- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
システム ポリシーの管理
システム ポリシーの作成
システム ポリシーを作成したら、それに名前と説明を割り当てます。次に、ポリシーのさまざまな側面(それぞれの項の説明を参照)を設定します。
新しいポリシーを作成する代わりに、別の ASA FirePOWER モジュール からシステム ポリシーをエクスポートし、ASA FirePOWER モジュール にインポートすることができます。ニーズに合わせて、インポートされたポリシーを編集してから適用することができます。詳細については、設定のインポートおよびエクスポートを参照してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
ステップ 2 [ポリシーの作成(Create Policy)] をクリックします。
[ポリシーの作成(Create Policy)] ページが表示されます。
ステップ 3 ドロップダウン リストから、新しいシステム ポリシーのテンプレートとして使用する既存のポリシーを選択します。
ステップ 4 新規ポリシーの名前を [新しいポリシー名(New Policy Name)] フィールドに入力します。
ステップ 5 新規ポリシーの説明を [新しいポリシーの説明(New Policy Description)] フィールドに入力します。
システム ポリシーが保存され、[システム ポリシーの編集(Edit System Policy)] ページが表示されます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
システム ポリシーの編集
既存のシステム ポリシーを編集できます。ASA FirePOWER モジュール に現在適用されているシステム ポリシーを編集する場合は、変更を保存してからポリシーを再適用してください。詳細については、システム ポリシーの適用を参照してください。
既存のシステム ポリシーを編集するには、次の手順を実行します。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
既存のシステム ポリシーのリストを含む、[システム ポリシー(System Policy)] ページが表示されます。
ステップ 2 編集するシステム ポリシーの横にある編集アイコン( )をクリックします。
[ポリシーの編集(Edit Policy)] ページが表示されます。ポリシー名とポリシーの説明を変更できます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。

(注) ASA FirePOWER モジュール に適用されているシステム ポリシーを編集する場合は、編集が完了したら、更新したポリシーを再適用してください。システム ポリシーの適用を参照してください。
ステップ 3 [ポリシーを保存して終了(Save Policy and Exit)] をクリックして変更を保存します。変更が保存され、[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの適用
ASA FirePOWER モジュール にシステム ポリシーを適用できます。システム ポリシーがすでに適用されている場合、再適用するまで、ポリシーに加えた変更は有効になりません。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
ステップ 2 適用するシステム ポリシーの横にある適用アイコン( )をクリックします。
[システム ポリシー(System Policy)] ページが表示されます。メッセージはシステム ポリシーの適用のステータスを示します。
システム ポリシーの削除
システム ポリシーは、使用中でも削除できます。使用中の場合は、新しいポリシーが適用されるまで現在のポリシーが使用されます。デフォルトのシステム ポリシーは削除できません。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
ステップ 2 削除するシステム ポリシーの横にある削除アイコン( )をクリックします。ポリシーを削除するには、[OK] をクリックします。
[システム ポリシー(System Policy)] ページが表示されます。ポリシーの削除について確認を求めるポップアップ メッセージが表示されます。
システム ポリシーの設定
さまざまなシステム ポリシーの設定を行うことができます。システム ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。
アプライアンスのアクセス リストの設定
[アクセスリスト(Access List)] ページを使用して、特定ポートのアプライアンスにどのコンピュータがアクセス可能かを制御できます。デフォルトでは、Web インターフェイスへのアクセスに使用されるポート 443(Hypertext Transfer Protocol Secure(HTTPS))と、コマンド ラインへのアクセスに使用されるポート 22(Secure Shell(SSH))は、あらゆる IP アドレスに対して有効です。ポート 161 を介した SNMP アクセスを追加することもできます。SNMP 情報をポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があることに注意してください。


任意の
オプションを削除することを検討してください。
アクセス リストは、システム ポリシーの一部です。新しいシステム ポリシーを作成するか、既存のシステム ポリシーを編集することによって、アクセス リストを指定できます。いずれの場合も、システム ポリシーを適用するまでアクセス リストは有効になりません。
このアクセス リストは、外部データベース アクセスを制御しないので注意してください。外部データベースのアクセス リストの詳細については、クラウド通信の有効化を参照してください。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
いずれの場合も、[アクセスリスト(Access List)] ページが表示されます。
ステップ 3 現在の設定の 1 つを削除するために、削除アイコン( )をクリックすることもできます。


