システム構成の要件と前提条件
モデルのサポート
FMC
サポートされるドメイン
Global
ユーザの役割
管理者
- システム設定(System Configuration)
- システム構成の要件と前提条件
- システムの設定について
- アプライアンス情報
- HTTPS 証明書
- 外部データベース アクセスの設定
- データベース イベント数の制限
システム設定(System Configuration)
以下のトピックでは、Firepower Management Center および管理対象デバイスでシステム設定を行う方法について説明します。
システムの設定について
システム設定の設定値は、Firepower Management Center またはクラシック管理対象デバイス(ASA FirePOWER、NGIPSv)のいずれかに適用されます。
-
Firepower Management Center では、これらの構成設定は「ローカル」のシステム設定の一部です。Firepower Management Center 上のシステム設定は単一システムに固有のものであり、FMC のシステム設定への変更はそのシステムのみに影響する点に注意してください。
-
クラシック管理対象デバイスでは、プラットフォーム設定ポリシーの一部として Firepower Management Center から設定を適用します。共有ポリシーを作成して、展開全体で同様の設定になっている可能性の高い、管理対象デバイスに最適なシステム設定の設定値のサブセットを設定します。
Firepower Management Center システム設定のナビゲーション
システム設定により、Firepower Management Center の基本設定を特定します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
ナビゲーション ウィンドウを使用して、変更する設定を選択します。詳細については、表 1を参照してください。 |
システム設定
管理対象デバイスの場合、これらの設定の多くは、FMC から適用されるプラットフォーム設定ポリシーによって処理されることに注意してください。プラットフォーム設定ポリシーを参照してください。
|
設定 |
説明 |
|---|---|
|
アクセス コントロールの設定 |
ユーザーがアクセス コントロール ポリシーを追加または変更する際にユーザーにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。 |
|
アクセス リスト |
どのコンピュータが特定のポートでシステムにアクセスできるかを制御します。アクセス リストを参照してください。 |
|
監査ログ |
外部ホストに監査ログを送信するようにシステムを設定します。監査ログを参照してください。 |
|
監査ログ証明書 |
監査ログを外部ホストにストリーミングする際にチャネルを保護するようにシステムを設定します。監査ログ証明書を参照してください。 |
|
リコンサイルの変更 |
過去 24 時間にわたるシステムへの変更の詳細なレポートを送信するようにシステムを設定します。変更調整を参照してください。 |
|
コンソール設定 |
VGA またはシリアル ポート経由、または Lights-Out Management(LOM)経由のコンソール アクセスを設定します。リモート コンソールのアクセス管理を参照してください。 |
|
ダッシュボード |
ダッシュボードのカスタム分析ウィジェットを有効にします。ダッシュボード設定を参照してください。 |
|
データベース |
Firepower Management Center が保存できる各イベントのタイプの最大数を指定します。データベース イベント数の制限を参照してください。 |
|
DNS キャッシュ |
イベント表示ページで IP アドレスを自動的に解決するようにシステムを設定します。DNS キャッシュを参照してください。 |
|
電子メール通知 |
メール ホストを設定し、暗号化方式を選択して、電子メールベースの通知とレポートに認証クレデンシャルを提供します。電子メールの通知を参照してください。 |
|
外部データベース アクセス |
データベースへの外部読み取り専用アクセスを有効にし、ダウンロードするクライアント ドライバを提供します。外部データベース アクセスの設定を参照してください。 |
|
HTTPS Certificate |
必要に応じて、信頼できる認証局の HTTPS サーバー証明書を要求し、システムに証明書をアップロードします。HTTPS 証明書を参照してください。 |
|
情報 |
アプライアンスに関する最新情報を表示し、表示名を編集します。アプライアンス情報を参照してください。 |
|
侵入ポリシーの設定 |
ユーザーが侵入ポリシーを変更する際にユーザーにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。 |
|
言語 |
Web インターフェイスに異なる言語を指定します。言語の選択を参照してください。 |
|
ログイン バナー |
ユーザーがログインすると表示されるカスタム ログイン バナーを作成します。ログイン バナーを参照してください。 |
|
管理インターフェイス |
アプライアンスの IP アドレス、ホスト名、プロキシ設定などのオプションを変更します。管理インターフェイスを参照してください。 |
|
ネットワーク分析ポリシーの設定 |
ユーザーがネットワーク分析ポリシーを変更する際にユーザーにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。 |
|
プロセス |
Firepower のプロセスをシャットダウン、リブート、または再起動します。シャットダウンまたは再起動を参照してください。 |
|
リモート ストレージ デバイス |
バックアップとレポート用のリモート ストレージ デバイスを設定します。リモート ストレージ管理を参照してください。 |
|
REST API 設定 |
Firepower REST API 経由の Firepower Management Center へのアクセスを有効または無効にします。REST API 設定を参照してください。 |
|
シェル タイムアウト |
ユーザーのログイン セッションが非アクティブによりタイムアウトするまでのアイドル時間の長さを分単位で設定します。セッション タイムアウトを参照してください。 |
|
SNMP |
Simple Network Management Protocol (SNMP)のポーリングを有効にします。SNMP ポーリングを参照してください。 |
|
時刻(Time) |
現在の時刻設定を表示および変更します。時刻および時刻同期を参照してください。 |
|
時刻の同期 |
システムの時刻の同期を管理します。時刻および時刻同期を参照してください。 |
|
UCAPL/CC コンプライアンス |
米国国防総省によって設定される特定の要件の順守を有効にします。セキュリティ認定コンプライアンスの有効化を参照してください。 |
|
ユーザーの設定 |
Firepower Management Center を設定し、すべてのユーザーの正常なログインの履歴とパスワードの履歴を追跡するか、無効なログイン クレデンシャルを入力したユーザーに一時的なロックアウトを適用します。グローバル ユーザー構成時の設定を参照してください。 |
|
VMware ツール |
VMware ツールを有効にして Firepower Management Center Virtual で使用します。VMware Tools と仮想システムを参照してください。 |
|
脆弱性マッピング |
ホスト IP アドレスから送受信されるアプリケーション プロトコル トラフィックの脆弱性をそのホスト IP アドレスにマップします。脆弱性マッピングを参照してください。 |
|
Web 分析 |
システムからの個人を特定できない情報の収集を有効または無効にします。(オプション)Web 分析トラッキングのオプトアウト を参照してください。 |
アプライアンス情報
[システム(System)] > [設定(Configuration)] ページには、次の表に示す情報が含まれています。別途記載のない限り、フィールドはすべて読み取り専用です。
 (注) |
同様の情報が含まれている [ヘルプ(Help)] >[概要(About)] ページも参照してください。 |
|
フィールド |
説明 |
|---|---|
|
名前(Name) |
FMCアプライアンスに割り当てられた説明的な名前。ホスト名をアプライアンスの名前として使用できますが、このフィールドに別の名前を入力しても、ホスト名が変更されることはありません。 この名前は、特定の統合で使用されます。たとえば、SecureX および Cisco SecureX Threat Response との統合のデバイスリストに表示されます。 |
|
製品モデル(Product Model) |
アプライアンスのモデル名。 |
|
シリアル番号(Serial Number) |
アプライアンスのシリアル番号。 |
|
ソフトウェア バージョン(Software Version) |
アプライアンスに現在インストールされているソフトウェアのバージョン。 |
|
オペレーティング システム(Operating System) |
アプライアンス上で現在実行されているオペレーティング システム。 |
|
オペレーティング システム バージョン(Operating System Version) |
アプライアンス上で現在実行されているオペレーティング システムのバージョン。 |
|
IPv4 アドレス(IPv4 Address) |
デフォルト管理インターフェイス( |
|
IPv6 アドレス(IPv6 Address) |
デフォルト管理インターフェイス( |
|
現在のポリシー(Current Policies) |
現在展開されているシステム レベルのポリシー。ポリシーが最後に適用された後で更新されていると、ポリシー名がイタリック体で表示されます。 |
|
モデル番号(Model Number) |
内部フラッシュ ドライブに保存されているアプライアンス固有のモデル番号。この番号は、トラブルシューティングで重要になる場合があります。 |
HTTPS 証明書
Firepower Management Center デバイスは、セキュア ソケット レイヤ(SSL)証明書によりシステムと Web ブラウザ間に暗号化チャネルを確立することができます。すべての Firepower デバイスにデフォルト証明書が含まれていますが、これはグローバル レベルで既知の CA から信頼された認証局(CA)によって生成された証明書ではありません。したがって、デフォルト証明書ではなく、グローバル レベルで既知の CA または内部で信頼された CA 署名付きのカスタム証明書の使用を検討してください。
 注意 |
FMC は 4096 ビット HTTPS 証明書をサポートしています。FMC で使用する証明書が 4096 ビットを超える公開サーバー キーを使用して生成されている場合、FMC Web インターフェイスにログインできません。この問題が発生した場合は、Cisco TACにお問い合わせください。 |
デフォルト HTTPS サーバー証明書
アプライアンスに提供されるデフォルトサーバー証明書を使用する場合、Web インターフェイスのアクセスに有効な HTTPS クライアント証明書が必要になるようにシステムを設定しないでください。これは、デフォルトサーバー証明書が、クライアント証明書に署名する CA によって署名されないためです。
デフォルトのサーバー証明書の有効期間は、証明書がいつ生成されたかによって異なります。デフォルトのサーバー証明書の期限日を表示するには、 > [HTTPS証明書(HTTPS Certificate)] を選択します。
一部の Firepower ソフトウェアのアップグレードでは、証明書を自動的に更新できることに注意してください。詳細については、該当するバージョンの『Cisco Firepower Release Notes』を参照してください。
Firepower Management Centerで、 > [HTTPS証明書(HTTPS Certificate)] ページでデフォルトの証明書を更新します。
カスタム HTTPS サーバー証明書
