Cloud Control は SMA を管理できますか。

いいえ、現時点では、Security Cloud Control は SMA を管理しません。

セキュリティ

Security Cloud Control は安全ですか?

Security Cloud Control は、次の機能を通じて顧客データのエンドツーエンドのセキュリティを実現します。

Security Cloud Control では、ユーザーがクラウドポータルに接続するために多要素認証が必要です。多要素認証は、顧客の ID を保護するために必要な重要な機能です。

すべてのデータは、転送中も保存中も暗号化されます。顧客構内のデバイスと Security Cloud Control からの通信は SSL で暗号化され、顧客テナントのデータボリュームはすべて暗号化されます。

Security Cloud Control のマルチテナント アーキテクチャは、テナントデータを分離し、データベースとアプリケーション サーバー間のトラフィックを暗号化します。Security Cloud Control へのアクセス権が認証されると、ユーザーにトークンが送られます。このトークンは、キー管理サービスからキーを取得するために使用され、このキーはデータベースへのトラフィックを暗号化するために使用されます。

Security Cloud Control はお客様に価値を素早く提供すると同時に、お客様のログイン情報の安全性を確保します。これは、クラウドまたはお客様自身のネットワーク(ロードマップ)に「Secure Data Connector」を展開することによって実現されます。Secure Data Connector は、インバウンドおよびアウトバウンドトラフィックを制御して、クレデンシャルデータが顧客構内から離れることがないようにします。

Security Cloud Control に初めてログインしたときに、「OTP を検証できませんでした(Could not validate your OTP)」というエラーが表示されました。

デスクトップまたはモバイルデバイスの時計がワールドタイムサーバーと同期していることを確認します。時計が 1 分以上ずれていると、誤った OTP が生成される可能性があります。

デバイスは Security Cloud Control クラウドプラットフォームに直接接続されるのですか?

はい。デバイスと Security Cloud Control プラットフォームの間でプロキシとして機能する Security Cloud Control SDC を使用することで、セキュアな接続が実現します。セキュリティを最優先に設計された Security Cloud Control アーキテクチャにより、デバイスとの間を行き来するデータを完全に分離できます。

パブリック IP アドレスを持たないデバイスを接続するにはどうすればよいですか?

ネットワーク内に展開でき、外部ポートを開く必要がない Security Cloud Control Secure Device Connector(SDC)を利用できます。SDC が展開されると、内部(インターネットでルーティングできない)IP アドレスを持つデバイスをオンボードできます。

SDC には追加のコストやライセンスが必要ですか?

番号

トンネルステータスはどのように確認できますか?状態オプション

Security Cloud Control はトンネル接続チェックを 1 時間ごとに自動的に実行しますが、トンネルを選択して接続チェックを要求することで、アドホックの VPN トンネル接続チェックを実行できます。結果の処理には数秒かかる場合があります。

デバイス名とそのピアの片方の IP アドレスに基づいてトンネルを検索できますか?

はい。名前とピア IP アドレスの両方で利用可能なフィルタ機能と検索機能を使用して、特定の VPN トンネルの詳細を検索してピボットします。

トラブルシューティング

Security Cloud Control から管理対象デバイスへのデバイス構成の完全な展開を実行しているときに、「変更をデバイスに展開できません(Cannot deploy changes to device)」という警告が表示されます。解決するにはどうすればよいですか?

完全な構成(Security Cloud Control でサポートされているコマンドを超えて実行された変更)をデバイスに展開するときにエラーが発生した場合は、[変更の確認(Check for changes)] をクリックして、デバイスから使用可能な最新の構成をプルします。これによって問題が解決されたら、Security Cloud Control で引き続き変更を加えて展開することができます。問題が解決しない場合は、[サポートに連絡(Contact Support )] ページから Cisco TAC に連絡してください。

アウトオブバンドの問題(Security Cloud Control の外部で、デバイスに対して直接実行された変更)を解決しているときに、Security Cloud Control に存在する構成をデバイスの構成と比較すると、Security Cloud Control は、私が追加または変更していない追加のメタデータを提示します。どうしてですか。

Security Cloud Control がその機能を拡張すると、デバイスの構成から追加情報が収集され、ポリシーとデバイス管理の分析を改善するために必要なすべてのデータを充実させて維持します。これらは管理対象デバイスで発生した変更ではなく、既存の情報です。[競合が検出されました(Conflict Detected)] の状態の解決は、デバイスからの変更を確認し、発生した変更を確認することで簡単に解決できます。

Security Cloud Control が私の証明書を拒否するのはなぜですか?