IP=any port=443
」のエントリが存在しない場合、ポリシーを適用した時点でシステムへのアクセスは失われます。
ステップ 4 1 つ以上の IP アドレスへのアクセスを追加するために、[ルールの追加(Add Rules)] をクリックすることもできます。
[IP アドレスの追加(Add IP Address)] ページが表示されます。
ステップ 5 [IP アドレス(IP Address)] フィールドでは、追加する IP アドレスに応じて次のオプションがあります。
FireSIGHT システム での CIDR の使用方法については、IP アドレスの表記規則 を参照してください。
ステップ 6 [SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。
[アクセスリスト(Access List)] ページが再度表示され、ユーザが行った変更が反映されます。
ステップ 8 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
監査ログの設定
ASA FirePOWER モジュール が外部ホストに監査ログをストリーミングするように、システム ポリシーを設定できます。

(注) 外部ホストが機能しており、監査ログを送信する ASA FirePOWER モジュール からアクセスできることを確認する必要があります。
送信元ホスト名は送信される情報の一部です。ファシリティ、重大度、およびオプションのタグを使用して監査ログ ストリームをより詳細に識別できます。ASA FirePOWER モジュール は、システム ポリシーが適用されるまで監査ログを送信しません。
この機能を有効にしてポリシーを適用し、監査ログを受け入れるように宛先ホストを設定した後で、syslog メッセージが送信されます。次に、出力構造の例を示します。
Date Time Host [
Tag ] Sender: [
User_Name ]@[
User_IP ], [
Subsystem ], [
Action ]
現地の日付、時刻、およびホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
Mar 01 14:45:24 localhost [
TAG ] Dev-DC3000: admin@10.1.1.2, Operations > Monitoring, Page View
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
ステップ 3 [監査ログ設定(Audit Log Settings)] をクリックします。
[監査ログ設定(Audit Log Settings)] ページが表示されます。
ステップ 4 [監査ログを Syslog に送信(Send Audit Log to Syslog)] ドロップダウン メニューから、[有効(Enabled)] を選択します。(デフォルト設定では [無効(Disabled)] になっています。)
ステップ 5 [ホスト(Host)] フィールドにあるホストの IP アドレスまたは完全修飾名を使用して、監査情報の宛先ホストを指定します。デフォルト ポート(514)が使用されます。


ステップ 6 [ファシリティ(Facility)] フィールドから syslog ファシリティを選択します。
ステップ 7 [重大度(Severity)] フィールドから重大度を選択します。
ステップ 8 必要に応じて、[タグ(オプション)(Tag (optional))] フィールドで参照タグを挿入します。
ステップ 9 定期的な監査ログの更新を外部 HTTP サーバに送信するには、[監査ログを HTTP サーバに送信(Send Audit Log to HTTP Server)] ドロップダウン リストから [有効(Enabled)] を選択します。デフォルト設定では [無効(Disabled)] になっています。
ステップ 10 [監査情報を送信する URL(URL to Post Audit)] フィールドに、監査情報の送信先 URL を指定します。次にリストされている HTTP POST 変数を要求するリスナー プログラムに対応する URL を入力する必要があります。


ステップ 11 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで、変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
メール リレー ホストおよび通知アドレスの設定
次の処理を行う場合、メール ホストを設定する必要があります。
アプライアンスとメール リレー ホスト間の通信に使用する暗号化方式を選択し、必要に応じて、メール サーバの認証資格情報を指定できます。設定を行った後、指定された設定を使用してアプライアンスとメール サーバとの間の接続をテストできます。
メール リレー ホストを設定するには、次の手順を実行します。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
ステップ 3 [電子メール通知(Email Notification)] をクリックします。
[電子メール通知の設定(Configure Email Notification)] ページが表示されます。
ステップ 4 [メール リレー ホスト(Mail Relay Host)] フィールドで、使用するメール サーバのホスト名または IP アドレスを入力します。

(注) 入力したメール ホストはアプライアンスからのアクセスを許可している必要があります。
ステップ 5 [ポート番号(Port Number)] フィールドに、電子メール サーバで使用するポート番号を入力します。ポートは通常、暗号化を使用しない場合は 25、SSLv3 を使用する場合は 465、TLS を使用する場合は 587 です。
ステップ 6 暗号化方式を選択するには、次のオプションがあります。
- Transport Layer Security を使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [TLS] を選択します。
- セキュア ソケット レイヤを使用してアプライアンスとメール サーバ間の通信を暗号化するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [SSLv3] を選択します。
- アプライアンスとメール サーバ間の非暗号化通信を許可するには、[暗号化方式(Encryption Method)] ドロップダウン リストから [なし(None)] を選択します。
アプライアンスとメール サーバとの間の暗号化された通信では、証明書の検証は不要であることに注意してください。
ステップ 7 アプライアンスによって送信されるメッセージの送信元の電子メール アドレスとして使用する有効な電子メール アドレスを、[送信元アドレス(From Address)] フィールドに入力します。
ステップ 8 必要に応じて、メール サーバに接続する際にユーザ名とパスワードを指定するには、[認証を使用(Use Authentication)] を選択します。[ユーザ名(Username)] フィールドにユーザ名を入力します。パスワードを [パスワード(Password)] フィールドに入力します。
ステップ 9 設定したメール サーバを使用してテスト メールを送信するには、[テスト メールのサーバ設定(Test Mail Server Settings)] をクリックします。
テストの成功または失敗を示すメッセージがボタンの横に表示されます。
ステップ 10 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
SNMP ポーリングの設定
システム ポリシーを使用して、アプライアンスの Simple Network Management Protocol(SNMP)ポーリングを有効化できます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、および 3 をサポートします。
システム ポリシー SNMP 機能を有効にすると、アプライアンスで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になることに注意してください。

