Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。 あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: セキュリティ インテリジェンス ブラックリスト
セキュリティ インテリジェンス ブラックリスト
以下のトピックでは、セキュリティ インテリジェンスの概要(トラフィックのブラックリストとホワイトリストの使用、基本設定など)を示します。
セキュリティ インテリジェンスについて
悪意のあるインターネット コンテンツに対する防御の前線として、セキュリティ インテリジェンスは疑わしい IP アドレス、URL、ドメイン名が関連する接続をレピュテーション インテリジェンスを使用して迅速にブロックします。これは、セキュリティ インテリジェンス ブラックリスト登録と呼ばれます。
セキュリティ インテリジェンスはアクセス制御の最初のフェーズであり、大量のリソースを消費する評価をシステムが実行する前に行われます。ブラックリスト登録により、インスペクションの必要がないトラフィックを迅速に除外することで、パフォーマンスが向上します。
 (注) | FastPath が適用されたトラフィックをブラックリストに登録することはできません。8000 シリーズの FastPath 適用は、セキュリティ インテリジェンスによるフィルタリングの前に行われます。FastPath が適用されたトラフィックは、セキュリティ インテリジェンスを含め、以降のすべての評価をバイパスします。 |
カスタム ブラックリストを設定することはできますが、CIsco は定期的に更新されるインテリジェンス フィードへのアクセスを提供しています。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。
セキュリティ インテリジェンスのブラックリスト登録を改良するには、ホワイトリストとモニタ専用ブラックリストを併せて使用するという方法があります。これらのメカニズムは、トラフィックをブラックリストに登録しないようにしますが、一致するトラフィックを自動的に信頼したり FastPath を適用したりすることはしません。ホワイトリストに登録されたトラフィックや、セキュリティ インテリジェンスの段階でモニタされるトラフィックは、意図的に残りのアクセス コントロールによる分析が適用されます。
セキュリティ インテリジェンスの設定
特定の IP アドレス、URL、ドメイン名をホワイトリストまたはブラックリストに登録したりモニタしたりするためには、カスタム オブジェクト、リスト、またはフィードを設定する必要があります。次の選択肢があります。
-
ネットワーク、URL、DNS フィールドを設定するには、セキュリティ インテリジェンス フィードの作成を参照してください。
-
ネットワーク、URL、DNS リストを設定するには、セキュリティ インテリジェンス リストの更新を参照してください。
-
ネットワーク オブジェクトとオブジェクト グループを設定するには、ネットワーク オブジェクトの作成を参照してください。
-
URL オブジェクトとオブジェクト グループを設定するには、URL オブジェクトの作成を参照してください。
DNS リストまたはフィードに基づくトラフィックのブラックリスト/ホワイトリスト登録あるいはモニタリングには、以下の条件もあります。
-
DNS ポリシーを作成します。詳細については、基本 DNS ポリシーの作成を参照してください。
-
DNS リストまたはフィードを参照する DNS ルールを設定します。詳細については、DNS ルールの作成および編集を参照してください。
DNS ポリシーはアクセス コントロール ポリシーの一部として展開するため、両方のポリシーを関連付ける必要があります。詳細については、DNS ポリシーの展開を参照してください。
セキュリティ インテリジェンス戦略
セキュリティ インテリジェンス戦略では、次の要素を使用します。
-
Cisco 提供のフィード:Cisco では、定期的に更新されるインテリジェンス フィードへのアクセスを提供しています。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。
-
サードパーティのフィード:Cisco 提供のフィードをサードパーティのフィードで補完できます。これらのフィードは、Firepower Management Center が定期的にインターネットからダウンロードする動的リストです。
-
グローバルおよびカスタム ブラックリスト:特定の IP アドレス、URL、ドメイン名をブラックリストに登録します。パフォーマンスを向上させるために、スパムのブラックリスト登録を電子メール トラフィックを処理するセキュリティ ゾーンに制限するなどして、適用対象を絞り込むこともできます。
-
誤検出をなくすためのホワイトリスト:ブラックリストの範囲が広すぎる場合、または残りのアクセス コントロールでさらに分析するトラフィックを前もってブロックしてしまう場合は、ブラックリストをカスタム ホワイトリストでオーバーライドできます。