Firepower Management Center Web インターフェイスを使用して、システム情報と指定した ID 情報に基づいて、サーバ証明書要求を生成できます。ブラウザによって信頼されている内部認証局(CA)がインストールされている場合は、この要求を使用して証明書に署名することができます。生成された要求を認証局に送信して、サーバー証明書を要求することもできます。認証局(CA)から署名付き証明書を取得すると、その証明書をインポートできます。
HTTPS サーバー証明書の要件
HTTPS 証明書を使用して Web ブラウザと Firepower アプライアンスの Web インターフェイスの間の接続を保護する場合は、インターネット X.509 公開キーインフラストラクチャ証明書および証明書失効リスト(CRL)プロファイル(RFC 5280)に準拠する証明書を使用する必要があります。サーバー証明書をアプライアンスにインポートする場合、証明書がその標準のバージョン 3(x.509 v3)に準拠していないと、システムによって証明書は拒否されます。
HTTPS サーバー証明書をインポートする前に、次のフィールドが含まれていることを確認してください。
|
証明書フィールド |
説明 |
|---|---|
|
バージョン |
エンコードされた証明書のバージョン。バージョン |
|
Serial number |
発行元 CA によって証明書に割り当てられた正の整数。発行者とシリアル番号を組み合わせて、証明書を一意に識別します。RFC 5280 のセクション 4.1.2.2 を参照してください。 |
|
シグネチャ |
証明書の署名用に CA で使用されるアルゴリズムの識別子。signatureAlgorithm フィールドと一致している必要があります。RFC 5280 のセクション 4.1.2.3 を参照してください。 |
|
発行元(Issuer) |
証明書を署名および発行したエンティティを識別します。RFC 5280 のセクション 4.1.2.4 を参照してください。 |
|
Validity |
CA が証明書のステータスに関する情報を維持することを保証する期間。RFC 5280 のセクション 4.1.2.5 を参照してください。 |
|
Subject |
サブジェクトの公開キーフィールドに保存された公開キーに関連付けられているエンティティを識別します。X.500 識別名(DN)を指定する必要があります。RFC 5280 のセクション 4.1.2.6 を参照してください。 |
|
Subject Public Key Info |
公開キーとそのアルゴリズムの識別子。RFC 5280 のセクション 4.1.2.7 を参照してください。 |
|
Authority Key Identifier |
証明書の署名に使用される秘密キーに対応する公開キーを識別する手段を提供します。RFC 5280 のセクション 4.2.1.1 を参照してください。 |
|
サブジェクトキー識別子 |
特定の公開キーが含まれる証明書を識別する手段を提供します。RFC 5280 のセクション 4.2.1.2 を参照してください。 |
|
[キーの使用状況(Key Usage)] |
証明書に含まれるキーの目的を定義します。RFC 5280 のセクション 4.2.1.3 を参照してください。 |
|
基本的制約 |
証明書のサブジェクトが CA で、この証明書を含む検証認証パスの最大深さかどうかを識別します。RFC 5280 のセクション 4.2.1.9 を参照してください。このフィールドは、Firepower アプライアンスで使用されるサーバー証明書については厳密には必要ありませんが、このフィールドを含めて、 |
|
拡張キーの用途拡張 |
キーの用途拡張で示されている基本的な目的に加えて、認定公開キーを使用する目的を 1 つ以上示します。RFC 5280 のセクション 4.2.1.12 を参照してください。サーバー証明書として使用できる証明書をインポートしてください。 |
|
signatureAlgorithm |
証明書の署名用に CA で使用されるアルゴリズムの識別子。[署名(Signature)] フィールドと一致する必要があります。RFC 5280 のセクション 4.1.1.2 を参照してください。 |
|
signatureValue |
デジタル署名。RFC 5280 のセクション 4.1.1.3 を参照してください。 |
HTTP クライアント証明書
クライアント ブラウザの証明書チェック機能を使用して、Firepower システムの Web サーバーへのアクセスを制限できます。ユーザ証明書を有効にすると、Web サーバはユーザのブラウザ クライアントで有効なユーザ証明書が選択されていることを確認します。そのユーザ証明書は、サーバ証明書で使用されているのと同じ信頼できる認証局によって生成されている必要があります。以下の状況ではいずれの場合もブラウザは Web インターフェイスをロードできません。
-
ユーザがブラウザに無効な証明書を選択する。
-
ユーザがブラウザにサーバ証明書に署名した認証局が生成していない証明書を選択する。
-
ユーザがブラウザにデバイスの証明書チェーンの認証局が生成していない証明書を選択する。
クライアント ブラウザ証明書を確認するには、システムを設定してオンライン証明書ステータスプロトコル(OCSP)を使用するか、1 つ以上の証明書失効リスト(CRL)ファイルをロードします。OCSP を使用する場合、Web サーバは接続要求を受信すると、接続を確立する前に認証局と通信して、クライアント証明書の有効性を確認します。サーバーに 1 つ以上の CRL をロードするよう設定する場合、Web サーバーはクライアント証明書を CRL の一覧に照らして比較します。ユーザーが CRL にある失効した証明書の一覧に含まれる証明書を選択した場合、ブラウザは Web インターフェイスをロードできません。
(注) |
CRL を使用した証明書の確認を選択すると、システムはクライアント ブラウザ証明書、監査ログ サーバ証明書の両方の検証に同じ CRL を使用します。 |
現在の HTTPS サーバ証明書の表示
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[HTTPS Certificate] をクリックします。 |
HTTPS サーバー証明書署名要求の生成
広く知られている CA または内部的に信頼できる CA によって署名されていない証明書をインストールすると、Web インターフェイスに接続しようとするとブラウザにセキュリティ警告が表示されます。
証明書署名要求(CSR)は生成元のアプライアンスまたはデバイスに対して一意です。1 つのアプライアンスの複数のデバイスに対して CSR を生成することはできません。必須のフィールドはありませんが、[CN]、[組織(Organization)]、[組織部門(Organization Unit)]、[市区町村(City/Locality)]、[州/都道府県(State/Province)]、[国/地域(Country/Region)] の値を入力することをお勧めします。
証明書要求用に生成されるキーは、ベース 64 エンコードの PEM 形式です。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[HTTPS Certificate] をクリックします。 |
||
| ステップ 3 |
[新規 CSR の生成(Generate New CSR)] をクリックします。 |
||
| ステップ 4 |
[国名(2 文字のコード)(Country Name (two-letter code))] フィールドに国番号を入力します。 |
||
| ステップ 5 |
[都道府県(State or Province)] フィールドに、都道府県名を入力します。 |
||
| ステップ 6 |
[市区町村(Locality or City)] を入力します。 |
||
| ステップ 7 |
[組織(Organization)] の名前を入力します。 |
||
| ステップ 8 |
[組織単位(部署名)(Organizational Unit (Department))] の名前を入力します。 |
||
| ステップ 9 |
[共通名(Common Name)] フィールドに、証明書を要求するサーバーの完全修飾ドメイン名を入力します。
|
||
| ステップ 10 |
[生成(Generate)] をクリックします。 |
||
| ステップ 11 |
テキスト エディタを開きます。 |
||
| ステップ 12 |
証明書要求のテキスト ブロック全体( |
||
| ステップ 13 |
このファイルを servername |
||
| ステップ 14 |
[閉じる(Close)] をクリックします。 |
次のタスク
-
証明機関に証明書要求を送信します。
-
署名された証明書を受け取ったら、Firepower Management Center にインポートします。HTTPS サーバー証明書のインポートを参照してください。
HTTPS サーバー証明書のインポート
証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、証明書チェーン(証明書パス)も提供する必要があります。
クライアント証明書が必要な場合、サーバ証明書が次に示すいずれかの条件を満たしていないときに、Web インターフェイス経由でのアプライアンスへのアクセスに失敗します。
-
証明書が、クライアント証明書に署名したものと同じ CA によって署名されている。
-
証明書が、証明書チェーンの中間証明書に署名したものと同じ CA によって署名されている。
注意 |
Firepower Management Center は 4096 ビット HTTPS 証明書をサポートしています。Firepower Management Center で使用する証明書が 4096 ビットを超える公開サーバー キーを使用して生成されている場合、FMC Web インターフェイスにログインできません。HTTPS 証明書のバージョン 6.0.0 への更新に関する詳細は、FirePOWER システムリリースノート、バージョン 6.0 の「Update Management Center HTTPS Certificates to Version 6.0」を参照してください。HTTPS 証明書を生成またはインポートしていて、FMC の Web インターフェイスにログインできない場合は、サポートまでお問い合わせください。 |
始める前に
-
証明書署名要求を生成します。HTTPS サーバー証明書署名要求の生成を参照してください。
-
この CSR ファイルを証明書の要求先となる認証局にアップロードするか、この CSR を使用して自己署名証明書を作成します。
-
証明書がHTTPS サーバー証明書の要件で説明されている要件を満たしていることを確認します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[HTTPS Certificate] をクリックします。 |
| ステップ 3 |
[HTTPSサーバ証明書のインポート(Import HTTPS Server Certificate)] をクリックします。 |
| ステップ 4 |
テキスト エディタでサーバー証明書を開いて、 |
| ステップ 5 |
秘密キーを指定する必要があるかどうかは、証明書署名要求の生成方法によって異なります。
|
| ステップ 6 |
必要な中間証明書をすべて開いて、それぞれのテキストのブロック全体をコピーして、[証明書チェーン(Certificate Chain)] フィールドに貼り付けます。ルート証明書を受け取った場合は、ここに貼り付けます。中間証明書を受け取った場合は、ルート証明書の下に貼り付けます。どちらの場合も、 |
| ステップ 7 |
[保存(Save)] をクリックします。 |
有効な HTTPS クライアント証明書の強制
FMC Webインターフェイスに接続するユーザーにユーザー証明書の提供を要求するには、次の手順を使用します。システムは、OCSP または PEM(Privacy-enhanced Electronic Mail)形式でインポートされた CRL を使用した HTTPS クライアント証明書の検証をサポートしています。
CRL を使用する場合は、失効した証明書のリストを最新の状態に保つために、CRL を更新するスケジュール タスクを作成してください。システムは、最後に更新した CRL を表示します。
(注) |
