Cisco Secure Firewall 1200 が導入されました。これには、次のモデルが含まれます。

• Cisco Secure Firewall 1210CX（1000BASE-T ポート X 8）

• Cisco Secure Firewall 1210CP（1000BASE-T ポート X 8）。ポート 1/5 ～ 1/8 は、Power on Ethernet（PoE）をサポートします。

• Cisco Secure Firewall 1220CX（1000BASE-T ポート X 8、SFP+ ポート X 2）。

Cisco Secure Firewall CSF-1210CE、CSF-1210CP、および CSF-1220CX Hardware Installation Guideを参照してください。

デバイステンプレートを使用すると、事前にプロビジョニングされた初期デバイス設定（ゼロタッチプロビジョニング）を使用して、複数のブランチデバイスを展開できます。また、インターフェイス設定が異なる複数のデバイスに設定変更を適用し、既存のデバイスから設定パラメータを複製することもできます。

制約事項：デバイステンプレートを使用して、デバイスをサイト間 VPN トポロジのスポークとして設定できますが、ハブとして設定することはできません。デバイスは、複数のハブアンドスポークサイト間 VPN トポロジの一部にすることができます。

新規/変更された画面：[デバイス（Devices）] > [テンプレート管理（Template Management）]

サポートされるプラットフォーム：Firepower 1000/2100、Cisco Secure Firewall 1200/3100。Firepower 2100 のサポートは Threat Defense 7.4.1 ～ 7.4.x のみであることに注意してください。これらのデバイスはバージョン 7.6.0 を実行できません。

デバイスの認証、許可、およびアカウンティング（AAA）は、ユーザー定義の Virtual Routing and Forwarding（VRF）インターフェイスでサポートされるようになりました。デフォルトでは管理インターフェイスを使用します。

デバイスプラットフォームの設定で、VRF インターフェイスを持つセキュリティゾーンまたはインターフェイスグループを、設定済みの外部認証サーバーに関連付けることができるようになりました。

新規/変更された画面：[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [外部認証（External Authentication）]

参照：プラットフォームの外部認証用の仮想ルータ認識インターフェイスの有効化

ポリシーアナライザとオプティマイザは、冗長ルールやシャドウルールなどの異常に対するアクセス コントロール ポリシーを評価し、検出された異常を修正するアクションを実行できます。

Cisco Secure Firewall 4200 でマルチインスタンスモードがサポートされるようになりました。

参照：Cisco Secure Firewall 3100/4200 のマルチインスタンスモード

アプリケーションモードのデバイスを Management Center に登録し、CLI を使用せずにマルチインスタンスモードに変換できるようになりました。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > > [マルチインスタンスに変換（Convert to Multi-Instance）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [一括アクションの選択（Select Bulk Action）] > [マルチインスタンスに変換（Convert to Multi-Instance）]

Cisco Secure Firewall 3100 および 4200 では、最大ノード数が 8 から 16 に増加しました。

参照：Cisco Secure Firewall 3100/4200 のクラスタリング

個別インターフェイスは通常のルーテッドインターフェイスであり、それぞれが専用のルーティング用ローカル IP アドレスを持ちます。各インターフェイスのメインクラスタ IP アドレスは、固定アドレスであり、常に制御ノードに属します。制御ノードが変更されると、メインクラスタ IP アドレスは新しい制御ノードに移動するので、クラスタの管理をシームレスに続行できます。アップストリームスイッチ上でロードバランシングを別途する必要があります。

制限事項：コンテナインスタンスではサポートされていません。

新規/変更された画面：

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタの追加（Add Cluster）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] > [インターフェイス/EIGRP/OSPF/OSPFv3/BGP（Interfaces / EIGRP / OSPF / OSPFv3 / BGP）]

• [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [アドレスプール（Address Pools）] > [MACアドレスプール（MAC Address Pool）]

参照：Cisco Secure Firewall 3100/4200 のクラスタリングおよびアドレスプール

AWS リージョン内の複数の可用性ゾーンに Threat Defense Virtual クラスタを展開できるようになりました。これにより、ディザスタリカバリ中に継続的なトラフィック検査と動的拡張（AWS 自動拡張）が可能になります。

AWS への Threat Defense Virtual クラスタの展開を参照してください。

GWLB を使用して、AWS の Threat Defense Virtual をツーアームモードで展開できるようになりました。これにより、ネットワークアドレス変換（NAT）を実行しながら、トラフィック インスペクション後にインターネットに向かうトラフィックを直接転送できます。ツーアームモードは、シングルおよびマルチ VPC 環境でサポートされます。

