|
プラットフォーム
|
|
Threat Defense バージョン 7.4.0 のサポート。
|
7.4.0
|
バージョン 7.4.0 を実行している Threat Defense デバイスを管理できるようになりました。
バージョン 7.4.0 は、Cisco Secure Firewall 4200 でのみ使用できます。バージョン 7.4.0 が必要な機能には、Cisco Secure Firewall 4200 を使用する必要があります。他のすべてのプラットフォームのサポートは、バージョン 7.4.1 で再開されます。
|
|
Cisco Secure Firewall 4200。
|
7.4.0
|
|
|
Cisco Secure Firewall 4200 のパフォーマンスプロファイルのサポート。
|
7.4.0
|
プラットフォーム設定ポリシーで使用可能なパフォーマンスプロファイル設定が、Cisco Secure Firewall 4200 に適用されるようになりました。以前は、この機能は Firepower 4100/9300 および Threat Defense
Virtual でのみサポートされていました。
参照:「Configure the Performance Profile」
|
|
クラウド提供型のファイアウォール管理システムの番号付け規則。
|
任意
|
クラウド提供型のファイアウォール管理システムは、CDO の機能です。トラブルシューティングのために、[FMCサービス(FMC Services)] ページでクラウド提供型 Firewall Management Center のバージョン番号を特定します。
参照:「View Services Page Information」[英語]。
|
|
プラットフォームの移行
|
|
Firepower 1000/2100 から Cisco Secure Firewall 3100 への移行。
|
任意(Any)
|
Firepower 1000/2100 から Cisco Secure Firewall 3100 に設定を簡単に移行できるようになりました。
新規/変更された画面:
プラットフォームの制限:Firepower 1010 または 1010E からの移行はサポートされていません。
参照:新しいモデルへの設定の移行。
|
|
Firepower Management Center 1000/2500/4500 から クラウド提供型 Firewall Management Center へのデバイスの移行。
|
任意(Any)
|
Firepower Management Center 1000/2500/4500 から クラウド提供型 Firewall Management Centerにデバイスを移行できます。
デバイスを移行するには、オンプレミス Management Center をバージョン 7.0.3(7.0.5 を推奨)からバージョン 7.4.0 に一時的にアップグレードする必要があります。バージョン 7.0 の Management Center ではクラウドへのデバイスの移行がサポートされていないため、この一時的なアップグレードが必要です。さらに、バージョン 7.0.3 以降(7.0.5 を推奨)を実行しているスタンドアロンおよび高可用性
Threat Defense デバイスのみが移行の対象となります。クラスタの移行は現時点ではサポートされていません。
|
重要
|
バージョン 7.4.0 は、移行プロセス中に 1000/2500/4500 でのみサポートされます。Management Center のアップグレードとデバイスの移行までの間隔は最小限に抑える必要があります。
|
移行プロセスを要約すると、次のようになります。
-
アップグレードと移行の準備をします。リリースノート、アップグレードガイド、および移行ガイドに記載されているすべての前提条件を読み、理解し、条件を満たしてください。
アップグレードする前に、古い Management Center の「移行準備ができている」こと、つまり、移行するデバイスのみ管理していること、設定の影響(VPN の影響など)を評価していること、新たに展開されていて、完全にバックアップされていること、すべてのアプライアンスが正常な状態であることなどが特に重要です。
また、クラウドテナントのプロビジョニング、ライセンス付与、および準備もする必要があります。これには、セキュリティ イベント ロギングの方法を含める必要があります。サポートされていないバージョンが実行されるため、分析のためにオンプレミス Management
Center を保持することはできません。
-
オンプレミス Management Center とそのすべての管理対象デバイスを少なくともバージョン 7.0.3 にアップグレードします(バージョン 7.0.5 を推奨)。
すでに最小バージョンを実行している場合は、この手順をスキップできます。
-
オンプレミス Management Center をバージョン 7.4.0 にアップグレードします。
アップグレードパッケージを解凍し(ただし、展開はしない)、Management Center にアップロードします。Special Release からダウンロードします。
-
オンプレミス Management Center を CDO にオンボードします。
-
