適応型プロファイル

ここでは、適応型プロファイルの設定方法について説明します。

アダプティブ プロファイルについて

次のことを行うには、アダプティブプロファイルを有効にする必要があります。

  • マルウェア保護(AMP)を含むアプリケーションとファイルの制御を実行し、侵入ルールがサービスメタデータを使用できるようにします。


    注意    

    アクセスコントロールルールでマルウェア防御(AMP)を含むアプリケーション/ファイル制御を実行し、侵入ルールでサービスメタデータを使用するためには、適応型プロファイルの設定の説明に従ってアダプティブプロファイルを有効(デフォルトの状態)にする必要があります
  • パッシブ展開では、アダプティブプロファイルの更新を有効にして、宛先ホストのオペレーティング システムに従って IP トラフィックに最適化とリアセンブルを行います。


    (注)  

    インライン展開では、アダプティブ プロファイルの更新を有効にする代わりに、インライン正規化プリプロセッサを設定し、[TCP ペイロードの正規化(Normalize TCP Payload)] オプションを有効にすることを推奨します。

アダプティブプロファイルのライセンス要件

FTD ライセンス

脅威

従来のライセンス

保護

アダプティブプロファイルの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

アダプティブプロファイルの更新

通常、システムはネットワーク分析ポリシーの静的な設定を使用して、トラフィックの前処理と分析を行います。アダプティブ プロファイルの更新では、ネットワーク検出で検出したホスト情報またはサード パーティからインポートしたホスト情報に合わせて、システムが処理動作を変更します。

プロファイルの更新は、ネットワーク分析ポリシーに手動で設定可能なターゲットベース プロファイルと同様に、ターゲット ホストのオペレーティング システムと同じ方法で、IP パケットの最適化およびストリームのリアセンブルを行うのに役立ちます。その後、侵入ルール エンジンは宛先ホストによって使用されるものと同じ形式でデータを分析します。

手動で設定されたターゲットベースのプロファイルは、選択したデフォルトのオペレーティング システムか固有のホストに構築したプロファイルのいずれかに適用されます。ただし、プロファイルの更新は、ターゲット ホストのホスト プロファイルのオペレーティング システムに基づいて適切なオペレーティング システム プロファイルに切り替わります。

10.6.0.0/16 サブネット向けにプロファイルの更新を設定し、Linux にデフォルトの IP 最適化ターゲットベース ポリシーを設定するシナリオを考えてみます。設定を構成する Firepower Management Center には 10.6.0.0/16 サブネットを含むネットワーク マップがあります。

  • システムが 10.6.0.0/16 サブネットにないホスト A からのトラフィックを検出すると、Linux ターゲットベース ポリシーを使用して IP フラグメントのリアセンブルを行います。

  • システムが 10.6.0.0/16 サブネット上にあるホスト B からのトラフィックを検出すると、ネットワーク マップからホスト B のオペレーティング システム データを取得します。システムは、このオペレーティング システムに基づいたプロファイルを使用し、ホスト B を宛先とするトラフィックを最適化します。

アダプティブプロファイルの更新および Firepower 推奨ルール

アダプティブ プロファイルの更新機能は、アクセス コントロール ポリシーの詳細設定で、そのアクセス コントロール ポリシーによって呼び出されるすべての侵入ポリシーにグローバルに適用されます。Firepower 推奨ルールの機能は、設定する個々の侵入ポリシーに適用されます。

Firepower 推奨ルールと同様に、プロファイルの更新はルールのメタデータをホスト情報と比較し、ルールを特定のホストに適用すべきかどうかを判別します。ただし、Firepower 推奨ルールがその情報を使用してルールの有効化または無効化を行うための推奨事項を提供するのに対して、プロファイルの更新はその情報を使用して特定のトラフィックに特定のルールを適用します。

Firepower 推奨ルールでは、提案された変更をルール状態に実装するために、ユーザーの対話が必要になります。一方、プロファイルの更新 は侵入ポリシーを変更しません。プロファイル更新に基づくルールの処理は、パケット単位で行われます。