新しい証明書の解決」を参照してください。

ゼロ タッチ プロビジョニング で使用される用語および定義

  • 要求(Claimed)Security Cloud Control でシリアル番号のオンボーディングのコンテキストで使用されます。シリアル番号が Security Cloud Control テナントにオンボードされている場合、そのデバイスは「要求」されています。

  • パーク(Parked)Security Cloud Control でシリアル番号のオンボーディングのコンテキストで使用されます。デバイスが Cisco Cloud に接続されていて、Security Cloud Control テナントがそのデバイスのシリアル番号を要求していない場合、そのデバイスは「パーク」されています。

  • 初期プロビジョニング(Initial provisioning):初期 FTD セットアップのコンテキストで使用されます。このフェーズでは、デバイスの EULA を受け入れ、新しいパスワードを作成し、管理 IP アドレス、FQDN、および DNS サーバーを設定し、FDM を使用してデバイスをローカルで管理することを選択します。

  • ゼロ タッチ プロビジョニング:FTD を工場からお客様のサイト(通常は分散拠点)に出荷するプロセスであり、サイトの従業員が FTD をネットワークに接続し、デバイスを Cisco Cloud に接続します。その時点で、シリアル番号がすでに「要求」されている場合、デバイスは Security Cloud Control テナントにオンボードされます。また、FTD は、Security Cloud Control テナントが要求するまで Cisco Cloud に「パーク」されます。

ポリシーの最適化

2 つ以上のアクセスリスト(同じアクセスグループ内)で相互にシャドウイングが発生しているケースを特定するにはどうすればよいですか。

Security Cloud Control のネットワークポリシー管理(NPM)を使用することで、ルールセット内で上位のルールが別のルールをシャドーイングしている場合に、ユーザーを特定して警告することができます。ユーザーは、すべてのネットワークポリシー間を移動するか、フィルタ処理を実行してすべてのシャドー問題を特定できます。


(注)  

Security Cloud Control は、完全にシャドーイングされたルールのみをサポートします。

接続性

Secure Device Connector により IP アドレスが変更されましたが、これは Security Cloud Control 内に反映されませんでした。変更を反映するにはどうすればよいですか。

Security Cloud Control 内で新しい Secure Device Connector(SDC)を取得して更新するには、次のコマンドを使用してコンテナを再起動する必要があります。
 Stop Docker deamon>#service docker stop
Change IP address
Start Docker deamon >#service docker start
Restart container on the SDC virtual appliance >bash-4.2$ ./cdo/toolkit/toolkit.sh restartSDC <tenant-name>

Security Cloud Control がデバイス(FTD または ASA)を管理するために使用する IP アドレスが変更された場合はどうなりますか。

デバイスの IP アドレスが何らかの理由で変更された場合、それが静的 IP アドレスの変更であるか、DHCP による IP アドレスの変更であるかにかかわらず、Security Cloud Control がデバイスへの接続に使用する IP アドレスを変更してSecurity Cloud Control のデバイスの IP アドレスの変更を参照)、デバイスを再接続できますSecurity Cloud Control へのデバイス一括再接続を参照)。デバイスを再接続するときに、デバイスの新しい IP アドレスの入力と、認証の資格情報の再入力を求められます。

ASA を Security Cloud Control に接続するには、どのようなネットワークが必要ですか。

  • ASDM イメージが存在し、ASA に対して有効になっている。

  • 52.25.109.29、52.34.234.2、52.36.70.147 へのパブリック インターフェイス アクセス。

  • ASA の HTTPS ポートは 443、または 1024 以上の値に設定する必要があります。たとえば、ポート 636 に設定することはできません。

  • 管理下の ASA も AnyConnect VPN クライアント接続を受け入れるように設定されている場合は、ASA HTTPS ポートを 1024 以上の値に変更する必要があります。

CLI を使用した Cisco Secure Firewall Threat Defense デバイスの初期設定の実行

デバイスの CLI に接続して初期設定を実行します。これには、セットアップウィザードを使用した管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定などが含まれます。通信のためにすべての DNS およびファイアウォールポートにアクセスできることを確認します。

専用の管理インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。管理インターフェイスを使用しない場合は、代わりに CLI を使用してデータインターフェイスを設定できます。

この構成は、CLI 登録キーを使用してオンボーディングするデバイスに最適です。


(注)  

ゼロタッチプロビジョニング を使用してオンボーディングしているデバイスには、この設定手順を使用しないでください。

手順

ステップ 1

コンソールポートから、または管理インターフェイスへの SSH を使用して、デバイスの CLI に接続します。ネットワーク設定を変更する場合は、切断されないようにコンソールポートを使用することを推奨します。