移行ガイドの説明に従って、すべてのデバイスをオンプレミス Management Center から クラウド提供型 Firewall Management Center に移行します。
移行するデバイスを選択する場合は、[オンプレミスFMCからFTDを削除する(Delete FTD from On-Prem FMC)] を選択してください。変更をコミットするか、14 日が経過するまで、デバイスは完全には削除されないことに注意してください。
-
移行が成功したことを確認します。
移行しても期待どおりに機能しない場合は、14 日以内に戻すことができます。戻さない場合は自動的にコミットされます。ただし、バージョン 7.4.0 は一般的な操作ではサポートされていないことに注意してください。オンプレミス Management
Center をサポートされているバージョンに戻すには、再移行したデバイスを削除し、バージョン 7.0.x に再イメージ化し、バックアップから復元して、デバイスを再登録する必要があります。
参照:
移行プロセスの任意の時点で質問がある場合、またはサポートが必要な場合は、Cisco TAC にお問い合わせください。
|
|
FTD からクラウドへの移行における S2S VPN のサポート。VPN ポリシーを使用して Threat Defense デバイスをオンプレミスから クラウド提供型 Firewall Management Center に移行します。
|
7.0.3 ~ 7.0.x
7.2 以降
|
Cisco Secure Firewall Threat Defense デバイスのサイト間 VPN 設定は、デバイスがオンプレミスの Firewall Management Center からクラウド提供型 Firewall Management
Center に移行されるときに、残りの設定とともに移行されるようになりました。
参照:Migrate On-Prem Management Center managed Secure Firewall Threat Defense to Cloud-delivered Firewall Management Center [英語]
|
|
インターフェイス
|
|
マージされた管理インターフェイスと診断インターフェイス。
|
7.4.0
|
アップグレードの影響。 アップグレード後にインターフェイスをマージします。
7.4 以降を使用している新しいデバイスの場合、レガシー診断インターフェイスは使用できません。マージされた管理インターフェイスのみを使用できます。
7.4 以降にアップグレードした場合:
マージモードでは、デフォルトでデータルーティングテーブルを使用するように AAA トラフィックの動作も変更されます。管理専用ルーティングテーブルは、設定で管理専用インターフェイス(管理を含む)を指定した場合にのみ使用できるようになりました。
プラットフォーム設定の場合、これは次のことを意味します。
-
診断インターフェイスで、HTTP、ICMP、または SMTP を有効にすることはできなくなりました。
-
SNMP については、診断インターフェイスではなく管理インターフェイスでホストを許可できます。
-
Syslog サーバーについては、診断インターフェイスではなく管理インターフェイスでアクセスできます。
-
Syslog サーバーまたは SNMP ホストのプラットフォーム設定で診断インターフェイスが名前で指定されている場合、マージされたデバイスとマージされていないデバイスに別々のプラットフォーム設定ポリシーを使用する必要があります。
-
インターフェイスを指定しない場合、DNS ルックアップは管理専用ルーティングテーブルにフォールバックしなくなりました。
新規/変更された画面:
新規/変更されたコマンド: show management-interface convergence
参照:「Merge the Management and Diagnostic Interfaces」
|
|
VXLAN VTEP IPv6 のサポート。
|
7.4.0
|
VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 は、Threat Defense Virtual クラスタ制御リンクまたは Geneve カプセル化ではサポートされていません。
新規/変更された画面:
参照:「Configure Geneve Interfaces」
|
|
BGP および管理トラフィックのループバック インターフェイスのサポート。
|
7.4.0
|
AAA、BGP、DNS、HTTP、ICMP、IPsec フローオフロード、NetFlow、SNMP、SSH、および syslog にループバック インターフェイスを使用できるようになりました。
新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [インターフェイス(Interfaces)] > [インターフェイスの追加(Add
Interfaces)] > [ループバック インターフェイス(Loopback Interface)]
参照:「Configure Loopback Interfaces」
|
|
ループバックおよび管理タイプのインターフェイス グループ オブジェクト。
|
7.4.0
|
