新機能
次のトピックでは、Firepower バージョン 6.2.3 で使用可能な新機能をリストしています。アップグレード パスが 1 つ以上のメジャー バージョンをスキップする場合は、『Cisco Firepower リリース ノート』で過去の新機能リストを参照してください。
Firepower Management Center/バージョン 6.2.3 の新機能
次の表に、Firepower Management Center を使用して設定された場合に Firepower バージョン 6.2.3 で使用できる新機能を示します。
機能 | 説明 | ||
---|---|---|---|
ハードウェアと仮想ハードウェア |
|||
ISA3000 での Firepower Threat Defense のサポート |
管理のために Firepower Device Manager または Firepower Management Center を使用して、ISA 3000 シリーズで Firepower Threat Defense を実行できるようになりました。 ISA 3000 は脅威のライセンスのみをサポートしていることに注意してください。URL フィルタリングやマルウェアのライセンスはサポートしていません。したがって、ISA 3000 では URL フィルタリングやマルウェアのライセンスを必要とする機能は設定できません。ハードウェア バイパスやアラーム ポートなど、ASA でサポートされていた ISA 3000 の特別な機能は、このリリースの Firepower Threat Defense ではサポートされていません。 |
||
VMware ESXi 6.5 のサポート |
Firepower Threat Defense Virtual、Firepower Management Center Virtual、および Firepower NGIPS Virtual が、VMware ESXi 6.5 でサポートされるようになりました。 |
||
Firepower Threat Defense の暗号化と VPN |
|||
SSL ハードウェア アクセラレーション |
特定の FirePOWER 管理対象デバイス モデルでは、パフォーマンスが大幅に向上する、ハードウェアでの SSL 暗号化および復号化のアクセラレーションをサポートしています。 SSL ハードウェア アクセラレーションは、サポートするすべてのアプライアンスに対してデフォルトで無効化されています。 以下のハードウェア モデルは、SSL アクセラレーションをサポートしています。
|
||
Firepower Threat Defense の VPN の改善 |
証明書の登録操作のノンブロッキング ワーク フローでは、複数の Firepower Threat Defense デバイスで証明書の登録を並行して実行できます。
|
||
ハイ アベイラビリティとスケーラビリティ |
|||
Firepower Management Center のハイ アベイラビリティ メッセージ |
Firepower Management Center のハイ アベイラビリティ ペアでは、UI メッセージが改善されています。UI には、Firepower Management Center のペアが確立されている間に、中間ステータス メッセージが表示されるようになり、書き換えられた UI メッセージがより直感的になりました。 |
||
内部エラーの発生後に自動的に Firepower Threat Defense クラスタに再参加 |
以前は、多くの内部エラー状態によって、クラスタ ユニットがクラスタから削除され、ユーザが問題を解決した後で、手動でクラスタに再参加する必要がありました。現在は、ユニットが自動的に、5 分、10 分、20 分の間隔でクラスタに再参加しようとします。内部エラーには、アプリケーション同期のタイムアウト、一貫性のないアプリケーション ステータスなどがあります。 新しい/変更されたコマンド:show cluster info auto-join サポートされるプラットフォーム
|
||
Firepower Threat Defense のハイ アベイラビリティ強化 |
バージョン 6.2.3 では、ハイア ベイラビリティの Firepower Threat Defense デバイスに関する次の機能が導入されています。
|
||
管理とトラブルシューティング |
|||
Firepower Threat Defense SSH アクセスへの外部認証の追加 |
LDAP または RADIUS を使用して、Firepower Threat Defense への SSH アクセス用に外部認証を設定できるようになりました。 新規/変更された画面: サポートされるプラットフォーム
|
||
脆弱性データベース(VDB)の強化されたインストール |
Firepower Management Center は、VDB をインストールする前に、インストールにより Snort プロセスが再起動し、トラフィック検査が中断され、管理対象デバイスがトラフィックを処理する方法次第でトラフィック フローが中断される可能性があるという警告を表示するようになりました。メンテナンス期間中など、都合の良い期間までインストールをキャンセルすることができます。 次のようなときに警告が表示される可能性があります。
|
||
アップグレード パッケージのプッシュ |
実際のアップグレードを実行する前に、Firepower Management Center から管理対象デバイスにアップグレード パッケージをコピー(またはプッシュ)できるようになりました。帯域幅の使用量が少ない時間帯やアップグレードのメンテナンス期間外でプッシュできるため、この機能は便利です。 ハイア ベイラビリティ デバイス、クラスタ デバイス、またはスタック構成デバイスにプッシュすると、システムは、アップグレード パッケージを最初にアクティブ/マスター/プライマリに送信し、次にスタンバイ/スレーブ/セカンダリに送信します。 新規/変更された画面: |
