Cisco Security Cloud Control（旧称 Cisco Defense Orchestrator）では、シンプルな管理インターフェイスと Secure Firewall Device Manager デバイスへのクラウドアクセスが提供されます。FDM による管理 の管理者にとって、デバイスインターフェイスと Security Cloud Control インターフェイスの間には多くの類似点があります。私たちは、マネージャ間で可能な限り一貫性を保つという考えで Security Cloud Control を構築しました。

Security Cloud Control を使用して、物理または仮想 FDM による管理 デバイスの次の側面を管理します。

• FDM 管理対象デバイスの導入準備

• デバイス管理

• デバイスのアップグレード

• ASA から FTD への移行

• インターフェイス管理

• ルーティング

• ハイ アベイラビリティ

• セキュリティ ポリシー

• ポリシーと構成の一貫性を促進する

• サイト間 VPN

• Remote Access VPN

• ネットワークのモニタリング

• シスコのセキュリティ分析とロギング

ソフトウェアおよびハードウェアのサポート

Security Cloud Control はバージョン 6.4 以降をサポートしており、さまざまなデバイスまたは仮想マシンにインストールできます。詳細については、「FDM による管理 サポートの詳細」を参照してください。

スマート ライセンスの管理

Cisco スマートライセンスを使用して、デバイスを Security Cloud Control にオンボーディング中、またはオンボーディングした後に FDM による管理 デバイスにライセンスを付与できます。スマートライセンスはワークフローに組み込まれており、Security Cloud Control インターフェイスから簡単にアクセスできます。詳細については、「スマートライセンスの適用または更新」を参照してください。

（注）

オンボードするデバイスがソフトウェアバージョン 6.4 または 6.5 を実行しており、すでにスマートライセンスが付与されている場合、デバイスは Cisco Smart Software Manager に登録されている可能性があります。登録キーを使用してデバイスを Security Cloud Control にオンボードする前に、Cisco Smart Software Manager からデバイスの登録を解除する必要があります。登録を解除すると、仮想アカウントでデバイスに関連付けられている ライセンスとすべてのオプションライセンスが解放されます。 オンボードするデバイスがソフトウェアバージョン 6.6 以降を実行しており、すでに Cisco Cloud に登録されている場合は、登録キーを使用してデバイスを Security Cloud Control にオンボードする前に、Cisco Cloud サービスからデバイスを登録解除する必要があります。

Security Cloud Control ユーザーインターフェイス

Security Cloud Control GUI および CLI インターフェイス

Security Cloud Control は、グラフィック ユーザー インターフェイス（GUI）とコマンド ライン インターフェイス（CLI）の両方を提供する Web ベースの管理製品で、デバイスを 1 つずつまたは一括で管理できます。

CLI インターフェイスを使用すると、Security Cloud Control から直接 FDM による管理 デバイスにコマンドを送信できます。CLI マクロを使用して、よく使用されるコマンドを保存して実行します。詳細については、「コマンド ライン インターフェイスのドキュメント」および Security Cloud Control コマンドライン インターフェイス を参照してください。

API サポート

Security Cloud Control は、デバイスの REST API を使用して FDM による管理 デバイスで高度なアクションを実行できる API ツールのインターフェイスを提供します。さらに、このインターフェイスは次の機能を提供します。

• 実行済みの API コマンドの履歴を記録します。

• 再利用できるシステム定義の API マクロを提供します。

• 標準 API マクロを使用して、すでに実行したコマンドから、または別のユーザー定義マクロからユーザー定義 API マクロを作成できます。

API ツールの詳細については、API ツールを使用するを参照してください。

FDM による管理 デバイスの導入準備

FDM 管理対象デバイスをオンボードする前に、一般的なデバイス要件とオンボーディングの前提条件を確認してください。

登録トークンを使用して FDM による管理 デバイスをオンボードするのがベストプラクティスです。詳細については、「登録キーを使用したソフトウェアバージョン 6.6 以降を実行する FDM 管理対象デバイスの導入準備」を参照してください。

