Firepower Management Center バージョン 6.5 コンフィギュレーションガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2023年1月13日金曜日

適応型プロファイル

ここでは、適応型プロファイルの設定方法について説明します。

アダプティブプロファイルについて

次のことを行うには、アダプティブプロファイルを有効にする必要があります。

マルウェア保護（AMP）を含むアプリケーションとファイルの制御を実行し、侵入ルールがサービスメタデータを使用できるようにします。

注意	アクセスコントロールルールでマルウェア防御（AMP）を含むアプリケーション/ファイル制御を実行し、侵入ルールでサービスメタデータを使用するためには、適応型プロファイルの設定の説明に従ってアダプティブプロファイルを有効（デフォルトの状態）にする必要があります。

パッシブ展開では、アダプティブプロファイルの更新を有効にして、宛先ホストのオペレーティングシステムに従って IP トラフィックに最適化とリアセンブルを行います。

（注）

インライン展開では、アダプティブプロファイルの更新を有効にする代わりに、インライン正規化プリプロセッサを設定し、[TCP ペイロードの正規化（Normalize TCP Payload）] オプションを有効にすることを推奨します。

アダプティブプロファイルのライセンス要件

FTD ライセンス

脅威

従来のライセンス

保護

アダプティブプロファイルの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

管理者
アクセス管理者
ネットワーク管理者

アダプティブプロファイルの更新

通常、システムはネットワーク分析ポリシーの静的な設定を使用して、トラフィックの前処理と分析を行います。アダプティブプロファイルの更新では、ネットワーク検出で検出したホスト情報またはサードパーティからインポートしたホスト情報に合わせて、システムが処理動作を変更します。

プロファイルの更新は、ネットワーク分析ポリシーに手動で設定可能なターゲットベースプロファイルと同様に、ターゲットホストのオペレーティングシステムと同じ方法で、IP パケットの最適化およびストリームのリアセンブルを行うのに役立ちます。その後、侵入ルールエンジンは宛先ホストによって使用されるものと同じ形式でデータを分析します。

手動で設定されたターゲットベースのプロファイルは、選択したデフォルトのオペレーティングシステムか固有のホストに構築したプロファイルのいずれかに適用されます。ただし、プロファイルの更新は、ターゲットホストのホストプロファイルのオペレーティングシステムに基づいて適切なオペレーティングシステムプロファイルに切り替わります。

10.6.0.0/16 サブネット向けにプロファイルの更新を設定し、Linux にデフォルトの IP 最適化ターゲットベースポリシーを設定するシナリオを考えてみます。設定を構成する Firepower Management Center には 10.6.0.0/16 サブネットを含むネットワークマップがあります。

システムが 10.6.0.0/16 サブネットにないホスト A からのトラフィックを検出すると、Linux ターゲットベースポリシーを使用して IP フラグメントのリアセンブルを行います。
システムが 10.6.0.0/16 サブネット上にあるホスト B からのトラフィックを検出すると、ネットワークマップからホスト B のオペレーティングシステムデータを取得します。システムは、このオペレーティングシステムに基づいたプロファイルを使用し、ホスト B を宛先とするトラフィックを最適化します。

アダプティブプロファイルの更新および Firepower 推奨ルール

アダプティブプロファイルの更新機能は、アクセスコントロールポリシーの詳細設定で、そのアクセスコントロールポリシーによって呼び出されるすべての侵入ポリシーにグローバルに適用されます。Firepower 推奨ルールの機能は、設定する個々の侵入ポリシーに適用されます。

Firepower 推奨ルールと同様に、プロファイルの更新はルールのメタデータをホスト情報と比較し、ルールを特定のホストに適用すべきかどうかを判別します。ただし、Firepower 推奨ルールがその情報を使用してルールの有効化または無効化を行うための推奨事項を提供するのに対して、プロファイルの更新はその情報を使用して特定のトラフィックに特定のルールを適用します。

Firepower 推奨ルールでは、提案された変更をルール状態に実装するために、ユーザーの対話が必要になります。一方、プロファイルの更新は侵入ポリシーを変更しません。プロファイル更新に基づくルールの処理は、パケット単位で行われます。