管理専用インターフェイスまたはループバック インターフェイスのみを含むインターフェイス グループ オブジェクトを作成でき、作成したグループを DNS サーバー、HTTP アクセス、SSH などの管理機能に使用できます。ループバックグループは、ループバック
インターフェイスを利用できるすべての機能で使用できますが、DNS では管理インターフェイスはサポートされていない点に注意してください。
新規/変更された画面:
参照:「Interface」
|
|
高可用性/拡張性
|
|
Threat Defense の高可用性のための「誤フェールオーバー」の削減。
|
7.4.0
|
|
|
SD-WAN
|
|
HTTP パスのモニタリングを使用したポリシーベースのルーティング。
|
7.2.0
|
ポリシーベースルーティング(PBR)は、特定の宛先 IP のメトリックではなく、アプリケーションドメインの HTTP クライアントを介したパスモニタリングによって収集された評価指標(RTT、ジッター、パケット損失、および MOS)を使用できるようになりました。インターフェイスの
HTTP ベースのアプリケーション モニタリング オプションは、デフォルトで有効になっています。モニタリング対象のアプリケーションが搭載され、パスを決定するためのインターフェイスの順序付けを行う一致 ACL を使用して、PBR ポリシーを設定できます。
新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [インターフェイスの編集(Edit interface)] > [パスモニタリング(Path
Monitoring)] > [HTTPベースのアプリケーション モニタリングの有効化(Enable HTTP based Application Monitoring)] チェックボックス。
プラットフォームの制限:クラスタ化されたデバイスではサポートされていません。
参照:「Configure Path Monitoring Settings」
|
|
ユーザー ID と SGT を使用したポリシーベースのルーティング。
|
7.4.0
|
ユーザーとユーザーグループ、および PBR ポリシーの SGT に基づいてネットワークトラフィックを分類できるようになりました。PBR ポリシーの拡張 ACL を定義するときに、ID および SGT オブジェクトを選択します。
新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [アクセスリスト(Access List)] > [拡張(Extended)] > [拡張アクセスリストの追加/編集(Add/Edit
Extended Access List)] > [拡張アクセスリストエントリの追加/編集(Add/Edit Extended Access List Entry)] > [ユーザー(Users)] および [セキュリティグループタグ(Security
Group Tag)]
参照:「Configure Extended ACL Objects」
|
|
VPN
|
|
Cisco Secure Firewall 4200 向け VTI ループバック インターフェイスの IPSec フローのオフロード。
|
7.4.0
|
Cisco Secure Firewall 4200 では、VTI ループバックインターフェイスを介した適格な IPsec 接続がデフォルトでオフロードされます。以前は、この機能は Secure Firewall 3100 の物理インターフェイスでサポートされていました。
FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。
その他の要件:FPGA ファームウェア 6.2 以降
参照:「IPSec Flow Offload」
|
|
Cisco Secure Firewall 4200 の暗号デバッグの機能拡張。
|
7.4.0
|
暗号デバッグの機能拡張は次のとおりです。
-
暗号アーカイブは、テキスト形式とバイナリ形式で使用できるようになりました。
-
追加の SSL カウンタをデバッグに使用できます。
-
スタックした暗号化ルールは、デバイスを再起動せずに ASP テーブルから削除できます。
新規/変更された CLI コマンド: show counters
|
|
VPN:リモートアクセス
|
|
Secure Client のメッセージ、アイコン、画像、接続/切断スクリプトをカスタマイズします。
|
7.2.0
|
Secure Client をカスタマイズして、それらのカスタマイズを VPN ヘッドエンドに展開できるようになりました。サポートされている Secure Client のカスタマイズは次のとおりです。
エンドユーザーが Secure Client から接続すると、Threat Defense によりそれらのカスタマイズがエンドポイントに配布されます。
新規/変更された画面:
-
[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [VPN] > [Secure Clientのカスタマイズ(Secure Client Customization)]
-
[デバイス(Device)] > [リモートアクセス(Remote Access)] > [VPNポリシーの編集(Edit VPN policy)] > [詳細設定(Advanced)] > [Secure Clientのカスタマイズ(Secure