さらに、Firepower では、推奨ルールが無効化されたルールを有効にできます。これに対して、プロファイルの更新 では、侵入ポリシーですでに有効になっているルールの適用のみに影響を与えます。プロファイルの更新 はルール状態を変更することはありません。

プロファイルの更新と Firepower 推奨ルールは組み合わせて使用できます。侵入ポリシーを展開すると、プロファイルの更新はルールの状態を使用して適用の候補に含めるかどうかを判別し、推奨事項の承認または拒否はそのルール状態に反映されます。両方の機能を使用して、監視対象の各ネットワークに最適なルールを有効化または無効化することができ、特定のトラフィックに対する有効化したルールの適用を最も効率的に行うことができます。

適応型プロファイルのオプション

有効(Enable)

このオプションを有効にする必要があるのは、次の場合です。

  • アクセスコントロールルールでマルウェア保護(AMP)を含めたアプリケーションとファイルの制御を実行する

  • 侵入ルールでサービス メタデータを使用する

このオプションは、デフォルトで有効です。

プロファイルの更新を有効にする(Enable Profile Updates)

パッシブ展開で、プロファイルの更新を有効にして、ネットワーク マップでホストが使用するオペレーティング システムのプロファイルに応じて IP トラフィックがデフラグおよびリアセンブルされるようにします。

アダプティブ プロファイル - 属性の更新間隔(Adaptive Profiles - Attribute Update Interval)

プロファイルの更新を有効にすると、Firepower Management Center から管理対象デバイスに対するネットワーク マップ データの同期の頻度を分単位で制御することができます。システムはデータを使用して、トラフィックを処理する際に使用するプロファイルを判別します。このオプションの値を大きくすると、大規模なネットワークでパフォーマンスを向上させることができます。

アダプティブ プロファイル - ネットワーク(Adaptive Profiles - Networks)

任意で、プロファイルの更新を有効にすると、IP アドレス、アドレス ブロック、およびネットワーク変数のカンマ区切りリストに対する プロファイルの更新 を制限して、パフォーマンスを向上させることができます。ネットワーク変数を使用すると、アクセス コントロール ポリシーのデフォルトの侵入ポリシーにリンクされている変数セットの変数の値が使用されるようになります。たとえば、192.168.1.101、192.168.4.0/24、$HOME_NET というように入力することができます。IPv4 と IPv6 がサポートされます。

デフォルト値(0.0.0.0/0)は、すべてのネットワークにアダプティブプロファイルの更新を適用します。


(注)  

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 上位ポリシーで プロファイルの更新 を有効にして適用する場合、Cisco では、デフォルトのネットワークの制約 0.0.0.0/0 を保持するか、または値 any を指定してネットワーク変数を使用することをお勧めしています。この設定により、すべてのサブドメインのすべてのモニター対象ホストに プロファイルの更新 が適用されるようになります。


適応型プロファイルの設定

パッシブ展開では、アダプティブ プロファイルの更新を設定することをお勧めします。インライン展開の場合、インライン正規化プリプロセッサの設定で [TCP ペイロードの正規化(Normalize TCP Payload)] オプションを有効にします。


注意    

アクセス コントロール ルールが AMP を含むアプリケーション制御およびファイル制御を行い、侵入ルールがサービス メタデータを使用するためには、この手順で説明されているように、アダプティブ プロファイルが必ず有効になっている(デフォルト状態)必要があります。


始める前に

アクセス コントロール ポリシーには、ホスト/サービスの検出を実行できるように有効になっている、ネットワーク検出ポリシーが必要です。または、ホストデータをサードパーティのソースからインポートする必要があります。

手順


ステップ 1

アクセス コントロール ポリシー エディタで [詳細(Advanced)] をクリックし、[検出拡張の設定(Detection Enhancement Settings)] セクションの横にあるをクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。

ステップ 2

適応型プロファイルのオプションの説明に従って適応型プロファイルのオプションを設定します。

ステップ 3

[OK] をクリックします。

ステップ 4

[保存(Save)] をクリックしてポリシーを保存します。


次のタスク