制限事項：クラスタリングではサポートされていません。

Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

Azure と GCP の Threat Defense Virtual で診断インターフェイスを使用しないで展開できるようになりました。以前は、1 つの管理インターフェイス、1 つの診断インターフェイス、および少なくとも 2 つのデータインターフェイスが必要でした。新しいインターフェイスの要件：

• Azure：管理 1、データ 2（最大 8）

• GCP：管理 1、データ 3（最大 8）

制約事項：この機能は、新規展開でのみサポートされます。アップグレードされたデバイスではサポートされていません。

参照： Cisco Secure Firewall Threat Defense Virtual スタートアップガイド

新しいウィザードを使用すると、中央の本社とリモートのブランチサイト間の VPN トンネルを簡単に設定できます。

新規/変更された画面：[デバイス（Devices）] > [VPN] > [サイト間（Site To Site）] > [追加（Add）] > [SD-WAN トポロジ（SD-WAN Topology）]

参照：SD-WAN ウィザードを使用した SD-WAN トポロジの設定

QUIC プロトコルで実行されているセッションに適用する復号ポリシーを設定できます。QUIC 復号はデフォルトで無効になっています。復号ポリシーごとに QUIC 復号を選択的に有効にし、QUIC トラフィックに適用する復号ルールを作成できます。QUIC 接続を復号することで、システムは侵入、マルウェア、またはその他の問題について接続を検査できます。また、アクセス コントロール ポリシーの特定の基準に基づいて、復号された QUIC 接続のきめ細かい制御とフィルタリングを適用することもできます。

復号ポリシーの [詳細設定（Advanced Settings）] が変更され、QUIC 復号を有効にするオプションが含まれるようになりました。

参照：復号ポリシーの詳細オプション

新しい Snort 3 インスペクタ snort_ml は、ニューラル ネットワーク ベースの機械学習（ML）を使用して既知の攻撃と 0-day 攻撃を検出します。複数のプリセットルールは必要ありません。インスペクタは HTTP イベントにサブスクライブし、HTTP URI を検出します。検出された HTTP URI は、エクスプロイト（現在は SQL インジェクションに限定されています）を検出するためにニューラルネットワークによって使用されます。新しいインスペクタは現在、最大検出を除くすべてのデフォルトポリシーで無効になっています。

新しい侵入ルール GID:411 SID:1 は、snort_ml が攻撃を検出するとイベントを生成します。このルールも現在、最大検出を除くすべてのデフォルトポリシーで無効になっています。

Snort 3 インスペクタリファレンスを参照してください。

アップグレードの影響。アップグレードすると、テレメトリが有効になります。

脅威ハンティングテレメトリを有効にすることで、Talos（シスコの脅威インテリジェンスチーム）が脅威の状況をより包括的に理解する助けになります。この機能により、特別な侵入ルールからのイベントが Talos に送信され、攻撃分析、インテリジェンス収集、およびより優れた保護戦略の策定に役立ちます。この設定は、新規およびアップグレードされた展開ではデフォルトで有効になっています。

新規/変更された画面：[システム（System）]（） > [設定（Configuration）] > [侵入ポリシー設定（Intrusion Policy Preferences）] > [Talos脅威ハンティングテレメトリ（Talos Threat Hunting Telemetry）]

参照：侵入ポリシーの設定

この機能が導入されます。

パッシブ ID エージェントのアイデンティティソースは、Microsoft Active Directory（AD）から Management Center にセッションデータを送信します。パッシブ ID エージェントソフトウェアは、以下でサポートされています。

• Microsoft AD サーバー（Windows Server 2008 以降）

• Microsoft AD ドメインコントローラ（Windows Server 2008 以降）

• モニタリングするドメインに接続されている任意のクライアント（Windows 8 以降）

参照：パッシブ ID エージェントによるユーザー制御。

Cisco Secure 動的属性コネクタ は、AWS セキュリティグループ、AWS サービスタグ、および Cisco Cyber Vision をサポートするようになりました。

バージョンの制限：オンプレミス Cisco Secure 動的属性コネクタ 統合の場合、バージョン 3.0 が必要です。

「Amazon Web Services Connector—About User Permissions and Imported Data」[英語] を参照してください。