クライアント認証を有効にした後で Web インターフェイスにアクセスするには、ブラウザに有効なクライアント証明書が存在している(またはリーダーに CAC が挿入されている)必要があります。 |
始める前に
-
接続に使用するクライアント証明書に署名したものと同じ認証局で署名されたサーバ証明書をインポートします。HTTPS サーバー証明書のインポートを参照してください。
-
サーバー証明書チェーンをインポートします(必要な場合)。HTTPS サーバー証明書のインポートを参照してください。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[HTTPS Certificate] をクリックします。 |
||
| ステップ 3 |
[クライアント証明書の有効化(Enable Client Certificates)] を選択します。プロンプトが表示されたら、ドロップダウンリストから該当する証明書を選択します。 |
||
| ステップ 4 |
次の 3 つのオプションがあります。
|
||
| ステップ 5 |
既存の CRL ファイルへの有効な URL を入力して、[CRL の追加(Add CRL)] をクリックします。最大 25 個まで CRL の追加を繰り返します。 |
||
| ステップ 6 |
[CRL の更新(Refresh CRL)] をクリックして現在の CRL をロードするか、指定した URL から CRL をロードします。
|
||
| ステップ 7 |
クライアント証明書がアプライアンスにロードされた認証局によって署名されていることと、サーバ証明書がブラウザの証明書ストアにロードされている認証局によって署名されていることを確認します。(これらは同じ認証局であることが必要です)。
|
||
| ステップ 8 |
[保存(Save)] をクリックします。 |
デフォルトの HTTPS サービス証明書の更新
ログインしているアプライアンスのサーバー証明書のみを表示できます。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[HTTPS Certificate] をクリックします。 システムがデフォルトの HTTPS サーバー証明書を使用するように設定されている場合にのみ、ボタンが表示されます。 |
| ステップ 3 |
[HTTPS証明書の更新(Renew HTTPS Certificate)] をクリックします。(このオプションは、デフォルトの HTTPS サーバー証明書を使用するようにシステムが設定されている場合にのみ、証明書情報の下のディスプレイに表示されます)。 |
| ステップ 4 |
(オプション)[HTTPS 証明書の更新(Renew HTTPS Certificate)] ダイアログボックスで、[新しいキーの生成(Generate New Key)] を選択して証明書の新しいキーを生成します。 |
| ステップ 5 |
[HTTPS 証明書の更新(Renew HTTPS Certificate)] ダイアログボックスで [保存(Save)] をクリックします。 |
次のタスク
[HTTPS 証明書(HTTPS Certificate)] ページに表示されている証明書の有効日が更新されていることを確認することによって証明書が更新されていることを確認できます。
外部データベース アクセスの設定
サードパーティ製クライアントによるデータベースへの読み取り専用アクセスを許可するように、Firepower Management Center を設定できます。これによって、次のいずれかを使用して SQL でデータベースを照会できるようになります。
-
業界標準のレポート作成ツール(Actuate BIRT、JasperSoft iReport、Crystal Reports など)
-
JDBC SSL 接続をサポートするその他のレポート作成アプリケーション(カスタム アプリケーションを含む)
-
シスコが提供する RunQuery と呼ばれるコマンドライン型 Java アプリケーション(インタラクティブに実行することも、1 つのクエリの結果をカンマ区切り形式で取得することもできる)
Firepower Management Center のシステム設定を使用して、データベース アクセスを有効にして、選択したホストにデータベースの照会を許可するアクセス リストを作成します。このアクセス リストは、アプライアンスのアクセスは制御しません。
次のツールを含むパッケージをダウンロードすることもできます。
-
RunQuery(シスコが提供するデータベース クエリ ツール)
-
InstallCert(アクセスしたい Firepower Management Center から SSL 証明書を取得して受け入れるために使用できるツール)
-
データベースへの接続時に使用する必要がある JDBC ドライバ
データベース アクセスを構成するためにダウンロードしたパッケージ内のツールの使用方法については、『Firepower System Database Access Guide』を参照してください。
データベースへの外部アクセスの有効化
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[外部データベース アクセス(External Database Access)] をクリックします。 |
||
| ステップ 3 |
[外部データベース アクセスの許可(Allow External Database Access)] チェックボックスをオンにします。 |
||
| ステップ 4 |
[サーバ ホスト名(Server Hostname)] フィールドに、適切な値を入力します。サードパーティ アプリケーションの要件に応じて、この値は、Firepower Management Center の完全修飾ドメイン名(FQDN)、IPv4 アドレス、または IPv6 アドレスにできます。
|
||
| ステップ 5 |
[クライアント JDBC ドライバ(Client JDBC Driver)] の横にある [ダウンロード(Download)] をクリックし、ブラウザのプロンプトに従って |
||
| ステップ 6 |
1 つ以上の IP アドレスからのデータベース アクセスを追加するため、[Add Hosts] をクリックします。[アクセスリスト(Access List)] フィールドに [IP アドレス(IP Address)] フィールドが表示されます。 |
||
| ステップ 7 |
[IP アドレス(IP Address)] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、 |
||
| ステップ 8 |
[追加(Add)] をクリックします。 |
||
| ステップ 9 |
[保存(Save)] をクリックします。
|
データベース イベント数の制限
ディスク容量を管理するために、FMC は、最も古い侵入イベント、監査レコード、セキュリティ インテリジェンス データ、URL フィルタリングデータをイベントデータベースから定期的にプルーニングします。イベントタイプごとに、FMC がプルーニング後に保持するレコードの数を指定できます。そのタイプに設定された保持制限を超える数のレコードを含むイベントデータベースには依存しないでください。パフォーマンスを向上させるには、定期的に処理するイベント数に合わせてイベント制限を調整します。必要に応じて、プルーニングが発生したときに電子メール通知を受け取ることを選択できます。一部のイベント タイプでは、ストレージを無効にすることができます。
個々のイベントを手動で削除するには、イベントビューアを使用します。データベースを手動で消去することもできます。データストレージを参照してください。
データベース イベント数の制限の設定
始める前に
-
Firepower Management Center のデータベースからイベントがプルーニングされた場合に電子メール通知を受信するには、電子メール サーバーを設定する必要があります。メール リレー ホストおよび通知アドレスの設定を参照してください。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[データベース(Database)] を選択します。 |
| ステップ 3 |
各データベースについて、保存するレコードの数を入力します。 各データベースが保持できるレコード数の詳細については、データベース イベント数の制限を参照してください。 |
| ステップ 4 |
必要に応じて、[データ プルーニング通知のアドレス(Data Pruning Notification Address)] フィールドに、プルーニング通知を受信する電子メール アドレスを入力します。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
データベース イベント数の制限
次の表に、Firepower Management Center に保存可能な各イベント タイプのレコードの最小数と最大数を示します。
|
イベントタイプ |
上限 |
下限 |
|---|---|---|
|
侵入イベント |
1,000 万(FMC Virtual) 3,000 万(FMC1000、FMC1600) 6,000 万(FMC2000、FMC2500、FMC2600、FMCv 300) 3 億(FMC4000、FMC4500、FMC4600) |
10,000 |
|
検出イベント |
1,000 万 (FMC 仮想) 2,000 万(FMC2000、FMC2500、FMC2600、FMC4000、 FMC4500、FMC4600、FMCv 300) |
0(ストレージを無効化) |
|
接続イベント セキュリティ インテリジェンス イベント |
5,000 万(FMC 仮想) 1 億(FMC1000、FMC1600) 3 億(FMC2000、FMC2500、FMC2600、FMCv 300) 10 億(FMC4000、FMC4500、FMC4600) 制限は接続イベントとセキュリティ インテリジェンス イベントの間で共有されます。設定済みの最大数の合計がこの制限を超えることはできません。 |
0(ストレージを無効化) [Maximum Connection Events] をゼロに設定すると、既存の接続イベントがただちに消去されます。 Firepower Management Center の接続イベントストレージを無効にしても、リモートイベントストレージには影響せず、接続の概要や相関にも影響しないことに注意してください。システムは、引き続き、トラフィックプロファイル、相関ポリシー、ダッシュボード表示などの機能に接続イベント情報を使用します。 |
|
接続の要約(集約された接続イベント) |
5,000 万(FMC 仮想) 1 億(FMC1000、FMC1600) 3 億(FMC2000、FMC2500、FMC2600、FMCv 300) 10 億(FMC4000、FMC4500、FMC4600) |
0(ストレージを無効化) |
|
相関イベントおよびコンプライアンスの white リストイベント |
100 万 (FMC 仮想) 200 万(FMC2000、FMC2500、FMC2600、FMC4000、FMC4500、FMC4600、 FMCv 300) |
1 つ |
|
マルウェア イベント |
1,000 万 (FMC 仮想) 2,000 万(FMC2000、FMC2500、FMC2600、FMC4000、FMC4500、FMC4600、 FMCv 300) |
10,000 |
|
ファイル イベント |
1,000 万 (FMC 仮想) 2,000 万(FMC2000、FMC2500、FMC2600、FMC4000、FMC4500、FMC4600、 FMCv 300) |
0(ストレージを無効化) |
|
ヘルス イベント |
100 万 |
0(ストレージを無効化) |
|
監査レコード |
100,000 |
1 つ |
|
修復ステータス イベント |
1,000 万 |
1 つ |
|
White リスト違反履歴 |
30 日間の違反履歴 |
1 日の履歴 |
|
ユーザ アクティビティ(ユーザ イベント) |
1,000 万 |
1 つ |
|
ユーザ ログイン(ユーザ履歴) |
1,000 万 |
1 つ |
|
侵入ルール更新のインポート ログ レコード |
100 万 |
1 つ |
|
VPN トラブルシューティング データベース |
1,000 万 |
0(ストレージを無効化) |