-
ブラックリスト登録に代わるモニタリング:特にパッシブ展開や、フィードを実装する前にテストする場合に有用です。違反しているセッションをブロックする代わりに単にモニタしてログに記録し、接続終了イベントを生成できます。
例:ホワイトリスト登録
信頼できるフィードにより、重要なリソースへのアクセスが不適切にブロックされたものの、そのフィードが全体としては組織にとって有用である場合は、そのフィード全体をブラックリストから削除するのではなく、不適切に分類された IP アドレスだけをホワイトリストに登録するという方法を取ることができます。
不適切に分類された IP アドレスをホワイトリストに登録した後、組織内でそれらの IP アドレスにアクセスする必要があるユーザが使用しているセキュリティ ゾーンによりホワイトリストのオブジェクトを制限するという方法が考えられます。この方法では、ビジネス ニーズを持つユーザだけが、ホワイトリストに登録された URL にアクセスできます。あるいは、サードパーティのスパム フィードを使用して、電子メール サーバのセキュリティ ゾーンのトラフィックをブラックリスト登録するという方法もあります。
たとえば、サードパーティのフィードを使用したブロッキングを実装する前に、そのフィードをテストする必要があるとします。フィードをモニタ専用に設定すると、ブロックされるはずの接続をシステムで詳細に分析できるだけでなく、そのような接続のそれぞれをログに記録して、評価することもできます。
セキュリティ インテリジェンスの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
各アクセス コントロール ポリシーには、セキュリティ インテリジェンス オプションがあります。ネットワーク オブジェクト、URL オブジェクトとリスト、およびセキュリティ インテリジェンス フィードとリストをホワイトリストまたはブラックリストに追加でき、これらはすべてセキュリティ ゾーンによって制約できます。アクセス コントロール ポリシーに DNS ポリシーを関連付け、ドメイン名をホワイトリストまたはブラックリストに追加することもできます。
 注意 | アクセス コントロール ポリシーの [セキュリティ インテリジェンス(Security Intelligence)] タブからホワイトリストまたはブラックリストに複数のオブジェクトを追加したり、複数のオブジェクトを削除したりします。設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。Snort プロセスが再起動するかどうかは、インスペクションに使用できるメモリに応じて、デバイスごとに異なる場合があることに注意してください。 |
ホワイトリストとブラックリストには、合計 255 個までのネットワーク オブジェクトおよび合計 32767 個までの URL オブジェクトとリストを追加できます。つまり、ホワイトリスト内のオブジェクトの数とブラックリスト内の数の合計が 255 個のネットワーク オブジェクトまたは 32767 個の URL オブジェクトとリストを超えることはできません。
(注) | システムは、各リーフ ドメインに個別のネットワーク マップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。 |
-
パッシブ展開の場合、またはモニタのみにセキュリティ インテリジェンス フィルタリングを設定する場合は、ロギングを有効にします。セキュリティ インテリジェンスによる接続のロギングを参照してください。
| ステップ 1 | アクセス コントロール ポリシー エディタで、[セキュリティ インテリジェンス(Security Intelligence)] タブをクリックします。
コントロールが淡色表示されている場合、設定は先祖ポリシーから継承され、設定を変更する権限がありません。設定がロック解除されている場合は、[ベース ポリシーから継承する(Inherit from base policy)] をオフにして、編集を有効にします。 |
| ステップ 2 | 次の選択肢があります。 |
| ステップ 3 | ホワイトリストまたはブラックリストに追加する利用可能なオブジェクトを探します。次の選択肢があります。
|
| ステップ 4 | 追加する 1 つ以上の利用可能なオブジェクトを選択します。 |
| ステップ 5 | オプションで、[利用可能なゾーン(Available Zone)] を選択して、選択したオブジェクトをゾーンごとに制約します。
システムが提供するセキュリティ インテリジェンス リストをゾーンで制約することはできません。 |
| ステップ 6 | [ホワイトリストに追加(Add to Whitelist)] または [ブラックリストに追加(Add to Blacklist)] をクリックするか、選択したオブジェクトをクリックしていずれかのリストにドラッグします。