(注) アプライアンスをポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があります。詳細については、アプライアンスのアクセス リストの設定を参照してください。SNMP MIB にはアプライアンスの攻撃に使用される可能性がある情報も含まれているので注意してください。シスコ では、SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することを推奨しています。シスコ では、SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨しています。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[作成(Create)] をクリックします。
ステップ 3 アプライアンスのポーリングに使用する各コンピュータに SNMP アクセスを追加していない場合は、ここで追加してください。詳細については、アプライアンスのアクセス リストの設定を参照してください。
ステップ 5 [SNMP バージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。
- [バージョン 1(Version 1)] または [バージョン 2(Version 2)] を選択した場合は、[コミュニティ ストリング(Community String)] フィールドに SNMP コミュニティ名を入力します。ステップ 15 に進みます。
- [Version 3] を選択した場合、[ユーザを追加(Add User)] をクリックするとユーザ定義ページが表示されます。
ステップ 7 [ユーザ名(Username)] フィールドにユーザ名を入力します。
ステップ 8 [認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。
ステップ 9 [認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。
ステップ 10 [認証パスワード(Authentication Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドに認証パスワードを再入力します。
ステップ 11 使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。
ステップ 12 [プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。
ステップ 13 [プライバシー パスワード(Privacy Password)] フィールドのすぐ下にある [パスワードの確認(Verify Password)] フィールドにプライバシー パスワードを再入力します。
ユーザが追加されます。ステップ 6 ~ 13 までを繰り返して、さらにユーザを追加できます。ユーザを削除するには、削除アイコン( )をクリックします。
ステップ 15 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスの有効化
米国連邦政府内の組織は、Security Technical Implementation Guides(STIG)に示されている一連のセキュリティ チェックリストに準拠しなければならない場合があります。STIG コンプライアンス オプションは、米国国防総省によって定められた特定の要件に準拠することを目的とした設定を有効にします。
展開内の ASA FirePOWER モジュール で STIG コンプライアンスを有効にする場合は、すべての ASA FirePOWER モジュール で有効にする必要があります。
STIG コンプライアンスを有効にした場合、適用可能なすべての STIG に厳格なコンプライアンスが保証されるわけではありません。
STIG コンプライアンスを有効にすると、ローカル シェル アクセス アカウントのパスワードの複雑さや維持に関するルールが変わります。さらに、STIG コンプライアンス モードでは、 ssh
のリモート ストレージを使用できません。
STIG コンプライアンスが有効なシステム ポリシーを適用すると、アプライアンスが強制的に再起動されるので注意してください。すでに STIG が有効になっているアプライアンスに STIG が有効なシステム ポリシーを適用した場合、アプライアンスは再起動しません。STIG が無効なシステム ポリシーを STIG が有効になっているアプライアンスに適用した場合、STIG は引き続き有効であり、アプライアンスはリブートしません。


STIG コンプライアンスを有効にするには、次の手順を実行します。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ローカル(Local)] > [システム ポリシー(System Policy)] の順に選択します。
[システム ポリシー(System Policy)] ページが表示されます。
システム ポリシーの作成で説明されているように、システム ポリシーの名前および説明を入力し、[保存(Save)] をクリックします。
ステップ 3 [STIG コンプライアンス(STIG Compliance)] をクリックします。
[STIG コンプライアンス(STIG Compliance)] ページが表示されます。
ステップ 4 STIG コンプライアンスをアプライアンスで 永続的に 有効にする場合は、[STIG コンプライアンスを有効化(Enable STIG Compliance)] を選択します。


ステップ 5 [ポリシーを保存して終了(Save Policy and Exit)] をクリックします。
システム ポリシーが更新されます。システム ポリシーを適用するまで変更は有効になりません。詳細については、システム ポリシーの適用を参照してください。
STIG コンプライアンスを有効にするシステム ポリシーをアプライアンスに適用すると、アプライアンスが再起動するので注意してください。STIG が有効なシステム ポリシーをすでに STIG が有効になっているアプライアンスに適用した場合は、アプライアンスはリブートしないことに注意してください。