管理インターフェイス
セットアップの完了後、管理ネットワーク設定を変更することができます。これには、FMC での管理インターフェイス、ホスト名、検索ドメイン、DNS サーバー、HTTP プロキシの追加が含まれます。
FMC 管理インターフェイスの概要
デフォルトでは、FMC はすべてのデバイスを 1 つの管理インターフェイス上で制御します。また、初期設定や、管理者として FMC にログインする際にも管理インターフェイスで行うことができます。管理インターフェイスは、スマートライセンスサーバーとの通信、更新プログラムのダウンロード、その他の管理機能の実行にも使用します。
デバイス管理インターフェイスについては、デバイス管理インターフェイスについてを参照してください。
FMC の管理インターフェイス
FMC では、初期セットアップ、管理者の HTTP アクセス、デバイスの管理、ならびにその他の管理機能(ライセンス管理や更新など)に、eth0 インターフェイスが使用されます。
同じネットワーク上、あるいは別のネットワーク上に、追加の管理インターフェイスを設定することもできます。FMC が管理するデバイスの数が多い場合、管理インターフェイスをさらに追加することで、スループットとパフォーマンスの向上につながります。これらの管理インターフェイスをその他すべての管理機能に使用することもできます。管理インターフェイスごとに、対応する機能を限定することをお勧めします。たとえば、ある特定の管理インターフェイスを HTTP 管理者アクセス用に使用し、別の管理インターフェイスをデバイスの管理に使用するなどです。
デバイス管理用に、管理インターフェイスには 2 つの別個のトラフィック チャネルがあります。管理トラフィック チャネルはすべての内部トラフィック(デバイス管理に固有のデバイス間トラフィックなど)を伝送し、イベント トラフィック チャネルはすべてイベント トラフィック(Web イベントなど)を伝送します。オプションで、FMC 上にイベントを処理するためのイベント専用インターフェイスを別個に設定することもできます。設定できるイベント専用インターフェイスは 1 つだけです。イベント トラフィックは大量の帯域幅を使用する可能性があるので、管理トラフィックからイベント トラフィックを分離することで、FMC のパフォーマンスを向上させることができます。たとえば、10 GigabitEthernet インターフェイスをイベント インターフェイスとして割り当て、可能なら、1 GigabitEthernet インターフェイスを管理用に使用します。たとえば、イベント専用インターフェイスは完全にセキュアなプライベート ネットワーク上に設定し、通常の管理インターフェイスはインターネットにアクセスできるネットワーク上で使用することをお勧めします。目的がスループットの向上だけである場合は、管理インターフェイスとイベント インターフェイスを同じネットワーク上で使用することもできます。管理対象デバイスは、管理トラフィックを FMC の管理インターフェイスに送信し、イベントトラフィックを FMC のイベント専用インターフェイスに送信します。管理対象デバイスがイベント専用インターフェイスに到達できない場合、フォールバックして管理インターフェイスにイベントを送信します。
(注) |
すべての管理インターフェイスは、アクセスリスト設定による制御に従って HTTP 管理者アクセスをサポートしています(アクセス リストの設定)。逆に、インターフェイスを HTTP アクセスのみに制限することはできません。管理インターフェイスでは、常にデバイス管理がサポートされます(管理トラフィック、イベント トラフィック、またはその両方)。 |
(注) |
eth0 インターフェイスのみが DHCP IP アドレスをサポートします。他の管理インターフェイスはスタティック IP アドレスのみをサポートします。 |
FMCモデルごとの管理インターフェイスサポート
管理インターフェイスの場所については、ご使用のモデルのハードウェア インストレーションガイドを参照してください。
各 FMC モデルでサポートされる管理インターフェイスについては、以下の表を参照してください。
|
モデル |
管理インターフェイス |
|---|---|
|
MC2000、MC4000 |
eth0(デフォルト) eth1 eth2 eth3 |
|
MC1000 |
eth0(デフォルト) eth1 |
|
MC2500、MC4500 |
eth0(デフォルト) eth1 eth2 eth3 |
|
MC1600、MC2600、MC4600 |
eth0(デフォルト) eth1 eth2 eth3 CIMC(Lights-Out Management でのみサポート) |
|
Firepower Management Center Virtual |
eth0(デフォルト) |
FMC 管理インターフェイス上のネットワークルート
管理インターフェイス(イベント専用インターフェイスを含む)は、リモート ネットワークに到達するためのスタティック ルートのみをサポートしています。FMC をセットアップすると、セットアッププロセスにより、指定したゲートウェイ IP アドレスへのデフォルトルートが作成されます。このルートを削除することはできません。また、このルートで変更できるのはゲートウェイ アドレスのみです。
一部のプラットフォームでは、複数の管理インターフェイスを設定できます。デフォルト ルートには出力インターフェイスが含まれていないため、選択されるインターフェイスは、指定したゲートウェイ アドレスと、ゲートウェイが属するインターフェイスのネットワークによって異なります。デフォルト ネットワーク上に複数のインターフェイスがある場合、デバイスは出力インターフェイスとして番号の小さいインターフェイスを使用します。
リモートネットワークにアクセスするには、管理インターフェイスごとに 1 つ以上のスタティックルートを使用することをお勧めします。他のデバイスから FMC へのルーティングの問題など、潜在的なルーティングの問題を回避するために、各インターフェイスを個別のネットワークに配置することをお勧めします。同じネットワーク上のインターフェイスで問題が発生していない場合は、必ずスタティックルートを正しく設定してください。たとえば、FMC で、eth0 と eth1 の両方が同じネットワーク上にありますが、各インターフェイスで異なるデバイスグループを管理するとします。デフォルト ゲートウェイは 192.168.45.1 です。eth1 でリモート 10.6.6.0/24 宛先ネットワーク上のデバイスを管理する場合は、同じ 192.168.45.1 のゲートウェイを使用して eth1 経由で 10.6.6.0/24 用のスタティック ルートを作成できます。10.6.6.0/24 へのトラフィックは、デフォルト ルートの前にこのルートに到達するため、eth1 が想定どおりに使用されます。
2 つの FMC インターフェイスを使用して同じネットワーク上のリモートデバイスを管理する場合は、デバイス IP アドレスごとに別のスタティックルートが必要なため、FMC のスタティックルーティングが適切に拡張できないことがあります。
別の例には、FMC と管理対象デバイスの両方に個別の管理インターフェイスとイベント専用インターフェイスが含まれています。イベント専用インターフェイスは、管理インターフェイスとは別のネットワーク上にあります。この場合は、リモート イベント専用ネットワーク宛てのトラフィック用にイベント専用インターフェイスを介してスタティック ルートを追加します。その逆も同様です。
NAT 環境
ネットワーク アドレス変換(NAT)とは、ルータを介したネットワーク トラフィックの送受信方式であり、送信元または宛先 IP アドレスの再割り当てが行われます。NAT の最も一般的な用途は、プライベート ネットワークがインターネットと通信できるようにすることです。スタティック NAT は 1:1 変換を実行し、デバイスとの FMC 通信に支障はありませんが、ポート アドレス変換(PAT)がより一般的です。PAT では、単一のパブリック IP アドレスと一意のポートを使用してパブリック ネットワークにアクセスできます。これらのポートは必要に応じて動的に割り当てられるため、PAT ルータの背後にあるデバイスへの接続は開始できません。
通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。デバイスを追加するときに、FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。
たとえば、デバイスを FMC に追加したときにデバイスの IP アドレスがわからない場合(たとえばデバイスが PAT ルータの背後にある場合)は、NAT ID と登録キーのみを FMC に指定します。IP アドレスは空白のままにします。デバイス上で、FMC の IP アドレス、同じ NAT ID、および同じ登録キーを指定します。デバイスが FMC の IP アドレスに登録されます。この時点で、FMC は IP アドレスの代わりに NAT ID を使用してデバイスを認証します。
NAT 環境では NAT ID を使用するのが最も一般的ですが、NAT ID を使用することで、多数のデバイスを簡単に FMC に追加することができます。FMC で、追加するデバイスごとに IP アドレスは空白のままにして一意の NAT ID を指定し、次に各デバイスで、FMC の IP アドレスと NAT ID の両方を指定します。注:NAT ID はデバイスごとに一意でなければなりません。
次の例に、PAT IP アドレスの背後にある 3 台のデバイスを示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、デバイス上の FMC の IP アドレスを指定します。
次の例に、PAT IP アドレスの背後にある FMC を示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、FMC 上のデバイスの IP アドレスを指定します。
管理およびイベント トラフィック チャネルの例
以下に、Firepower Management Center と管理対象デバイスでデフォルト管理インターフェイスのみを使用する例を示します。
以下に、Firepower Management Center でデバイスごとに別個の管理インターフェイスを使用する例を示します。この場合、各管理対象デバイスが 1 つの管理インターフェイスを使用します。
以下に、個別のイベント インターフェイスを使用する Firepower Management Center と管理対象デバイスの例を示します。
以下に、Firepower Management Center 上で複数の管理インターフェイスと個別のイベント インターフェイスが混在し、個別のイベント インターフェイスを使用する管理対象デバイスと単一の管理インターフェイスを使用する管理対象デバイスが混在する例を示します。
FMC 管理インターフェイスの変更
注意 |
FTD で直接終端する VPN トンネル経由で FMC 展開をプッシュしないでください。FMC 展開をプッシュすると、トンネルが非アクティブ化され、FMC と FTD が切断される可能性があります。 この状況からデバイスを回復すると、中断時間が長くなり、ディザスタリカバリ手順の実行が必要になる場合があります。この手順では、マネージャを FMC からローカルに変更し、デバイスを最初から設定することで、FTD を工場出荷時のデフォルト設定にリセットします。詳細については、VPN トンネルを介した FMC ポリシー構成の展開を参照してください。 |
Firepower Management Center で管理インターフェイスの設定を変更します。オプションとして追加の管理インターフェイスを有効にしたり、イベントのみのインターフェイスを設定したりできます。
注意 |
接続されている管理インターフェイスを変更する場合は十分にご注意ください。設定エラーのために再接続できない場合は、FMC コンソール ポートにアクセスして、Linux シェルでネットワーク設定を再設定する必要があります。この操作では、Cisco TAC に連絡する必要があります。 |
(注) |
FMC IP アドレスを変更する場合は、次のタスクで、デバイスを FMC に追加した方法に応じて、デバイス管理の接続を確保します。
|
(注) |