次の追加の方法を使用して、FDM による管理 デバイスを Security Cloud Control にオンボードすることもできます。

• ユーザー名、パスワード、IP アドレスを使用した FDM による管理 デバイスの導入準備

• デバイスのシリアル番号を使用した構成済み FDM 管理対象デバイスの導入準備

• FDM による管理を使用した ゼロ タッチ プロビジョニング デバイスの導入準備ワークフローと前提条件

デバイス管理

Security Cloud Control を使用してソフトウェアをアップグレードし、ハイアベイラビリティを設定し、FDM による管理 デバイスのデバイス設定とネットワークリソースの設定を行います。

• システム設定：FDM による管理 デバイスのライセンスを取得してオンボーディングすると、FDM による管理 デバイス設定を Security Cloud Control から完全に管理できるようになります。管理アクセスプロトコル、ログ設定、DHCP および DNS サーバーの相互作用、デバイスのホスト名、使用するタイムサーバー、および URL フィルタリング設定を構成できます。

• FTD セキュリティデータベースの更新：必要に応じてデバイスをチェックして更新する定期的なタスクを実行して、デバイスを最新の状態に保ち、最新のセキュリティデータベースの更新に対応します。

• ハイアベイラビリティ：FDM による管理 ハイアベイラビリティページで HA の設定と操作を管理します。

デバイスのアップグレード

次のいずれかの方法を使用して、FDM による管理 デバイスへの即時アップグレードを実行するか、スケジュールを設定します。

• 単一 FDM による管理 デバイスのアップグレード。

• 複数の FDM による管理 デバイスのアップグレード。

• FDM による管理 HA ペアのアップグレード。

ASA から 脅威防御 への移行

Security Cloud Control を使用すると、適応型セキュリティアプライアンス（ASA）を FDM による管理 デバイスに移行できます。Security Cloud Control には、ASA の実行構成の次の要素を Firewall Device Manager テンプレートに移行するためのウィザードが用意されています。

この移行は、次の要素でサポートされています。

• アクセス制御ルール（ACL）

• インターフェイス

• ネットワークアドレス変換（NAT）ルール

• ネットワークオブジェクトとネットワーク グループ オブジェクト

• ルート

• サービスオブジェクトとサービス グループ オブジェクト

• サイト間 VPN

詳細については、「FDM テンプレートへの ASA 設定の移行」を参照してください。

インターフェイス管理

Security Cloud Control を使用して、FDM による管理 デバイスのデータインターフェイスまたは管理/診断インターフェイスを設定および編集できます。

ルーティング

ルーティングは、送信元から宛先にネットワーク経由で情報を移動する行為のことです。ルーティングには、最適なルーティング パスの決定と、ネットワーク経由のパケットの転送という 2 つの基本的なアクティビティが含まれます。Security Cloud Control を使用して、ルーティングの次の側面を構成します。

• スタティックルートおよびデフォルトルートの設定。Security Cloud Control を使用すると、FDM による管理 デバイスのデフォルトルートおよびその他のスタティックルートを定義できます。

• ブリッジグループのサポート。ブリッジ グループは 1 つ以上のインターフェイスをグループ化する仮想インターフェイスです。インターフェイスをグループ化する主な理由は、スイッチド インターフェイスのグループを作成することにあります。Security Cloud Control を使用すると、デバイスのブリッジグループを設定および編集できます。

• NAT（ネットワーク アドレス変換）。NAT ルールは、内部（プライベート）ネットワークからインターネットへのトラフィックのルーティングに役立ちます。NAT ルールは、内部 IP アドレスをネットワークの外部から隠蔽することにより、セキュリティの役割も果たします。Security Cloud Control を使用して、デバイスの NAT ルールを作成および編集できます。詳細については、ネットワーク アドレス変換を参照してください。

セキュリティ ポリシー

セキュリティポリシーは、ネットワークトラフィックが目的の宛先に到達できるようにする、または到達できないようにすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、デバイスのセキュリティポリシーのすべてのコンポーネントを管理します。