||
Firepower Threat Defense の有用性 |
バージョン 6.2.3 では、 show fail over CLI コマンドが改善されています。新しいキーワード -history を使用すると、トラブルシューティングに役立つ詳細が表示されます。
|
||
デバイス一覧のソート |
ページで、[View by]ドロップダウン リストを使用して、グループ、ライセンス、モデル、またはアクセス コントロール ポリシーのいずれかのカテゴリでデバイス一覧をソートして表示できます。マルチドメイン導入では、ドメイン(その導入のデフォルトの表示カテゴリ)を基準にソートして表示することもできます。デバイスはリーフ ドメインに属している必要があります。 |
||
監査ログの改善 |
監査ログは、Firepower Threat Defense Platform 設定の ページでポリシーが変更されたかどうかを示します。 |
||
FTD CLI コマンドの更新 |
Firepower Threat Defense デバイスの CLI コマンドの asa_mgmt_plane オプションと asa_dataplane オプションは、management-plane と data-plane にそれぞれ名前が変更されています。 |
||
Cisco Success Network |
Cisco Success Network は、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。 アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプト インまたはオプト アウトできます。 |
||
Web 分析トラッキング |
Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。 バージョン 6.2.3 にアップグレードすると、Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプト アウトできます。 |
||
Firepower Management Center REST API |
|||
Firepower Management Center REST API の改善 |
新しい Firepower Management Center REST API は、ASA FirePOWER から Firepower Threat Defense への移行時に、NAT ルール、スタティック ルーティング設定、および対応するオブジェクトに対する CRUD(作成、取得、アップグレード、削除)操作の使用をサポートしています。 NAT 用に新しく導入された API
Cisco ACI に Firepower Threat Defense デバイスを展開する場合、API を使用すると、APIC コントローラを介して、適切なスタティック ルートを適切に追加できるほか、特定のサービス グラフに必要なその他の設定も追加できます。また、API により、Firepower Threat Defense を ACI に挿入する最も柔軟性の高い方法である、PBR サービス グラフの挿入も可能になります。 スタティック ルート用に新しく導入された API
|
||
パフォーマンス |
|||
ポリシー展開の再起動の改善 |
バージョン 6.2.3 の機能強化として、Snort プロセスを再起動する設定が削減されました。Firepower Threat Defense デバイスでは、設定の展開により Snort プロセスが再起動し、トラフィック検査が中断され、管理対象デバイスがトラフィックを処理する方法次第でトラフィック フローが中断される可能性がある場合、展開の前に、管理 UI が警告を出すようになりました。 再起動の動作は、Firepower Device Manager を使用して管理されているデバイスでは異なることに注意してください。詳細については、Firepower Device Manager/FTD バージョン 6.2.3 の新機能 を参照してください。 |
||
ポリシー適用時のトラフィック ドロップ |
バージョン 6.2.3 では、configure snort preserve-connection {enable | disable} コマンドが Firepower Threat Defense CLI に追加されています。このコマンドは、Snort プロセスがダウンした場合に、ルーテッド インターフェイスとトランスペアレント インターフェイスで既存の接続を維持するかどうかを決定します。コマンドを無効にすると、Snort がダウンして、Snort が再開するまでドロップされたままになると、新規または既存のすべての接続がドロップされます。コマンドを有効にした場合、すでに許可されている接続は確立されたままですが、Snort が再び使用可能になるまで新しい接続を確立できません。 Firepower Device Manager で管理されている Firepower Threat Defense デバイスでは、このコマンドを永続的に無効にできないことに注意してください。次の設定の展開時に設定がデフォルトに戻ると、既存の接続がドロップされることがあります。 |
||
ローエンド アプライアンスのメモリ容量の増加 |
バージョン 6.1.0.7、6.2.0.5、6.2.2.2、および 6.2.3 では、Firepower ローエンド アプライアンスのメモリ容量が増加しています。これにより、ヘルス アラートの数が削減されます。 |
||
ISE pxGrid ディスカバリの高速化 |