高可用性設定では、登録された Firepower デバイスの管理 IP アドレスをデバイスの CLI または Firepower Management Center から変更した場合、HA 同期後も、セカンダリ Firepower Management Center には変更が反映されません。セカンダリ Firepower Management Center も更新されるようにするには、2 つの Firepower Management Center の間でロールを切り替えて、セカンダリ Firepower Management Center をアクティブユニットにします。現在アクティブな Firepower Management Center のデバイス管理のページで、登録されている Firepower デバイスの管理 IP アドレスを変更します。 |
始める前に
-
デバイス管理の仕組みについては、デバイス管理インターフェイスについてを参照してください。
-
プロキシを使用する場合:
-
NT LAN Manager(NTLM)認証を使用するプロキシはサポートされません。
-
スマート ライセンスを使用しているか、または使用する予定がある場合は、プロキシの FQDN は 64 文字以内にする必要があります。
-
手順
| ステップ 1 |
を選択し、次に [管理インターフェイス(Management Interfaces)] を選択します。 |
||||
| ステップ 2 |
[インターフェイス(Interfaces)] エリアで、設定するインターフェイスの横にある [編集(Edit)] をクリックします。 このセクションでは、利用可能なすべてのインターフェイスがリストされます。インターフェイスをさらに追加することはできません。 それぞれの管理インターフェイスに対して、以下のオプションを設定できます。
|
||||
| ステップ 3 |
[ルート(Routes)] エリアで、静的ルートを をクリックして編集するか、または をクリックして追加します。
追加の各インターフェイスがリモート ネットワークに到達するには、スタティック ルートが必要です。新しいルートが必要になるケースの詳細については、FMC 管理インターフェイス上のネットワークルートを参照してください。
次の設定をスタティック ルートに対して設定できます。
|
||||
| ステップ 4 |
[共有設定(Shared Settings)] エリアで、すべてのインターフェイスで共有されているネットワーク パラメータを設定します。
次の共有設定を行うことができます。
|
||||
| ステップ 5 |
[ICMPv6] 領域で、ICMPv6 の設定を行います。
|
||||
| ステップ 6 |
[プロキシ(Proxy)] エリアで、HTTP プロキシ設定をします。 FMC は、ポート TCP/443(HTTPS)および TCP/80(HTTP)でインターネットに直接接続するように構成されています。HTTP ダイジェスト経由で認証できるプロキシ サーバーを使用できます。 このトピックの前提条件のプロキシの要件を参照してください。 |
||||
| ステップ 7 |
[保存(Save)] をクリックします。 |
||||
| ステップ 8 |
FMC IP アドレスを変更する場合は、次のタスクを参照して、デバイスを FMC に追加した方法に応じて、デバイス管理の接続を確保します。
|
をクリックしてルートテーブルを表示します。
シャットダウンまたは再起動
FMC のプロセスのシャットダウンおよび再起動を制御するには、Web インターフェイスを使用します。次の操作を実行できます。
-
シャットダウン:アプライアンスのグレースフル シャットダウンを開始します。
注意
電源ボタンを使用して Firepower アプライアンスを停止しないでください。データが失われる可能性があります。Web インターフェイス(または CLI)を使用すると、設定データを失うことなく、安全にシステムの電源を切って再起動する準備が整います。
-
リブート:シャットダウンしてグレースフルに再起動します。
-
コンソールの再起動:通信、データベース、HTTP サーバーのプロセスを再起動します。これは通常、トラブルシューティングの際に使用されます。
 ヒント |
仮想デバイスの場合は、ご使用の仮想プラットフォームのマニュアルを参照してください。特に VMware の場合、カスタム電源オプションは VMware ツールの一部です。 |
FMC のシャットダウンまたは再起動
手順
| ステップ 1 |
を選択します。 |
||||||||||
| ステップ 2 |
[プロセス(Process)] を選択します。 |
||||||||||
| ステップ 3 |
次のいずれかを実行します。
|
リモート ストレージ管理
Firepower Management Center では、バックアップおよびレポートのローカル ストレージまたはリモート ストレージとして、以下を使用することができます。
-
ネットワーク ファイル システム(NFS)
-
サーバ メッセージ ブロック(SMB)/Common Internet File System(CIFS)
-
セキュア シェル(SSH)
1 つのリモート システムにバックアップを送信し、別のリモート システムにレポートを送信することはできませんが、どちらかをリモート システムに送信し、もう一方を Firepower Management Center に格納することは可能です。
ヒント |
リモート ストレージを構成して選択した後は、接続データベースの制限を増やさなかった場合にのみ、ローカル ストレージに戻すことができます。 |
Management Center リモートストレージ:サポートされるプロトコルとバージョン
|
Management Center のバージョン |
NFS のバージョン |
SSH Version |
SMB のバージョン |
|---|---|---|---|
|
6.4 |
V3/V4 |
openssh 7.3p1 |
V2/V3 |
|
6.5 |
V3/V4 |
ciscossh 1.6.20 |
V2/V3 |
プロトコルバージョンを有効にするコマンド
ルートユーザーとして次のコマンドを実行して、プロトコルバージョンを有効にします。
-
NFS:
/bin/mount -t nfs '10.10.4.225':'/home/manual-check' '/mnt/remote-storage' -o 'rw,vers=4.0' -
SMB:
/usr/bin/mount.cifs //10.10.0.100/pyallapp-share/testing-smb /mnt/remote-storage -o username=administrator,password=******,vers=3.0
ローカル ストレージの設定
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[リモート ストレージ デバイス(Remote Storage Device)] を選択します。 |
| ステップ 3 |
[ストレージ タイプ(Storage Type)] ドロップダウン リストから [ローカル(リモート ストレージなし)(Local (No Remote Storage))] を選択します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
リモート ストレージの NFS の設定
始める前に
-
外部リモート ストレージ システムが機能しており、FMC からアクセスできることを確認します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[リモート ストレージ デバイス(Remote Storage Device)] をクリックします。 |
| ステップ 3 |
[ストレージ タイプ(Storage Type)] ドロップダウン リストから [NFS] を選択します。 |
| ステップ 4 |
接続情報を追加します。
|
| ステップ 5 |
必要に応じて、[詳細オプションの使用(Use Advanced Options)] チェックボックスをオンにして、必要なコマンド ライン オプションを入力します。リモート ストレージ管理の詳細オプションを参照してください。 |
| ステップ 6 |
[システムの使用方法(System Usage)] で、次の手順を実行します。
|
| ステップ 7 |
設定をテストするには、[テスト(Test)] をクリックします。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
リモート ストレージ用の SMB の設定
始める前に
外部リモートストレージシステムが機能していて、FMC からアクセスできることを確認します。
-
システムに認識されるのは、ファイルのフルパスではなく、最上位の SMB 共有です。使用する正確なディレクトリを共有するには、Windows を使用する必要があります。
-
FMC から SMB 共有にアクセスするために使用する Windows ユーザーが、共有場所の読み取り/変更のアクセス権を持っていることを確認してください。
-
セキュリティを確保するには、SMB 2.0 以降をインストールする必要があります。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[リモート ストレージ デバイス(Remote Storage Device)] をクリックします。 |
| ステップ 3 |
[ストレージ タイプ(Storage Type)] ドロップダウン リストから [SMB] を選択します。 |
| ステップ 4 |
接続情報を追加します。
|
| ステップ 5 |
必要に応じて、[詳細オプションの使用(Use Advanced Options)] チェックボックスをオンにして、必要なコマンド ライン オプションを入力します。リモート ストレージ管理の詳細オプションを参照してください。 |
| ステップ 6 |
[システムの使用方法(System Usage)] で、次の手順を実行します。
|
| ステップ 7 |
設定をテストするには、[テスト(Test)] をクリックします。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
リモート ストレージの SSH の設定
始める前に
-
外部リモート ストレージ システムが機能しており、Firepower Management Center からアクセスできることを確認します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[リモート ストレージ デバイス(Remote Storage Device)] をクリックします。 |
| ステップ 3 |
[ストレージ タイプ(Storage Type)] ドロップダウン リストから [SSH] を選択します。 |
| ステップ 4 |
接続情報を追加します。
|
| ステップ 5 |
必要に応じて、[詳細オプションの使用(Use Advanced Options)] チェックボックスをオンにして、必要なコマンド ライン オプションを入力します。リモート ストレージ管理の詳細オプションを参照してください。 |
| ステップ 6 |
[システムの使用方法(System Usage)] で、次の手順を実行します。
|
| ステップ 7 |
設定をテストする場合は、[テスト(Test)] をクリックする必要があります。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
リモート ストレージ管理の詳細オプション
Secure File Transfer Protocol(SFTP)を使用してレポートとバックアップを保存するために、ネットワーク ファイル システム(NFS)プロトコル、サーバーメッセージブロック(SMB)プロトコル、または SSH を選択すると、NFS、SMB、SSH マウントのメインページに記載されているいずれかのマウントバイナリオプションを使用するために、[詳細設定オプションの使用(Use Advanced Options)] チェック ボックスを選択できます。
SMB または NFS ストレージタイプを選択した場合、[コマンドラインオプション(Command Line Option)] フィールドで次の形式を使用してリモートストレージのバージョン番号を指定できます。