Client Customization)]
参照:「Customize Secure Client」
|
|
VPN:サイト間
|
|
NAT 変換からサイト間 VPN トラフィックを簡単に免除します。
|
任意(Any)
|
サイト間 VPN トラフィックを NAT 変換から簡単に免除できるようになりました。
新規/変更された画面:
参照:「NAT Exemption」
|
|
VPN ノードの IKE および IPsec セッションの詳細を簡単に表示できます。
|
任意(Any)
|
サイト間 VPN ダッシュボードで、VPN ノードの IKE および IPsec セッションの詳細を使いやすい形式で表示できます。
新規/変更された画面:[概要(Overview )] > [サイト間VPN(Site to Site VPN)] の順に選択し、[トンネルステータス(Tunnel Status)] ウィジェットの下で、トポロジにカーソルを合わせて [表示(View)]
をクリックし、[CLIの詳細(CLI Details)] タブをクリックします。
参照:「Monitoring the Site-to-Site VPNs」
|
|
アクセス制御:脅威の検出とアプリケーションの識別
|
|
機密データの検出とマスキング。
|
7.4.0(Snort 3)
|
アップグレードの影響。 デフォルトポリシーの新しいルールが有効になります。
社会保障番号、クレジットカード番号、E メールなどの機密データは、インターネットに意図的に、または誤って漏洩される可能性があります。機密データの検出は、機密データの漏洩の可能性を検出してイベントを生成するために使用され、大量の個人識別情報(PII)データが転送された場合にのみイベントを生成します。機密データの検出では、組み込みパターンを使用して、イベントの出力で
PII をマスクできます。
データマスキングの無効化はサポートされていません。
参照:「Custom Rules in Snort 3」
|
|
クライアントレスの Zero Trust アクセス。
|
7.4.0(Snort 3)
|
Zero Trust アクセスが導入され、外部の SAML ID プロバイダー(IdP)ポリシーを使用して、ネットワークの内部(オンプレミス)または外部(リモート)から保護された Web ベースのリソース、アプリケーション、またはデータへのアクセスを認証および承認できます。
設定では、ゼロトラスト アプリケーション ポリシー、アプリケーショングループ、およびアプリケーションを指定します。
新規/変更された画面:
新規/変更された CLI コマンド:
-
show running-config zero-trust application
-
show running-config zero-trust application-group
-
show zero-trust sessions
-
show zero-trust statistics
-
show cluster zero-trust statistics
-
clear zero-trust sessions application
-
clear zero-trust sessions user
-
clear zero-trust statistics
|
|
ルーティング
|
|
IPv6 ネットワークで BGP のグレースフルリスタートを構成します。
|
7.3.0
|
管理対象デバイスのバージョン 7.3 以降の IPv6 ネットワークに対しては、BGP グレースフルリスタートを設定できます。
新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)] > [BGP] > [IPv6] > [ネイバー(Neighbor)]
> [ネイバーの追加/編集(Add/Edit Neighbor)]。
参照:「Configure BGP Neighbor Settings」
|
|
動的 VTI による仮想ルーティング。
|
7.4.0
|
ルートベースのサイト間 VPN にダイナミック VTI を使用して仮想ルータを設定できるようになりました。
新規/変更された画面:[使用可能なインターフェイス(Available Interfaces)] の下の [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)]
> [ルーティング(Routing)] > [仮想ルータのプロパティ(Virtual Router Properties)] > [ダイナミックVTIインターフェイス(Dynamic VTI interfaces)]。
プラットフォームの制限:ネイティブモードのスタンドアロンまたは高可用性デバイスでのみサポートされます。コンテナインスタンスやクラスタ化されたデバイスではサポートされていません。
参照:「About Virtual Routers and Dynamic VTI」
|
|
アクセス制御:脅威の検出とアプリケーションの識別
|
|
暗号化された可視性エンジン機能の拡張。
|
7.4.0(Snort 3)
|
暗号化された可視性エンジン(EVE)で、次のことができるようになりました。
-
脅威スコアに基づいて暗号化トラフィック内の悪意のある通信をブロックする。
-