• ルールをコピーして貼り付けます。ポリシー間でルールをコピーして貼り付けることで、ポリシー同士でルールを簡単に共有できます。詳細については、「FDM アクセスコントロールルールのコピー」を参照してください。

• SSL 復号ポリシー。HTTPS など一部のプロトコルは、セキュア ソケット レイヤ（SSL）またはその後継バージョンである Transport Layer Security（TLS）を使用して、セキュアな転送のためにトラフィックを暗号化します。システムでは暗号化された接続を検査できないため、アクセス判断のために上位層のトラフィック特性を考慮したアクセスルールを適用する場合は、SSL 復号ポリシーを適用して暗号化された接続を復号する必要があります。詳細については、「FDM による管理デバイスの SSL 復号ポリシー」を参照してください。

• ID ポリシー。ID ポリシーを使用して、接続からユーザーアイデンティティ情報を収集できます。その後で、ダッシュボードにユーザー アイデンティティに基づく使用状況を表示し、ユーザーまたはユーザー グループに基づくアクセス コントロールを設定できます。

• セキュリティ インテリジェンス ポリシー。セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、トラフィックをアクセス コントロール ポリシーで評価する前にドロップすることにより、使用されるシステムリソースの量を減らします。

• アクセス コントロール ポリシー。アクセス コントロール ポリシーでは、アクセスコントロールルールを基準にネットワークトラフィックを評価することで、ネットワークリソースへのアクセスを制御します。Secure Firewall Device Manager は、アクセスコントロールルールの基準を、アクセス コントロール ポリシーに表示される順番でネットワークトラフィックと比較します。アクセスコントロールルールのすべてのトラフィック条件が一致すると、Secure Firewall Device Manager はルールで定義されたアクションを実行します。Security Cloud Control を使用して、アクセス コントロール ポリシーのすべての側面を設定できます。

• TLS 1.3 セキュリティアイデンティティ検出。バージョン 6.7 以降に導入されているこの機能を使用すると、TLS 1.3 で暗号化されたトラフィックで URL フィルタリングとアプリケーション制御を実行できます。詳細については、「TLS Server Identity Discovery in Firepower Threat Defense」を参照してください。

• 侵入ポリシー。Firepower システムには複数の侵入ポリシーが付属しています。これらのポリシーは、侵入ルールとプリプロセッサ ルールの状態を設定し、詳細設定を構成する Cisco Talos Security Intelligence and Research Group によって設計されています。侵入ポリシーはアクセスコントロールルールの一部の要素です。詳細については、「FDM アクセスコントロールルールの侵入ポリシーの設定」を参照してください。

  （注）	Snort 3 は、バージョン 6.7 以降を実行している FDM による管理 デバイスで使用できます。Snort 2 と Snort 3 は自由に切り替えることができますが、互換性がない設定のリスクがあることに注意してください。Snort 3、サポートされているデバイスとソフトウェア、および制限の詳細については、「Snort 3.0 へのアップグレード」を参照してください。

• 脅威イベント。脅威イベントは、Cisco Talos の侵入ポリシーの 1 つに一致した後にドロップされた、またはアラートを生成したトラフィックのレポートです。ほとんどの場合、IPS ルールを調整する必要はありません。必要な場合、一致するルールのアクションを Security Cloud Control で変更することで、イベントの処理方法を上書きするオプションがあります。Security Cloud Control は、バージョン 6.4 および 6.6.1 のすべてのバージョンで IPS ルール調整をサポートしています。Security Cloud Control は、バージョン 6.5、6.6.1 以外の 6.6 バージョン、または 6.7 バージョンでの IPS ルール調整をサポートしていません。

• NAT（ネットワーク アドレス変換）。NAT ルールは、内部（プライベート）ネットワークからインターネットへのトラフィックのルーティングに役立ちます。NAT ルールは、内部 IP アドレスをネットワークの外部から隠蔽することにより、セキュリティの役割も果たします。Security Cloud Control を使用して、Firepower Threat Defense 用の NAT ルールを作成および編集できます。