さらに、Firepower では、推奨ルールが無効化されたルールを有効にできます。これに対して、プロファイルの更新では、侵入ポリシーですでに有効になっているルールの適用のみに影響を与えます。プロファイルの更新はルール状態を変更することはありません。

プロファイルの更新と Firepower 推奨ルールは組み合わせて使用できます。侵入ポリシーを展開すると、プロファイルの更新はルールの状態を使用して適用の候補に含めるかどうかを判別し、推奨事項の承認または拒否はそのルール状態に反映されます。両方の機能を使用して、監視対象の各ネットワークに最適なルールを有効化または無効化することができ、特定のトラフィックに対する有効化したルールの適用を最も効率的に行うことができます。

適応型プロファイルのオプション

有効（Enable）

このオプションを有効にする必要があるのは、次の場合です。

アクセスコントロールルールでマルウェア保護（AMP）を含めたアプリケーションとファイルの制御を実行する
侵入ルールでサービスメタデータを使用する

このオプションは、デフォルトで有効です。

プロファイルの更新を有効にする（Enable Profile Updates）

パッシブ展開で、プロファイルの更新を有効にして、ネットワークマップでホストが使用するオペレーティングシステムのプロファイルに応じて IP トラフィックがデフラグおよびリアセンブルされるようにします。

アダプティブプロファイル - 属性の更新間隔（Adaptive Profiles - Attribute Update Interval）

プロファイルの更新を有効にすると、Firepower Management Center から管理対象デバイスに対するネットワークマップデータの同期の頻度を分単位で制御することができます。システムはデータを使用して、トラフィックを処理する際に使用するプロファイルを判別します。このオプションの値を大きくすると、大規模なネットワークでパフォーマンスを向上させることができます。

アダプティブプロファイル - ネットワーク（Adaptive Profiles - Networks）

任意で、プロファイルの更新を有効にすると、IP アドレス、アドレスブロック、およびネットワーク変数のカンマ区切りリストに対するプロファイルの更新を制限して、パフォーマンスを向上させることができます。ネットワーク変数を使用すると、アクセスコントロールポリシーのデフォルトの侵入ポリシーにリンクされている変数セットの変数の値が使用されるようになります。たとえば、192.168.1.101、192.168.4.0/24、$HOME_NET というように入力することができます。IPv4 と IPv6 がサポートされます。

デフォルト値（0.0.0.0/0）は、すべてのネットワークにアダプティブプロファイルの更新を適用します。

（注）

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。上位ポリシーでプロファイルの更新を有効にして適用する場合、Cisco では、デフォルトのネットワークの制約 0.0.0.0/0 を保持するか、または値 any を指定してネットワーク変数を使用することをお勧めしています。この設定により、すべてのサブドメインのすべてのモニター対象ホストにプロファイルの更新が適用されるようになります。

適応型プロファイルの設定

パッシブ展開では、アダプティブプロファイルの更新を設定することをお勧めします。インライン展開の場合、インライン正規化プリプロセッサの設定で [TCP ペイロードの正規化（Normalize TCP Payload）] オプションを有効にします。

注意	アクセスコントロールルールが AMP を含むアプリケーション制御およびファイル制御を行い、侵入ルールがサービスメタデータを使用するためには、この手順で説明されているように、アダプティブプロファイルが必ず有効になっている（デフォルト状態）必要があります。

始める前に

アクセスコントロールポリシーには、ホスト/サービスの検出を実行できるように有効になっている、ネットワーク検出ポリシーが必要です。または、ホストデータをサードパーティのソースからインポートする必要があります。

手順

ステップ 1	アクセスコントロールポリシーエディタで [詳細（Advanced）] をクリックし、[検出拡張の設定（Detection Enhancement Settings）] セクションの横にあるをクリックします。代わりに表示（）が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。
ステップ 2	適応型プロファイルのオプションの説明に従って適応型プロファイルのオプションを設定します。
ステップ 3	[OK] をクリックします。
ステップ 4	[保存（Save）] をクリックしてポリシーを保存します。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Firepower Management Center バージョン 6.5 コンフィギュレーション ガイド