ホワイトリストまたはブラックリストからオブジェクトを削除するには、その削除アイコン( |
| ステップ 7 | オプションで、ブラックリスト登録されたオブジェクトをモニタ専用に設定するには、[ブラックリスト(Blacklist)] にリストされている該当するオブジェクトを右クリックし、[モニタ専用(ブロックしない)(Monitor-only (do not block))] を選択します。
システムが提供するセキュリティ インテリジェンス リストをモニタ専用に設定することはできません。 |
| ステップ 8 | [DNS ポリシー(DNS Policy)] ドロップダウン リストから DNS ポリシーを選択します。DNS ポリシーの概要 を参照してください。 |
| ステップ 9 | [保存(Save)] をクリックします。 |
)または [クリア(clear)](
)をクリックして、検索文字列をクリアします。
)をクリックし、[新規ネットワーク リスト(New Network List)] または [新規 URL リスト(New URL List)] を選択し、
)をクリックします。複数のオブジェクトを削除するには、オブジェクトを選択し、右クリックして [選択項目の削除(Delete Selected)]次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
セキュリティ インテリジェンス オプション
アクセス制御ポリシー エディタのセキュリティ インテリジェンス タブを使用して、ネットワーク(IP アドレス)と URL セキュリティ インテリジェンスを設定し、アクセス制御ポリシーを DNS ポリシーに関連付けます。
オブジェクト、ゾーン、ブラックリスト アイコン
アクセス制御ポリシー エディタのセキュリティ インテリジェンス タブで、オブジェクトまたはゾーンのそれぞれのタイプを別のアイコンと区別します。
ブラックリストでは、ブロックに設定したオブジェクトにはブロック アイコン(
)を付け、監視対象のみのオブジェクトには、監視アイコン(
)を付けます。監視のみの場合には、アクセス制御を使用して、ブラックリストの IP アドレスと URL を含む接続を処理し、ブラックリストに一致する接続をロギングします。
ホワイトリストがブラックリストをオーバーライドするため、両方のリストに同じオブジェクトを追加すると、ブラックリスト登録されたオブジェクトに取り消し線が表示されます。
ゾーンの制約
システムが提供したグローバル リスト以外、ゾーンごとにセキュリティ インテリジェンス フィルタリングを制約できます。複数のゾーンでオブジェクトのセキュリティ インテリジェンス フィルタリングを適用するには、ゾーンのそれぞれについて、オブジェクトをホワイトリストまたはブラックリストに追加する必要があります。
ログ
デフォルトで有効になっているセキュリティ インテリジェンス ロギングは、アクセス制御ポリシー対象のデバイスが処理するブロックされ、監視対象である接続はすべてロギングされます。ただし、システムはホワイトリストの一致はロギングしません。ホワイトリストに登録された接続のロギングは、その接続の最終的な傾向によって異なります。ブラックリストの接続については、ブラックリスト対象のオブジェクトを監視のみに設定する前にロギングを有効にする必要があります。
セキュリティ インテリジェンス カテゴリ
|
セキュリティ インテリジェンス カテゴリ |
説明 |
|---|---|
|
Attacker |
アクティブ スキャナと悪意のある発信アクティビティが知られているブラックリストのホスト。 |
|
Bogon |
Bogon ネットワークおよび割り当てられていない IP アドレス |
|
Bots |
バイナリ マルウェア ドロッパを有するサイト |
|
CnC |
botnets 用のホスト C & C サーバを有するサイト |
|
Dga |
C & C サーバのランデブー ポイントとして機能するさまざまなドメイン名を生成するために使用されるマルウェア アルゴリズム |
|
Exploitkit |
クライアントのソフトウェアの脆弱性を特定するために設計されたソフトウェア キット |
|
Malware |
マルウェアバイナリまたはエクスプロイト キットを有するサイト |
|
OpenProxy |
匿名の web ブラウジングが可能な公開プロキシ |
|
OpenRelay |
スパム用に使用されることが既知のオープン メール リレー |
|
Phishing |
フィッシング ページを有するサイト |
|
応答 |
悪意があるか疑わしいアクティブに積極的に参加している IP アドレスと URL |
|
Spam |
スパムを送信することが知られているメール ホスト |
|
Suspicious |
疑いがあり、既知のマルウェアと同様の特性を持つようなファイル |
|
TorExitNode |
Tor exit ノード |
フィードバック