ポリシーと構成の一貫性を促進する

オブジェクト管理（Object Management）

オブジェクトは、1 つ以上のセキュリティポリシーで使用できる情報のコンテナです。オブジェクトを使用するとポリシーの一貫性を簡単に維持できます。これは、オブジェクトを変更すると、そのオブジェクトを使用する他のすべてのポリシーに影響を与えるためです。オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

Security Cloud Control を使用して、次のオブジェクトタイプを作成および管理します。

• Active Directory レルム

• AnyConnect クライアント プロファイル

• アプリケーション フィルタ

• 証明書

• DNS Group

• 位置情報（GeoLocation）

• ID ソース

• IKEv1 ポリシー

• IKEv1 IPSec プロポーザル

• IKEv2 ポリシー

• IKEv2 IPSec プロポーザル

• ネットワーク（Network）

• RA VPN グループポリシー

• セキュリティゾーン

• サービス

• セキュリティグループタグ

• Syslog サーバー

• URL

オブジェクトの問題を解決する

Security Cloud Control は、複数のデバイスで使用されるオブジェクトを「共有オブジェクト」と呼び、オブジェクトページでこのバッジ でそれらを識別します。共有オブジェクトは、ある「問題」を発生させて、複数のポリシーやデバイス間で完全には共有できなくなる場合があります。Security Cloud Control を使用すると、重複オブジェクトの問題の解決、未使用オブジェクトの問題の解決、および不整合オブジェクトの問題の解決が容易になり、デバイスとオブジェクトのリポジトリを管理できます。

テンプレート

Secure Firewall Device Manager テンプレートは、オンボードされた FDM による管理 デバイスの設定の完全なコピーです。その後、そのテンプレートを変更し、それを使用して管理対象の他の FDM による管理 デバイスを設定できます。Secure Firewall Device Manager テンプレートを使用すると、デバイス間でポリシーの一貫性が高まります。詳細については、「FDM テンプレート」を参照してください。

高可用性

Security Cloud Control を使用すると、FDM 管理対象デバイスの高可用性ペアを簡単に設定および管理できます。既存の HA ペアをオンボードするか、Security Cloud Control で HA ペアを作成できます。HA 構成により、アップグレード期間中や予期しないデバイス障害など、デバイスが使用できないシナリオでも安全なネットワークを維持することができます。フェールオーバーモードでは、スタンバイデバイスはすでにアクティブになるように構成されています。つまり、HA デバイスの 1 つが使用できなくなっても、もう一方のデバイスはトラフィックの処理を続行します。

Security Cloud Control で FDM による管理 HA ペアをアップグレードできます。詳細については、「FDM による管理 ハイアベイラビリティペアのアップグレード」を参照してください。

バーチャル プライベート ネットワークの設定

サイト間 VPN

仮想プライベートネットワーク（VPN）は、非セキュアなネットワークでプライベートデータを相互に安全に送信する複数のリモートピアで構成され、ネットワーク間を接続するものです。Security Cloud Control は、トンネルを使用してデータパケットを通常の IP パケット内にカプセル化し、IP ベースのネットワークを経由して転送します。暗号化を使用してプライバシーを確保し、認証を使用してデータの整合性を確保します。詳細については、「サイト間 VPN」を参照してください。

仮想プライベートネットワークの詳細は、『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』を参照してください。

リモート アクセス VPN

リモートアクセス（RA）VPN を使用すると、サポートされているラップトップ、デスクトップ、およびモバイルデバイスを使用して、個人がネットワークへの安全な接続を確立できます。Security Cloud Control は FDM による管理 デバイスで RA VPN を直感的に設定できるユーザーインターフェイスを提供します。AnyConnect はエンドポイントデバイスでサポートされている唯一のクライアントで、FDM による管理 デバイスへの RA VPN 接続が可能です。

Security Cloud Control は、FDM による管理 デバイスでの RA VPN 機能の次の側面をサポートします。

• プライバシー、認証、およびデータ整合性のための Transport Layer Security（TLS）または Datagram Transport Layer Security（DTLS）