(Firepower および Cisco Secure Firewall ハードウェアモデル)コンソールポートは FXOS CLI に接続します。SSH セッションは Threat Defense CLI に直接接続します。

ステップ 2

ユーザー名 admin およびパスワード Admin123 でログインします。

(Firepower および Cisco Secure Firewall ハードウェアモデル)コンソールポートで FXOS CLI に接続します。初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の Threat Defense ログインにも使用されます。

(注)  

 

パスワードがすでに変更されていて、パスワードがわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。

Firepower および Cisco Secure Firewall ハードウェアの場合は、Firepower 1000/2100 および Cisco Secure Firewall 3100/4200 と Threat Defense の Cisco FXOS トラブルシューティング ガイド [英語] の「Reimage Procedures」を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 3

(Firepower および Cisco Secure Firewall ハードウェアモデル)コンソールポートで FXOS に接続した場合は、Threat Defense CLI に接続します。

connect ftd

例:


firepower# connect ftd
>

ステップ 4

デバイスに初めてログインすると、エンドユーザーライセンス契約書(EULA)に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、CLI セットアップスクリプトが表示されます。

(注)  

 

設定をクリア(たとえば、イメージを再作成することにより)しないかぎり、CLI セットアップウィザードを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。threat defense のコマンドリファレンスを参照してください。

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

(注)  

 

データインターフェイスで Threat Defense アクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由で回送される管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

次のガイドラインを参照してください。

  • [DHCP経由または手動でIPv4を設定しますか?(Configure IPv4 via DHCP or manually?)]:管理インターフェイスではなくデータインターフェイスを Threat Defense アクセスに使用する場合は、[手動(manual)] を選択します。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。管理インターフェイスが DHCP に設定されている場合、管理用のデータインターフェイスを設定することはできません。これは、data-interfaces である必要があるデフォルトルートが DHCP サーバーから受信したルートで上書きされる可能性があるためです。

  • [管理インターフェイスのIPv4デフォルトゲートウェイを入力(Enter the IPv4 default gateway for the management interface)]:管理インターフェイスの代わりに Threat Defense アクセスにデータインターフェイスを使用する場合は、ゲートウェイを [data-interfaces] に設定します。この設定は、FMC アクセス データ インターフェイスを通じてルーティングできるように、バックプレーンを介して管理トラフィックを転送します。

  • ネットワーク情報が変更された場合は再接続が必要:SSH で接続しているのに、初期セットアップでその IP アドレスを変更すると、接続が切断されます。新しい IP アドレスとパスワードで再接続してください。コンソール接続は影響を受けません。

  • [デバイスをローカルで管理しますか(Manage the device locally?)]:クラウド提供型 Firewall Management Center または Secure Firewall Device Manager のいずれかによって管理されるデバイス用にデバイスを構成する場合は YES と入力します。

    [デバイスをローカルで管理しますか(Manage the device locally?)]:デバイスを オンプレミス Management Center でリモート管理用に設定するには、NO と入力します。

  • [ファイアウォールモードを設定しますか(Configure firewall mode?)]:初期設定でファイアウォールモードを設定することをお勧めします。初期設定後にファイアウォール モードを変更すると、実行コンフィギュレーションが消去されます。データインターフェイス Threat Defense アクセスは、ルーテッド ファイアウォール モードでのみサポートされることに注意してください。

ステップ 5

(任意) Management Center アクセス用のデータインターフェイスを設定します。

configure network management-data-interface

その後、データインターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。

(注)  

 

このコマンドを使用する場合は、コンソールポートを使用する必要があります。管理インターフェイスに SSH を使用すると、接続が切断され、コンソールポートに再接続する必要が生じる場合があります。SSH の詳細な使用方法については、次を参照してください。

このコマンドの使用については、次の詳細を参照してください。詳細については、「データインターフェイスについて」を参照してください。

  • データインターフェイスを管理に使用する場合、元の管理インターフェイスは DHCP を使用できません。初期セットアップ時に IP アドレスを手動で設定しなかった場合は、configure network {ipv4 | ipv6} manual コマンド を使用して設定できるようになりました。管理インターフェイス ゲートウェイを data-interfaces に設定しなかった場合は、この時点でこのコマンドによって設定されます。