EVE で検出されたプロセスに基づいてクライアント アプリケーションを判断する。
-
検出のために、フラグメント化された Client Hello パケットを再構成する。
新規/変更された画面:アクセス コントロール ポリシーの詳細設定を使用して EVE を有効にし、これらの設定を行います。
参照:「Encrypted Visibility Engine」
|
|
特定のネットワークとポートをエレファントフローのバイパスまたはスロットリングから免除します。
|
7.4.0(Snort 3)
|
エレファントフローのバイパスまたはスロットリングから特定のネットワークとポートを免除できるようになりました。
新規/変更された画面:
-
アクセス コントロール ポリシーの詳細設定でエレファントフロー検出を構成するときに、[エレファントフローの修復(Elephant Flow Remediation)] オプションを有効にすると、[ルールの追加(Add Rule)] をクリックして、バイパスまたはスロットリングから免除するトラフィックを指定できるようになりました。
-
システムがバイパスまたはスロットリングから免除されているエレファントフローを検出すると、[エレファントフローが免除されました(Elephant Flow Exempted)] という理由でフロー中接続イベントを生成します。
プラットフォームの制限:Firepower 2100 シリーズではサポートされていません。
|
|
JavaScript インスペクションの改善。
|
7.4.0(Snort 3)
|
|
|
アクセス制御:アイデンティティ
|
|
Management Center の Cisco Secure 動的属性コネクタ。
|
いずれか
|
|
|
イベントロギングおよび分析
|
|
Management Center の Web インターフェイスから、Threat Defense デバイスを NetFlow エクスポータとして設定できます。
|
いずれか
|
NetFlow は、パケットフローの統計情報を提供するシスコアプリケーションの 1 つです。Management Center の Web インターフェイスを使用して、Threat Defense デバイスを NetFlow エクスポータとして設定できるようになりました。既存の
NetFlow FlexConfig があり、Web インターフェイスで設定をやり直す場合は、廃止された FlexConfig を削除するまで展開できません。
新規/変更された画面:
参照:「Configure NetFlow」
|
|
ヘルス モニタリング
|
|
新しい ASP ドロップメトリック。
|
7.4.0
|
新規または既存のデバイス正常性ダッシュボードに、600 を超える新しい ASP(高速セキュリティパス)ドロップメトリックを追加できます。[ASPドロップ(ASP Drops)] メトリックグループを選択していることを確認します。
新規/変更された画面:[システム(System)]( )
参照:「show asp drop Command Usage」
|
|
管理
|
|
証明書の失効を確認する際の IPv6 URL のサポート。
|
7.4.0
|
|
|
Threat Defense のバックアップファイルはリモートの安全な場所に保存してください。
|
任意
|
デバイスをバックアップすると、クラウド提供型 Firewall Management Center は、そのセキュアなクラウドストレージにバックアップファイルを保存します。
参照:「Backup/Restore」[英語]
|
|
ユーザビリティ、パフォーマンス、およびトラブルシューティング
|
|
ユーザービリティの拡張。
|
いずれか
|
次の作業に進んでください。
-
[システム(System)]() から Threat Defense クラスタのスマートライセンスを管理します。以前は、[デバイス管理(Device Management)] ページを使用する必要がありました。
参照:クラスタリングのライセンス
-
メッセージセンター通知のレポートをダウンロードします。メッセージセンターで、[通知を表示(Show Notifications)] スライダの横にある新しい [レポートのダウンロード(Download Report)] アイコンをクリックします。
参照:システムメッセージの管理
-
すべての登録済みデバイスのレポートをダウンロードします。に移動し、ページの右上にある新しい [デバイスリストレポートのダウンロード(Download Device List Report)] リンクをクリックします。
参照:管理対象デバイスリストのダウンロード
-
カスタム ヘルス モニタリング ダッシュボードを簡単に作成し、既存のダッシュボードを簡単に編集できます。
参照:「Correlating Device Metrics」
|
|
Secure Firewall 4200 のパケットキャプチャでキャプチャするトラフィックの方向を指定します。
|
7.4.0
|
|
|
Management Center REST API
|
|
クラウド提供型 Firewall Management Center REST API
|
機能に依存
|
Management Center REST API の変更については、API クイックスタートガイドの「What's New」を参照してください。
|
フィードバック