• SSL クライアントベースのリモートアクセス

• IPv4 および IPv6 のアドレッシング

• 複数の FDM による管理 デバイス間での共有 RA VPN 設定

詳細については、「RA VPN」を参照してください。仮想プライベートネットワークの詳細は、『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』を参照してください。

ネットワークのモニタリング

Security Cloud Control は、セキュリティポリシーの影響をまとめたレポートと、そのセキュリティポリシーによってトリガーされる重要なイベントを表示する方法を提供します。Security Cloud Control は、デバイスへの変更をログに記録し、その変更にラベルを付ける方法も提供します。これにより、Security Cloud Control での作業をヘルプチケットなどの操作要求に関連付けできます。

[エグゼクティブサマリー（Executive Summary）] レポート

エグゼクティブ サマリー レポートには、暗号化されたトラフィック、傍受された脅威、検出された Web カテゴリなどの運用統計のコレクションが表示されます。レポートのデータは、ネットワークトラフィックが FDM による管理 デバイスでアクセスルールまたはポリシーをトリガーしたときに生成されます。デバイスがレポートに反映されるイベントを生成できるように、マルウェア、ライセンスと、アクセスルールのファイルロギングを有効にすることをお勧めします。

レポートに記載される内容と、それを使用してネットワーク インフラストラクチャを改善する方法の詳細については、「FDM による管理デバイスのエグゼクティブ サマリー レポート」を参照してください。レポートを作成および管理するには、「レポートの管理」を参照してください。

Cisco Security Analytics and Logging

Cisco Security Analytics and Logging を使用すると、すべての FDM による管理 デバイスからの接続、侵入、ファイル、マルウェア、セキュリティ インテリジェンスのイベントをキャプチャし、Security Cloud Control の 1 か所で表示できます。

イベントは Cisco Cloud に保存され、Security Cloud Control の [イベントロギング（Event Logging）] ページから表示できます。イベントをフィルタリングして確認し、ネットワークでトリガーされているセキュリティルールを明確に理解できます。それらの機能は、Logging and Troubleshooting パッケージで提供されます。

Firewall Analytics and Monitoring パッケージを使用すると、システムは Cisco Secure Cloud Analytics 動的エンティティモデリングを FDM による管理 デバイスイベントに適用し、動作モデリング分析を使用して Cisco Secure Cloud Analytics の観測値とアラートを生成できます。Total Network Analytics and Monitoring パッケージを使用すると、システムは FDM による管理 デバイスイベントとネットワークトラフィックの両方に動的エンティティモデリングを適用し、観測値とアラートを生成します。Cisco Single Sign-On を使用して、プロビジョニングされた Cisco Secure Cloud Analytics ポータルを Security Cloud Control からクロス起動できます。詳細については、「Cisco Security Analytics and Logging」を参照してください。

ログの変更

Security Cloud Control での変更ログの管理 は、Security Cloud Control で行われた設定変更を継続的にキャプチャします。この単一のビューには、サポートされているすべてのデバイスとサービスにわたる変更が含まれます。変更ログの機能の一部を次に示します。

• デバイス構成に加えられた変更の対照比較

• すべての変更ログエントリの平易な英語のラベル。

• デバイスのオンボーディングと削除を記録します。

• Security Cloud Control の外部で発生するポリシー変更の競合の検出。

• インシデントの調査またはトラブルシューティング中に、誰が、何を、いつを回答。

• 完全な変更ログまたは一部のみを CSV ファイルとしてダウンロード可能。

変更要求管理

変更要求管理により、サードパーティのチケットシステムで開かれた変更要求とそのビジネス上の正当性を、変更ログのイベントに関連付けることができます。変更要求管理を使用して、Security Cloud Control で変更要求を作成し、作成した変更要求を一意の名前で識別し、変更の説明を入力して、変更要求を変更ログイベントに関連付けます。後で変更要求名を変更ログで検索できます。