ハイ アベイラビリティの ISE pxGrid に障害が発生した場合、または到達不能になった場合、Firepower Management Center は、新しいアクティブ pxGrid をより迅速に検出できるようになりました。 |
Firepower Device Manager/FTD バージョン 6.2.3 の新機能
リリース:2018年3月29日
次の表に、Firepower Device Manager を使用して設定された場合に FTD 6.2.3 で使用できる新機能を示します。
機能 |
説明 |
||
---|---|---|---|
SSL/TLS の復号 |
接続の内容を調べることができるように、SSL/TLS 接続を復号できます。復号しないと、暗号化された接続は、侵入およびマルウェアの脅威を識別したり、URL およびアプリケーション使用状況ポリシーへの準拠を強制したりするための効果的な検査が行えません。 ページおよび ダッシュボードが追加されました。
|
||
セキュリティ インテリジェンスのブラックリスト登録 |
新しい ページから設定できるセキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。許可された接続もすべてアクセス コントロール ポリシーによって引き続き評価され、最終的にドロップされる可能性があります。セキュリティ インテリジェンスを使用するには、脅威ライセンスを有効にする必要があります。また、[Policies] ダッシュボードの名前を [Access And SI Rules] に変更し、セキュリティ インテリジェンス同等のルールがアクセス ルールとともにダッシュボードに含まれるようになりました。 |
||
侵入ルールの調整 |
アクセス制御ルールを適用する事前に定義された侵入ポリシー内の侵入ルールのアクションを変更できます。トラフィックに一致するイベント(警告)をドロップまたは生成する各ルールを設定したり、ルールを無効にしたりできます。有効になっているルールのアクション(ドロップまたは警告に設定)のみ変更できます。デフォルトで無効になっているルールを有効にはできません。侵入ルールを調整するには、 を選択します。 |
||
侵入ポリシーに基づく自動ネットワーク分析ポリシー(NAP)割り当て |
以前のリリースでは、[Balanced Security and Connectivity] ネットワーク分析ポリシーが、特定の送信元/送信先のセキュリティ ゾーンとネットワーク オブジェクトの組み合わせに割り当てられた侵入ポリシーに関係なく、プリプロセッサ設定で常に使用されました。システムは自動的に NAP ルールを生成し、同じ名前の NAP と侵入ポリシーをそれらの基準に基づいてトラフィックに割り当てるようになりました。レイヤ 4 または 7 の基準を使用して異なる侵入ポリシーをトラフィック(それ以外は同じ送信元/送信先のセキュリティ ゾーンおよびネットワーク オブジェクトと一致する)に割り当てる場合、完全に一致する NAP および侵入ポリシーは取得されないことに注意してください。カスタム ネットワーク分析ポリシーは作成できません。 |
||
脅威、攻撃、およびターゲットのダッシュボード用のドリル ダウン レポート |
脅威、攻撃、およびターゲットのダッシュボードに移動して、報告された項目についての詳細を表示できるようになりました。これらのダッシュボードは [Monitoring] ページで使用できます。 これらの新しいレポートのため、6.2.3 より前のリリースからアップグレードする場合は、これらのダッシュボードのレポート データが失われます。 |
||
[Web Applications] ダッシュボード |
新しい [Web Applications] ダッシュボードは、Google など、ネットワークで使用されている上位の Web アプリケーションを示します。このダッシュボードはアプリケーションのダッシュボードを強化し、HTTP の使用率などのプロトコル指向の情報を提供します。 |
||
新しいゾーンのダッシュボードが入力ゾーンと出力ゾーンのダッシュボードを置き換え |
新しいゾーンのダッシュボードは、デバイスに入ってから出るトラフィックに対する上位セキュリティ ゾーンのペアを示します。このダッシュボードは、入力および出力ゾーンに対する個別のダッシュボードを置き換えます。 |
||
新しいマルウェア ダッシュボード |
新しいマルウェア ダッシュボードは、上位のマルウェアのアクションと判定結果の組み合わせを示します。ドリルダウンして、関連付けられているファイル タイプの情報を参照できます。この情報を表示するには、アクセス ルールにファイル ポリシーを設定する必要があります。 |
||
自己署名入りの内部証明書、および内部 CA 証明書 |
自己署名入りの内部アイデンティティ証明書を生成できるようになりました。また、SSL 復号ポリシーで使用するための、自己署名付きの内部 CA 証明書を生成し、アップロードできるようになりました。これらの機能を、 ページで設定します。 |
||
インターフェイスのプロパティ編集時に DHCP サーバの設定を編集する機能 |
インターフェイスのプロパティを編集すると同時に、インターフェイスに設定されている DHCP サーバの設定を編集できるようになりました。これにより、インターフェイスの IP アドレスを別のサブネットに変更する必要がある場合に、DHCP アドレス プールを簡単に再定義できます。 |
||
製品を改善し、効果的な技術サポートを提供するための、Cisco Success Network によるシスコへの利用状況や統計データの送信 |