アクティブおよびパッシブ認証に Microsoft Azure Active Directory（AD）レルムを使用できるようになりました。

• Azure AD を使用したアクティブ認証：Azure AD をキャプティブポータルとして使用します。

• Cisco ISE を使用したパッシブ認証（バージョン 7.4.0 で導入）：Management Center は Azure AD からグループを取得し、ISE からログイン ユーザー セッション データを取得します。

SAML（セキュリティ アサーション マークアップ言語）を使用して、サービスプロバイダー（認証要求を処理するデバイス）とアイデンティティ プロバイダー（Azure AD）の間に信頼関係を確立します。アップグレードされた Management Center の場合、既存の Azure AD レルムは SAML - Azure AD レルムとして表示されます。

アップグレードの影響。アップグレード前に Microsoft Azure AD レルムを設定していた場合は、パッシブ認証用に設定された SAML - Azure AD レルムとして表示されます。以前のすべてのユーザーセッションデータは保持されます。

新規/変更された画面：[統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（Realms）] > [レルムを追加（Add Realm）] > [SAML - Azure AD]

新規/変更された CLI コマンド：なし

参照：Microsoft Azure AD（SAML）レルムの作成。

接続イベントの MITRE およびその他のエンリッチメント情報により、検出された脅威のコンテキスト情報に簡単にアクセスます。これには、Talos および暗号化された可視性エンジン（EVE）からの情報が含まれます。EVE エンリッチメントの場合は、EVE を有効にする必要があります。

接続イベントには、統合イベントビューアと従来のイベントビューアの両方で使用可能な 2 つの新しいフィールドがあります。

• [MITRE ATT&CK]：進行グラフをクリックすると、戦術や手法を含む脅威の詳細の拡張ビューが表示されます。

• [その他のエンリッチメント（Other Enrichment）]：クリックすると、EVE からの情報など、利用可能なその他のエンリッチメント情報が表示されます。

新しい Talos 接続ステータス正常性モジュールは、この機能に必要な Talos を使用して Management Center の接続をモニターします。必要な特定のインターネットリソースについては、「Internet Access Requirements」を参照してください。

「Configure EVE」[英語] を参照してください。

Secure Firewall 3100 は、単一のデバイス（アプライアンスモード）または複数のコンテナインスタンス（マルチインスタンスモード）として展開できます。マルチインスタンスモードでは、完全に独立したデバイスとして機能する複数のコンテナインスタンスを 1 つのシャーシに展開できます。マルチインスタンスモードでは、コンテナインスタンスのアップグレード（Threat Defense のアップグレード）とは別に、オペレーティングシステムとファームウェアがアップグレード対象（シャーシのアップグレード）になることに注意してください。

新規/変更された画面：

• [インベントリ（Inventory）] > [FTDシャーシ（FTD Chassis）]

• [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [シャーシマネージャ（Chassis Manager）]

• [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [新しいポリシー（New Policy）] > [シャーシプラットフォーム設定（Chassis Platform Settings）]

• [デバイス（Devices）] > [シャーシのアップグレード（Chassis Upgrade）]

新規/変更された Threat Defense CLI コマンド：configure multi-instance network ipv4 、configure multi-instance network ipv6

新規/変更された FXOS CLI コマンド：create device-manager 、set deploymode

プラットフォームの制限：Cisco Secure Firewall 3105 ではサポートされていません。

機密性の高い、復号できないトラフィックの復号を簡単にバイパスできるようになりました。これにより、ユーザーが保護され、パフォーマンスが向上します。

新しい復号ポリシーには、事前定義されたルールが含まれるようになりました。このルールを有効にすると、機密 URL カテゴリ（金融や医療など）、復号できない識別名、および復号できないアプリケーションの復号を自動的にバイパスできます。識別名とアプリケーションは通常、復号不能な TLS/SSL 証明書のピン留めを使用するため、復号できません。

アウトバウンド復号の場合は、ポリシーの作成の一環としてこれらのルールを有効または無効化にします。インバウンド復号の場合、ルールはデフォルトで無効になっています。ポリシーを作成した後、ルール全体を編集、並べ替え、または削除できます。

新規/変更された画面：[ポリシー（Policies）] > [アクセス制御（Access Control）] > [復号（Decryption）] > [復号ポリシーの作成（Create Decryption Policy）]