  • デバイスを Security Cloud Control を介して 脅威に対する防御 管理用に導入準備すると、Security Cloud Control はインターフェイス構成(インターフェイス名と IP アドレス、ゲートウェイへのスタティックルート、DNS サーバー、DDNS サーバーなどの設定を含む)を検出して維持します。DNS サーバー設定の詳細については、次を参照してください。後でアクセスインターフェイス構成を変更できますが、デバイスまたは Security Cloud Control が管理接続の再確立を妨げるような変更を加えないようにしてください。管理接続が中断された場合、デバイスには以前の展開を復元する configure policy rollback コマンドが含まれます。

  • このコマンドは、「データ」インターフェイス DNS サーバーを設定します。セットアップスクリプトで(または configure network dns servers コマンドを使用して)設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS(設定されている場合)またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。

    また、ローカル DNS サーバーは、その DNS サーバーが初期登録で検出された場合にのみ保持されます。たとえば、管理インターフェイスを使用してデバイスを登録し、後で configure network management-data-interface コマンドを使用してデータインターフェイスを設定した場合、デバイス構成と一致するように、DNSサーバーを含むこれらの設定すべてを Security Cloud Control で手動で設定する必要があります。

  • 管理インターフェイスは、脅威防御を介して Threat Defense 脅威に対する防御 管理用に導入準備した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

  • セットアップウィザードで設定した FQDN がこのインターフェイスに使用されます。

  • コマンドの一部としてデバイス設定全体をクリアできます。このオプションはリカバリシナリオで使用できますが、初期セットアップや通常の操作には使用しないでください。

  • データ管理を無効にするには、configure network management-data-interface disable コマンドを入力します。

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://jcrichton:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow FMC access from any network, if you wish to change the FMC access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow FMC access from any network, if you wish to change the FMC access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 6

(任意) 特定のネットワーク上の Security Cloud Control へのデータ インターフェイス アクセスを制限します。

configure network management-data-interface client ip_address netmask

デフォルトでは、すべてのネットワークが許可されます。

データインターフェイスについて

デバイスとの通信には、専用の管理インターフェイス、または通常のデータインターフェイスを使用できます。データインターフェイスでの Security Cloud Control アクセスは、外部インターフェイスからリモートで FTD を管理する場合、または別の管理ネットワークがない場合に便利です。Security Cloud Control は、データインターフェイスからリモートで管理される FTD での高可用性をサポートします。

データインターフェイスからの FTD 管理アクセスには、次の制限があります。

  • マネージャアクセスを有効にできるのは、1 つの物理的なデータインターフェイスのみです。サブインターフェイスと EtherChannel は使用できません。

  • ルーテッドインターフェイスを使用するルーテッドファイアウォールモードのみです。

  • PPPoE はサポートされていません。ISP で PPPoE が必要な場合は、PPPoE をサポートするルータを FTD と WAN モデムの間に配置する必要があります。

  • インターフェイスを配置する必要があるのはグローバル VRF のみです。

  • データインターフェイスでは SSH がデフォルトで有効になっていないため、後で Security Cloud Control を使用して SSH を有効にする必要があります。また、管理インターフェイス ゲートウェイがデータインターフェイスに変更されるため、configure network static-routes コマンドを使用して管理インターフェイス用の静的ルートを追加しない限り、リモートネットワークから管理インターフェイスに SSH 接続することはできません。

Security Cloud Control による個人情報の処理方法

Security Cloud Control が個人を特定できる情報を処理する方法については、『Cisco Security Cloud Control Privacy Data Sheet』[英語] を参照してください。

Security Cloud Control サポートへの問い合わせ

この章は、次のセクションで構成されています。

ワークフローのエクスポート

サポートチケットを開く前に、問題が発生しているデバイスのワークフローをエクスポートすることを強くお勧めします。この追加情報は、サポートチームがトラブルシューティング作業を迅速に特定して修正するのに役立ちます。

ワークフローをエクスポートするには、次の手順を使用します。

手順

ステップ 1

左側のペインで セキュリティデバイス をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックし、トラブルシューティングが必要なデバイスを選択します。

フィルタまたは検索バーを使用して、トラブルシューティングが必要なデバイスを見つけます。デバイスを選択して強調表示します。

ステップ 4

[デバイスアクション(Device Actions)] ペインで、[ワークフロー(Workflows)] を選択します。

ステップ 5

ページ右上のイベントテーブルの上にある [エクスポート(Export)] ボタンをクリックします。ファイルは、.json ファイルとしてローカルに自動的に保存されます。このファイルを、TAC で開いた電子メールまたはチケットに添付します。

TAC でサポートチケットを開く

30 日間のトライアルか、ライセンス取得済み Security Cloud Control アカウントを使用しているお客様は、シスコのテクニカル アシスタンス センター(TAC)でサポートチケットを開くことができます。