vers=versionここで、version は、使用する SMB または NFS リモートストレージのバージョン番号です。たとえば、NFSv4 を選択するには、vers=4.0 と入力します。
vers=3.0ここで、暗号化された SMBv3 を選択して、バックアップファイルを FMC から暗号化された SMB ファイルサーバーにコピーまたは保存します。
変更調整
ユーザが行う変更をモニタし、変更が部門の推奨する標準に従っていることを確認するため、過去 24 時間に行われたシステム変更の詳細なレポートを電子メールで送信するようにシステムを構成できます。ユーザが変更をシステム構成に保存するたびに、変更のスナップショットが取得されます。変更調整レポートは、これらのスナップショットによる情報を組み合わせて、最近のシステム変更の概要を提供します。
次の図は、変更調整レポートの [ユーザー(User)] セクションの例を示しています。ここには、各構成の変更前の値と変更後の値の両方が一覧表示されています。ユーザが同じ構成に対して複数の変更を行った場合は、個々の変更の概要が最新のものから順に時系列でレポートに一覧表示されます。
過去 24 時間に行われた変更を参照できます。
変更調整の設定
始める前に
-
24 時間にシステムに行われた変更のメール送信されるレポートを受信する電子メール サーバーを設定します。詳細については、メール リレー ホストおよび通知アドレスの設定を参照してください。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[変更調整(Change Reconciliation)] をクリックします。 |
||
| ステップ 3 |
[有効(Enable)] チェックボックスをオンにします。 |
||
| ステップ 4 |
[実行する時間(Time to Run)] ドロップダウン リストから、システムが変更調整レポートを送信する時刻を選択します。 |
||
| ステップ 5 |
[メール宛先(Email to)] フィールドにメール アドレスを入力します。
|
||
| ステップ 6 |
ポリシーの変更を追加する場合は、[ポリシー設定を含める(Include Policy Configuration)] チェックボックスをオンにします。 |
||
| ステップ 7 |
過去 24 時間のすべての変更を含める場合は、[全変更履歴を表示(Show Full Change History)] チェックボックスをオンにします。 |
||
| ステップ 8 |
[保存(Save)] をクリックします。 |
変更調整オプション
[ポリシー設定を含める(Include Policy Configuration)] オプションは、ポリシーの変更のレコードを変更調整レポートに含めるかどうかを制御します。これには、アクセス制御、侵入、システム、ヘルス、およびネットワーク検出の各ポリシーの変更が含まれます。このオプションを選択しなかった場合は、ポリシーの変更はどれもレポートに表示されません。このオプションは Firepower Management Center のみで使用できます。
[すべての変更履歴を表示する(Show Full Change History)] オプションは、過去 24 時間のすべての変更のレコードを変更調整レポートに含めるかどうかを制御します。このオプションを選択しなかった場合は、変更がカテゴリごとに統合された形でレポートに表示されます。
(注) |
変更調整レポートには、Firepower Threat Defense インターフェイスおよびルーティング設定への変更は含まれません。 |
ポリシー変更のコメント
ユーザがアクセス コントロール ポリシー、侵入ポリシー、またはネットワーク分析ポリシーを変更した場合、それらのポリシー関連の変更をコメント機能を使用してトラッキングするように Firepower システムを設定することができます。
ポリシー変更のコメントが有効にされていると、管理者はコメントにアクセスして、導入で重要なポリシーが変更された理由を素早く評価できます。オプションで、侵入ポリシーおよびネットワーク分析ポリシーに対する変更を監査ログに書き込むこともできます。
ポリシーの変更を追跡するコメントの設定
ユーザーがアクセス コントロール ポリシー、侵入ポリシー、またはネットワーク分析ポリシーを変更する場合に、コメントの入力を要求するように Firepower システムを設定できます。コメントを使用して、ユーザのポリシーの変更の理由を追跡できます。ポリシーの変更に関するコメントを有効にした場合、コメントをオプションまたは必須に設定できます。システムは、ポリシーに対する新しい変更が保存されるたびに、ユーザにコメントを入力するようプロンプトを出します。
手順
| ステップ 1 |
を選択します。 システム設定オプションは、左側のナビゲーション パネルに表示されます。 |
| ステップ 2 |
次のいずれかのポリシー コメントの設定を行います。
|
| ステップ 3 |
各ポリシー タイプに次の選択肢があります。
|
| ステップ 4 |
侵入ポリシーまたはネットワーク分析ポリシーのコメントには、次のオプションがあります。
|
| ステップ 5 |
[保存(Save)] をクリックします。 |
アクセス リスト
IP アドレスとポートによって FMC へのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。
-
443(HTTPS):Web インターフェイス アクセスに使用されます。
-
22(SSH):CLI アクセスに使用されます。
さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。SNMP はデフォルトで無効になっているため、SNMP アクセスルールを追加する前に、まず SNMP を有効にする必要があります。詳細については、「SNMP ポーリングの設定」を参照してください。
注意 |
デフォルトでは、アクセスは制限されていません。よりセキュアな環境で運用するために、特定の IP アドレスに対するアクセスを追加してから、デフォルトの any オプションを削除することを検討してください。 |
アクセス リストの設定
このアクセス リストは、外部データベース アクセスを制御しません。データベースへの外部アクセスの有効化を参照してください。
注意 |
FMC への接続に現在使用されている IP アドレスへのアクセスを削除し、「 |
従来型デバイスのアクセス リストを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイス用のアクセスリストの設定を参照してください。
始める前に
デフォルトでは、アクセスリストには HTTPS と SSH のルールが含まれています。SNMP ルールをアクセスリストに追加するには、まず SNMP を有効にする必要があります。詳細については、SNMP ポーリングの設定を参照してください。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
(オプション)SNMP ルールをアクセスリストに追加する場合は、[SNMP] をクリックして SNMP を設定します。デフォルトでは、SNMP は無効になっています。SNMP ポーリングの設定を参照してください。 |
| ステップ 3 |
[アクセス リスト(Access List)] をクリックします。 |
| ステップ 4 |
1 つ以上の IP アドレスへのアクセスを追加するには、[ルールの追加(Add Rules)] をクリックします。 |
| ステップ 5 |
[IP アドレス(IP Address)] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、 |
| ステップ 6 |
[SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。 |
| ステップ 7 |
[追加(Add)] をクリックします。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
監査ログ
Firepower Management Center は、ユーザーのアクティビティを読み取り専用監査ログに記録します。監査ログのデータは、いくつかの方法で確認できます。
-
Web インターフェイスの使用:システムの監査。
監査ログは標準イベント ビューに表示され、監査ビュー内の任意の項目に基づいて監査ログ メッセージを表示、ソート、およびフィルタリングできます。監査情報を簡単に削除したり、それに関するレポートを作成したりすることができ、ユーザーが行った変更に関する詳細なレポートを表示することもできます。
-
syslog への監査ログ メッセージのストリーミング:syslog への監査ログのストリーミング。。
-
HTTP サーバーへの監査ログ メッセージのストリーミング:HTTP サーバーへの監査ログのストリーミング。
監査ログ データを外部サーバーにストリーミングすると、FMC の容量を節約できますを参照してください。 外部 URL に監査情報を送信すると、システム パフォーマンスに影響を与える場合があるので注意してください。
オプションで監査ログ ストリーミングのチャネルを保護するには、TLS 証明書を使用して TLS および相互認証を有効にします。監査ログ証明書を参照してください。
従来型デバイスも監査ログを保持します。従来型デバイスから監査ログをストリーミングする場合は、従来型デバイスからの監査ログのストリーミングを参照してください。
syslog への監査ログのストリーミング
この機能を有効にすると、監査ログ レコードは、syslog に次の形式で表示されます。
Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action
現地の日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
たとえば、Management Center からの監査ログメッセージに FMC-AUDIT-LOG のタグを指定すると、FMC からのサンプル監査ログメッセージは次のように表示されます。
Mar 01 14:45:24 localhost [FMC-AUDIT-LOG] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View
重大度とファシリティを指定する場合、これらの値は syslog メッセージに表示されません。代わりに、これらの値は、syslog メッセージを受信するシステムにメッセージの分類方法を示します。
従来型デバイスから監査ログをストリーミングするには、デバイスのプラットフォーム設定を使用します:従来型デバイスからの監査ログのストリーミング。
始める前に
FMC が syslog サーバーと通信できることを確認します。設定を保存すると、システムは ICMP/ARP パケットと TCP SYN パケットを使用して syslog サーバーが到達可能であることを確認します。次に、システムはポート 514/UDP を使用して監査ログをストリーミングします。チャネルを保護している場合((オプション)監査ログ証明書を参照)、システムは 6514/TCP を使用します。
手順
| ステップ 1 |
を選択します。 |
||||||||||
| ステップ 2 |
[監査ログ(Audit Log)] をクリックします。 |
||||||||||
| ステップ 3 |
[監査ログを Syslog に送信(Send Audit Log to Syslog)] ドロップダウン メニューから、[有効化(Enabled)] を選択します。 |
||||||||||
| ステップ 4 |
次のフィールドは、syslog に送信される監査ログにのみ適用されます。
|
||||||||||
| ステップ 5 |
(任意)syslog サーバーの IP アドレスが有効であるかどうかをテストするには、[syslog サーバーのテスト(Test Syslog Server)] をクリックします。 システムは、syslog サーバーが到達可能かどうかを確認するために次のパケットを送信します。
|
||||||||||
| ステップ 6 |
[保存(Save)] をクリックします。 |
HTTP サーバーへの監査ログのストリーミング
この機能を有効にすると、アプライアンスは、HTTP サーバーに次の形式で監査ログ レコードを送信します。
Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action
ローカルの日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側アプライアンスまたはデバイス名の後に監査ログ メッセージが続きます。
たとえば、FROMMC のタグを指定した場合は、監査ログメッセージ例は次のように表示されます。
Mar 01 14:45:24 localhost [FROMMC] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View
従来型デバイスから監査ログをストリーミングするには、デバイスのプラットフォーム設定を使用します:従来型デバイスからの監査ログのストリーミング。
始める前に
デバイス が HTTP サーバーと通信できることを確認します。オプションで、チャネルを保護します。監査ログ証明書を参照してください。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[監査ログ(Audit Log)] をクリックします。 |
||
| ステップ 3 |
必要に応じて、[タグ(Tag)] フィールドに、メッセージとともに表示するタグ名を入力します。たとえば、すべての監査ログ レコードの前に |
||
| ステップ 4 |
[HTTP サーバへの監査ログの送信(Send Audit Log to HTTP Server)] ドロップダウン リストから、[有効(Enabled)] を選択します。 |
||
| ステップ 5 |
[監査情報を送信する URL(URL to Post Audit)] フィールドに、監査情報の送信先 URL を指定します。次にリストした HTTP POST 変数を要求するリスナー プログラムに対応する URL を入力します。
|
||
| ステップ 6 |
[保存(Save)] をクリックします。 |
監査ログ証明書
Transport Layer Security(TLS)証明書を使用して、Firepower アプライアンスと信頼できる監査ログ サーバー間の通信を保護することができます。
クライアント証明書(必須)
各アプライアンス(クライアント証明書は一意)については、証明書署名要求(CSR)を生成して、署名のために認証局(CA)に送信してから、署名付き証明書をアプライアンスにインポートする必要があります。
FMC を使用して、管理対象デバイスに監査ログ証明書をインポートすることはできません。これらの証明書は各アプライアンスに固有のものであり、各アプライアンスにログインして証明書をローカルにインポートする必要があります。
-
FMC の場合は、ローカルシステム設定を使用します。FMC の署名付き監査ログ クライアント証明書の取得 および FMC への監査ログ クライアント証明書のインポート。
-
ASA FirePOWER および NGIPSv の場合は、OpenSSL などのツールを使用して CSR を生成してから、CLI を使用して署名付き証明書をインポートします。configure audit_cert import 。
サーバー証明書(オプション)
セキュリティを強化するために、Firepower アプライアンスと監査ログ サーバー間の相互認証を要求することを推奨します。相互認証を実現するには、1 つ以上の証明書失効リスト(CRL)をロードします。これらの CRL にリストされている失効した証明書を使用して、サーバーに監査ログをストリーミングすることはできません。
Firepower は、識別符号化規則(DER)形式でエンコードされた CRL をサポートしています。これらの CRL は、システムが FMC Web インターフェイスの HTTPS クライアント証明書を検証するために使用する CRL と同じであることに注意してください。
有効な監査ログ サーバー証明書を要求するには、FMC Web インターフェイスを使用します。
-
FMC の場合は、ローカル システム設定を使用します。有効な監査ログ サーバー証明書の要求。
-
従来型デバイスの場合は、デバイスのプラットフォーム設定を使用します。従来型デバイス用の有効な監査ログ サーバー証明書の要求。
監査ログのセキュアなストリーミング
信頼できる HTTP サーバーまたは syslog サーバーに監査ログをストリーミングする場合、Transport Layer Security(TLS)証明書を使用して FMC とサーバー間のチャネルを保護できます。監査するアプライアンスごとに一意のクライアント証明書を生成する必要があります。
従来型デバイスに監査ログをセキュアにストリーミングする場合は、従来型デバイスからの監査ログのストリーミングを参照してください。
始める前に
クライアントおよびサーバー証明書を必須とする場合の影響については、監査ログ証明書を参照してください。
手順
| ステップ 1 |
署名付きクライアント証明書を入手し、FMC にインストールします。 |
| ステップ 2 |
Transport Layer Security(TLS)を使用するサーバとの通信チャネルを設定し、相互認証を有効にします。 |
| ステップ 3 |
まだ行っていない場合は、監査ログ ストリーミングを設定します。 |
FMC の署名付き監査ログ クライアント証明書の取得
重要 |
ハイ アベイラビリティ設定のスタンバイ Firepower Management Center では [監査ログ証明書(Audit Log Certificate)] ページを使用できません。スタンバイ Firepower Management Center からこのタスクを実行することはできません。 |
システムは、ベース 64 エンコードの PEM 形式で証明書要求のキーを生成します。
始める前に
次の点を考慮してください。
-
セキュリティを確保するには、グローバルに認識された信頼できる認証局(CA)を使用して、証明書に署名します。
-
アプライアンスと監査ログ サーバー間で相互認証が必要な場合は、同じ認証局によってクライアント証明書とサーバー証明書の両方が署名される必要があります。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
||
| ステップ 3 |
[新規 CSR の生成(Generate New CSR)] をクリックします。 |
||
| ステップ 4 |
[国名(2 文字のコード)(Country Name (two-letter code))] フィールドに国番号を入力します。 |
||
| ステップ 5 |
[都道府県(State or Province)] フィールドに、都道府県名を入力します。 |
||
| ステップ 6 |
[市区町村(Locality or City)] を入力します。 |
||
| ステップ 7 |
[組織(Organization)] の名前を入力します。 |
||
| ステップ 8 |
[組織単位(部署名)(Organizational Unit (Department))] の名前を入力します。 |
||
| ステップ 9 |
[共通名(Common Name)] フィールドに、証明書を要求するサーバーの完全修飾ドメイン名を入力します。
|
||
| ステップ 10 |
[生成(Generate)] をクリックします。 |
||
| ステップ 11 |
テキスト エディタで、新しい空のファイルを開きます。 |
||
| ステップ 12 |
証明書要求のテキスト ブロック全体( |
||
| ステップ 13 |
このファイルを |
||
| ステップ 14 |
[閉じる(Close)] をクリックします。 |
次のタスク
-
この手順の「はじめる前に」セクションのガイドラインを使用して選択した認証局に、証明書署名要求を送信します。
-
署名された証明書を受け取ったら、アプライアンスにインポートします。FMC への監査ログ クライアント証明書のインポートを参照してください。
FMC への監査ログ クライアント証明書のインポート
FMC ハイ アベイラビリティ設定では、アクティブ ピアを使用する必要があります。
ASA FirePOWER および NGIPSv の場合は、CLI を使用して署名付き証明書をインポートします。configure audit_cert import 。
始める前に
-
正しいアプライアンスの署名付き証明書をインポートしていることを確認します。各証明書は、アプライアンスやデバイスごとに異なります。
-
証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、必要な証明書チェーン(証明書パスとも呼ばれる)を提供します。クライアント証明書に署名した CA は、証明書チェーンのいずれの中間証明書に署名した CA と同じである必要があります。
手順
| ステップ 1 |
FMC で、 を選択します。 |
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
| ステップ 3 |
[監査クライアント証明書のインポート(Import Audit Client Certificate)] をクリックします。 |
| ステップ 4 |
テキスト エディタでクライアント証明書を開いて、 |
| ステップ 5 |
秘密キーをアップロードするには、秘密キー ファイルを開いて、 |
| ステップ 6 |
必要な中間証明書をすべて開いて、それぞれのテキストのブロック全体をコピーして、[証明書チェーン(Certificate Chain)] フィールドに貼り付けます。 |
| ステップ 7 |
[保存(Save)] をクリックします。 |
有効な監査ログ サーバー証明書の要求
システムは、識別符号化規則(DER)形式でインポートされている CRL を使用した、監査ログ サーバー証明書の検証をサポートしています。
(注) |
CRL を使用して証明書を確認する場合、システムは、監査ログ サーバー証明書の検証と、アプライアンスと Web ブラウザの間の HTTP 接続を保護する証明書の検証の両方に、同じ CRL を使用します。 |
重要 |
ハイ アベイラビリティ ペアのスタンバイ Firepower Management Center でこの手順を実行することはできません。 |
始める前に
-
相互認証を必須とし、証明書失効リスト(CRL)を使用して証明書の有効性を保持する場合の影響について説明します。監査ログ証明書を参照してください。
-
監査ログのセキュアなストリーミングに記載されている手順およびその手順で参照されているトピックに従って、クライアント証明書を取得してインポートします。
手順
| ステップ 1 |
FMC で、 を選択します。 |
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
| ステップ 3 |
Transport Layer Security を使用して監査ログを安全に外部サーバへストリーミングするには、[TLSの有効化(Enable TLS)] 選択します。 |
| ステップ 4 |
検証せずにサーバ証明書を受け入れる場合(非推奨)、次を実行します。
|
| ステップ 5 |
監査ログ サーバの証明書を検証するには、[相互認証の有効化(Enable Mutual Authentication)] をオンにします。 |
| ステップ 6 |
(相互認証を有効にした場合)無効な証明書を自動的に認識するには、次を実行します。 |
| ステップ 7 |
クライアント証明書を作成したものと同じ認証局によって生成された有効なクライアント証明書があることを確認します。 |
| ステップ 8 |
[保存(Save)] をクリックします。 |
次のタスク
(オプション)CRL 更新の頻度を設定します。証明書失効リストのダウンロードの設定 を参照してください。
FMC での監査ログ クライアント証明書の表示
ログインしているアプライアンスの監査ログ クライアント証明書のみ表示できます。 FMC ハイ アベイラビリティ ペアでは、アクティブ ピアのみで証明書を表示できます。
従来型デバイスで監査ログ証明書を表示するには、 show audit_cert を使用します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
ダッシュボード設定
ダッシュボードでは、ウィジェットを使用することにより、現在のシステム ステータスが一目でわかります。ウィジェットは小さな自己完結型コンポーネントであり、Firepower システムのさまざまな側面に関するインサイトを提供します。Firepower システムには、事前定義された複数のダッシュボード ウィジェットが付属しています。