参照：復号ポリシーの作成

参照：復号ポリシーの作成

Microsoft Azure Active Directory（Azure AD）レルムと ISE を使用すると、ユーザーを認証したりユーザー制御のためにユーザーセッションを取得したりできます。

新規/変更された画面：

• [統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（Realms）] > [レルムを追加（Add Realm）] > [Azure AD（Azure AD）]

• [統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（ Realms）] > [アクション（Actions）]（ユーザーのダウンロード、コピー、編集、削除など）

サポートされている ISE バージョン：3.0 パッチ 5 以降、3.1（任意のパッチレベル）、3.2（任意のパッチレベル）

参照：「Microsoft Azure Active Directory レルムの作成」

デバイス登録時に適用するデフォルトの正常性ポリシーを選択できるようになりました。[正常性ポリシー（Health Policy）] ページでは、ポリシー名によってどれがデフォルトであるかが示されます。特定のデバイスの登録後に別のポリシーを使用する場合は、そこで変更します。デフォルトのデバイス正常性ポリシーは削除できません。

新規/変更された画面：[システム（System）]（） > [正常性（Health）] > [ポリシー（Policy）] > [その他（More）]（） > [デフォルトとして設定（Set as Default）]

参照：デフォルトの正常性ポリシーの設定

シャーシを読み取り専用デバイスとして Management Center に登録することで、Firepower 4100/9300 のシャーシレベルのヘルスアラートを表示できるようになりました。また、Firewall Threat Defense プラットフォーム障害のヘルスモジュールを有効にして、ヘルスポリシーを適用する必要があります。アラートは、メッセージセンター、ヘルスモニター（左側のペインの [デバイス（Devices）] でシャーシを選択）、およびヘルスイベントビューに表示されます。

マルチインスタンスモードで Cisco Secure Firewall 3100 のシャーシを追加し、正常性アラートを表示することもできます。これらのデバイスの場合は、Management Center を使用してシャーシを管理します。ただし、Firepower 4100/9300 シャーシの場合は、シャーシマネージャまたは FXOS CLI を使用する必要があります。

新規/変更された画面：[インベントリ（Inventory）] > [FTDシャーシ（FTD Chassis）]

参照：シャーシのオンボーディング

高可用性ペアで障害が発生したユニットを交換する場合、復元が完了してデバイスが再起動した後に、高可用性を手動で再開する必要がなくなりました。ただし引き続き、展開する前に、高可用性が再開されたことを確認することは必要です。

バージョンの制限：Threat Defense バージョン 7.0 ～ 7.0.6、7.1.x、7.2.0 ～ 7.2.9、7.3.x、または 7.4.0 ～ 7.4.2 ではサポートされていません。

参照：Restore Security Cloud Control-Managed Devices

別のユーザーのチケットを引き継ぐことができるようになりました。これは、チケットがポリシーに対する他の更新をブロックしており、ユーザーが使用できない場合に役立ちます。

これらの機能が承認ワークフローに含まれるようになりました：復号ポリシー、DNS ポリシー、ファイルおよびマルウェアポリシー、ネットワーク検出、証明書および証明書グループ、暗号スイートリスト、識別名オブジェクト、シンクホールオブジェクト。

参照：「Change Management」

新しい CPU とルールプロファイラは、Snort 3 のパフォーマンスの問題のトラブルシュートに役立ちます。以下をモニタリングできるようになりました。

• Snort 3 モジュール/インスペクタがパケットを処理するために要した CPU 時間。

• 各モジュールが消費している CPU リソース（Snort 3 プロセスによって消費された合計 CPU と比較）。

• Snort 3 が CPU を大量に消費している時に、パフォーマンスが不十分なモジュール。

• パフォーマンスが不十分な侵入ルール。

新規/変更された画面：[デバイス（Devices）] > [トラブルシュート（Troubleshoot）] > [Snort 3プロファイリング（Snort 3 Profiling）]

プラットフォームの制限：コンテナインスタンスではサポートされていません。

参照：Advanced Troubleshooting for the Secure Firewall Threat Defense Device

参照：Advanced Troubleshooting for the Secure Firewall Threat Defense Device

バージョン 7.0.x デバイスで分析にオンプレミス Management Center を使用している場合、可能であれば、デバイスをバージョン 7.2.x 以降にアップグレードすることを推奨します。アップグレードすると、最新リリースを実行しているデバイスを追加しながら、古いデバイスからイベントを取得できます。