Security Cloud Control のお客様が TAC でサポートチケットを開く方法

このセクションでは、ライセンス取得済み Security Cloud Control テナントを使用しているお客様が、シスコのテクニカル アシスタンス センター(TAC)でサポートチケットを開く方法について説明します。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

テナント名の横にある [ヘルプ(help)] ボタンをクリックし、[サポートに連絡(Contact Support)] を選択します。

ステップ 3

[サポートケースマネージャ(Support Case Manager)] をクリックします。

ステップ 4

青色の [新しいケースを開く(Open New Case)] ボタンをクリックします。

ステップ 5

[ケースをオープン(Open Case)] をクリックします。

ステップ 6

[製品およびサービス(Products and Services)] を選択し、[ケースを開く(Open Case)] をクリックします。

ステップ 7

[リクエストタイプ(Request Type)] を選択します。

ステップ 8

[サービス契約による製品の検索(Find Product by Service Agreement)] 行を展開します。

ステップ 9

すべてのフィールドに入力します。多くのフィールドは明らかで説明するまでもありませんが、追加の情報を以下に記載します。

  • [製品名(PID)(Product Name (PID))]:この番号がわからない場合は、『Cisco Security Cloud Control Data Sheet』を参照してください。

  • [製品の説明(Product Description)]:PID の説明です。

  • [サイト名(Site Name)]:サイト名を入力します。シスコパートナーがお客様に代わってケースを開いている場合は、お客様の名前を入力します。

  • [サービス契約(Service Contract)]:サービス契約番号を入力します。

    • 重要:ケースを Cisco.com アカウントに関連付けるには、契約番号を Cisco.com プロファイルに関連付ける必要があります。契約番号を Cisco.com プロファイルに関連付けるには、次の手順を実行します。

      1. Cisco Profile Manager を開きます。

      2. [アクセス管理(Access Management)] タブをクリックします。

      3. [アクセス権の追加(Add Access)] をクリックします。

      4. [Cisco.comのTACおよびRMAケース作成、ソフトウェアダウンロード、サポートツール、および権限付きコンテンツ(TAC and RMA case creation, Software Download, support tools, and entitled content on Cisco.com)] を選択し、[実行(Go)] をクリックします。

      5. 指定されたスペースにサービス契約番号を入力し、[送信(Submit)] をクリックします。サービス契約の関連付けが完了したことが電子メールで通知されます。サービス契約の関連付けは、完了までに最長 6 時間かかる場合があります。

重要

 

重要:以下のリンクのいずれにもアクセスできない場合は、シスコ認定のパートナーや再販業者、シスコのアカウント担当者、または社内でシスコサービスの契約情報を管理する担当者にお問い合わせください。

ステップ 10

[次へ(Next)] をクリックします。

ステップ 11

[問題の説明(Describe Problem)] 画面を下にスクロールして [テクノロジーを手動で選択(Manually select a Technology)] をクリックし、検索フィールドに Security Cloud Control と入力します。

ステップ 12

リクエストに最も一致するカテゴリを選択し、[選択(Select)] をクリックします。

ステップ 13

サービスリクエストの残りの部分をすべて入力し、[送信(Submit)] をクリックします。

Security Cloud Control のトライアルのお客様が TAC でサポートチケットを開く方法

このセクションでは、無料トライアルの Security Cloud Control テナントを使用しているお客様が、シスコのテクニカル アシスタンス センター(TAC)でサポートチケットを開く方法について説明します。

手順

ステップ 1

Security Cloud Control にログインします。

ステップ 2

テナント名とアカウント名の横にある [ヘルプ(help)] ボタンをクリックし、[サポートに連絡(Contact Support)] を選択します。

ステップ 3

[問題またはリクエストを下に入力(Enter Issue or request below)] フィールドで、直面している問題またはリクエストを指定し、[送信(Submit)] をクリックします。

リクエストと技術情報がサポートチームに送信され、テクニカル サポート エンジニアが質問に回答します。

Security Cloud Control サービスステータスページ

Security Cloud Control は顧客向けのサービスステータスページを維持しており、このページには、Security Cloud Control サービスが稼働しているかどうかと、サービスの中断があったかどうかが表示されます。稼働時間情報を日次、週次、または月次のグラフで表示できます。

Security Cloud Control の任意のページのヘルプメニューで [CDOステータス(Security Cloud Control Status)] をクリックすると、Security Cloud Control ステータスページにアクセスできます。

ステータスページで、[更新の登録(Subscribe to Updates)] をクリックして、Security Cloud Control サービスがダウンした場合に通知を受け取ることができます。