Cisco Success Network に接続し、シスコにデータを送信できます。Cisco Success Network を有効にすることで、テクニカル サポートを提供するために不可欠な、使用状況の情報と統計情報をシスコに提供します。またこの情報により、シスコは製品を向上させ、未使用の使用可能な機能を認識させるため、ネットワーク内にある製品の価値を最大限に生かすことができます。Cisco Smart Software Manager でデバイスを登録するとき、または後から好きなときに、接続を有効にできます。接続はいつでも無効にできます。 Cisco Success Network はクラウド サービスです。 に変更されました。同じページから、Cisco Defense Orchestrator を設定できます。 ページの名前が [Cloud Services] |
||
Firepower Threat Defense Virtual カーネル ベースの仮想マシン(KVM)ハイパーバイザ デバイス用の設定 |
Firepower Device Manager を使用して Firepower Threat Defense Virtual for KVM デバイス上の FTD を設定できます。以前は、VMware のみがサポートされていました。
|
||
ISA 3000(Cisco 3000 シリーズ産業用セキュリティ アプライアンス)デバイスの設定 |
Firepower Device Manager を使用して ISA 3000 デバイス上の FTD を設定できます。ISA 3000 は脅威のライセンスのみをサポートしていることに注意してください。URL フィルタリングやマルウェアのライセンスはサポートしていません。したがって、ISA 3000 では URL フィルタリングやマルウェアのライセンスを必要とする機能は設定できません。 |
||
ルール データベースまたは VDB の更新でのオプションの展開 |
侵入ルール データベースまたは VDB を更新する、または更新スケジュールを設定する際に、更新が即時展開しないようにすることができます。更新プログラムは検査エンジンを再起動するため、展開時に瞬間的なトラフィックのドロップが発生します。自動的に展開しないことにより、トラフィックのドロップの影響が最小になる場合に展開を開始できます。
|
||
展開が Snort を再起動するかどうかを示す、改善されたメッセージ。さらに、展開時の Snort を再起動する必要性の低下 |
展開を開始する前に、Firepower Device Manager により、設定の更新で Snort の再起動が必要かどうかが示されます。Snort の再起動は、トラフィックの瞬間的なドロップを発生させます。したがって、展開がトラフィックに影響を与えず、すぐに実行できるかどうかがわかるようになったため、混乱が少ないときに展開できます。 さらに、以前のリリースでは展開の実行の度に Snort が再起動されていました。Snort は、次の理由でのみ再起動されるようになりました。
|
||
Firepower Device Manager の CLI コンソール |
Firepower Device Manager から CLI コンソールを開くことができるようになりました。CLI コンソールは SSH またはコンソール セッションを模倣していますが、コマンドのサブセットのみ(show 、ping 、traceroute 、および packet-tracer )を許可します。トラブルシューティングとデバイスのモニタリングに CLI コンソールを使用します。 |
||
管理アドレスへのアクセスのブロックのサポート |
プロトコルが管理 IP アドレスにアクセスできないようにするため、すべての管理アクセス リストのエントリを削除できるようになりました。以前は、すべてのエントリを削除すると、すべてのクライアント IP アドレスからのアクセスを許可するようにシステムのデフォルトが設定されていました。6.2.3 へのアップグレードでは、以前からのプロトコル(HTTPS または SSH)用の空の管理アクセス リストがあった場合、システムはすべての IP アドレス用のデフォルトの許可ルールを作成します。必要に応じて、これらのルールを削除できます。 また、SSH または HTTPS アクセスを無効にする場合を含み、Firepower Device Manager は CLI から管理アクセス リストに加えた変更を認識します。 少なくとも 1 つのインターフェイスに対する HTTPS アクセスを有効にしてください。そうしないとデバイスを設定および管理することができません。 |
||
デバイス CLI を使用した、機能の設定のための Smart CLI および FlexConfig |
Smart CLI と FlexConfig により、まだ Firepower Device Manager ポリシーおよび設定では直接サポートされていない機能を設定できます。Firepower Threat Defense は、ASA 設定コマンドを使用していくつかの機能を実装します。ASA 設定コマンドの知識があり、専門家ユーザの場合、次の方法を使用して、デバイスでこれらの機能を設定できます。
|
||
Firepower Threat Defense REST API、および API Explorer |
REST API を使用して、Firepower Device Manager を介してローカルで管理している Firepower Threat Defense デバイスをプログラムで操作できます。オブジェクト モデルを表示し、クライアント プログラムから作成できるさまざまな呼び出しのテストに使用できる API エクスプローラがあります。API エクスプローラを開くには、Firepower Device Manager にログインし、URL のパスを /#/api-explorer(https://ftd.example.com/#/api-explorer など)に変更します。 |