[カスタム分析(Custom Analysis)] ウィジェットがダッシュボードで有効になるように、Firepower Management Center を設定できます。
ダッシュボードのカスタム分析ウィジェットの有効化
[カスタム分析(Custom Analysis)] ダッシュボード ウィジェットを使用して、柔軟でユーザーによる構成が可能なクエリに基づいてイベントのビジュアル表現を作成します。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[ダッシュボード(Dashboard)] をクリックします。 |
| ステップ 3 |
ユーザが [カスタム分析(Custom Analysis)] ウィジェットをダッシュボードに追加できるようにするには、[カスタム分析ウィジェットの有効化(Enable Custom Analysis Widgets)] チェックボックスをオンにします。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
DNS キャッシュ
イベント表示ページで、IP アドレスを自動的に解決するようにシステムを設定できます。また、アプライアンスによって実行される DNS キャッシュの基本的なプロパティを設定できます。DNS キャッシングを設定すると、追加のルックアップを実行せずに、以前に解決した IP アドレスを識別できます。これにより、IP アドレスの解決が有効になっている場合に、ネットワーク上のトラフィックの量を減らし、イベント ページの表示速度を速めることができます。
DNS キャッシュ プロパティの設定
DNS 解決のキャッシングは、以前に解決された DNS ルックアップのキャッシングを許可するシステム全体の設定です。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[DNS キャッシュ(DNS Cache)] を選択します。 |
| ステップ 3 |
[DNS 解決のキャッシング(DNS Resolution Caching)] ドロップダウン リストから、次のいずれかを選択します。
|
| ステップ 4 |
[DNS キャッシュ タイムアウト(分)(DNS Cache Timeout(in minutes))] フィールドで、非アクティブのために削除されるまで DNS エントリがメモリ内にキャッシュされる時間(分単位)を入力します。 デフォルトは 300 分(5 時間)です。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
電子メールの通知
次の処理を行う場合は、メール ホストを設定します。
-
イベントベースのレポートの電子メール送信
-
スケジュールされたタスクのステータス レポートの電子メール送信
-
変更調整レポートの電子メール送信
-
データプルーニング通知の電子メール送信
-
検出イベント、インパクト フラグ、相関イベント アラート、侵入イベント アラート、およびヘルス イベント アラートでの電子メールの使用
電子メール通知を設定する場合、システムとメール リレー ホスト間の通信に使用する暗号化方式を選択し、必要に応じて、メール サーバの認証クレデンシャルを指定できます。設定した後、接続をテストできます。
メール リレー ホストおよび通知アドレスの設定
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[電子メール通知(Email Notification)] をクリックします。 |
||
| ステップ 3 |
[メール リレー ホスト(Mail Relay Host)] フィールドで、使用するメール サーバのホスト名または IP アドレスを入力します。入力したメール ホストはアプライアンスからのアクセスを許可している必要があります。 |
||
| ステップ 4 |
[ポート番号(Port Number)] フィールドに、電子メール サーバで使用するポート番号を入力します。 一般的なポートには次のものがあります。
|
||
| ステップ 5 |
[暗号化方式(Encryption Method)] を選択します。
|
||
| ステップ 6 |
[送信元アドレス(From Address)] フィールドに、アプライアンスから送信されるメッセージの送信元電子メール アドレスとして使用する有効な電子メール アドレスを入力します。 |
||
| ステップ 7 |
必要に応じて、メール サーバに接続する際にユーザ名とパスワードを指定するには、[認証を使用(Use Authentication)] を選択します。[ユーザー名(Username)] フィールドにユーザー名を入力します。パスワードを [パスワード(Password)] フィールドに入力します。 |
||
| ステップ 8 |
設定したメール サーバを使用してテスト メールを送信するには、[Test Mail Server Settings] をクリックします。 テストの成功または失敗を示すメッセージがボタンの横に表示されます。 |
||
| ステップ 9 |
[保存(Save)] をクリックします。 |
言語の選択
[言語(Language)] ページを使用して、Web インターフェイス用に異なる言語を指定できます。
Web インターフェイスの言語の設定
ここで指定した言語は、すべてのユーザーの Web インターフェイスに使用されます。次の中から選択できます。
-
英語
-
中国語(簡体字)
-
中国語(繁体字)
-
日本語
-
韓国語
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[言語(Language)] をクリックします。 |
| ステップ 3 |
使用する言語を選択します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
ログイン バナー
[ログイン バナー(Login Banner)] ページを使用して、セキュリティ アプライアンスまたは共有ポリシーのセッション バナー、ログイン バナー、カスタム メッセージ バナーを指定できます。
カスタムログインバナーを作成するには、ASCII 文字と改行を使用できます。タブによるスペース設定は維持されません。ログイン バナーが大きすぎる場合や、エラーの原因となる場合、システムがバナーを表示しようとすると、Telnet または SSH セッションが失敗することがあります。
ログイン バナーのカスタマイズ
従来型デバイスのログイン バナーをカスタマイズするには、デバイスのプラットフォーム設定を使用します。従来型デバイス用のログイン バナーのカスタマイズを参照してください。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[ログイン バナー(Login Banner)] を選択します。 |
| ステップ 3 |
[カスタム ログイン バナー(Custom Login Banner)] フィールドに、使用するログイン バナー テキストを入力します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
SNMP ポーリング
Simple Network Management Protocol (SNMP)のポーリングを有効にできます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、3 をサポートします。この機能を使用すると、標準 Management Information Base(MIB)にアクセスできます。MIB には、連絡先、管理、場所、サービス情報、IP アドレッシングやルーティングの情報、トランスミッション プロトコルの使用状況の統計などのシステムの詳細が含まれます。
(注) |
SNMP プロトコルの SNMP バージョンを選択する場合、SNMPv2 では読み取り専用コミュニティのみがサポートされ、SNMPv3 では読取り専用ユーザーのみがサポートされることに注意してください。SNMPv3 は、AES128 での暗号化をサポートします。 |
SNMP ポーリングを有効にすると、システムで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になります。
SNMP ポーリングの設定
従来型デバイスで SNMP ポーリングを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイスでの SNMP ポーリングの設定を参照してください。
始める前に
使用するコンピュータごとに SNMP アクセスを追加し、システムをポーリングします。アクセス リストの設定を参照してください。
(注) |
SNMP MIB には展開の攻撃に使用される可能性がある情報が含まれています。SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することを推奨します。SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨します。 |
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[SNMP] をクリックします。 |
||
| ステップ 3 |
[SNMPバージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。
|
||
| ステップ 4 |
ユーザ名を入力します。 |
||
| ステップ 5 |
[認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。 |
||
| ステップ 6 |
[認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。 |
||
| ステップ 7 |
[パスワードの確認(Verify Password)] フィールドに、認証パスワードを再度入力します。 |
||
| ステップ 8 |
使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。 |
||
| ステップ 9 |
[プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。 |
||
| ステップ 10 |
[パスワードの確認(Verify Password)] フィールドに、プライバシー パスワードを再度入力します。 |
||
| ステップ 11 |
[追加(Add)] をクリックします。 |
||
| ステップ 12 |
[保存(Save)] をクリックします。 |
時刻および時刻同期
Firepower システムを正常に動作させるには、Firepower Management Center(FMC)とその管理対象デバイスのシステム時刻を同期させることが不可欠です。FMC 初期設定時に NTP サーバーを指定することを推奨しますが、初期設定の完了後に、このセクションの情報を使用して、時刻同期設定を確立または変更することができます。
FMC とすべてのデバイスのシステム時刻を同期させるには、Network Time Protocol(NTP)サーバーを使用します。FMC は、MD5 または SHA-1 対称キー認証を使用して NTP サーバーとのセキュア通信をサポートしています。システムセキュリティについては、この機能を使用することを推奨します。
FMC は、認証済みの NTP サーバーのみと接続するように設定することもできます。このオプションを使用すると、混合認証環境で、またはシステムを別の NTP サーバーに移行するときに、セキュリティを向上させることができます。すべての到達可能な NTP サーバーが認証される環境でこの設定を使用することは、冗長になります。
(注) |
初期設定時に FMC 用の NTP サーバーを指定した場合、その NTP サーバーとの接続は保護されません。MD5 または SHA-1 キーを指定するには、その接続の設定を編集する必要があります。 |
注意 |
FMC と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。 |
FMC と管理対象デバイスの時刻を同期するには、次を参照してください。
-
このトピックでは、NTP サーバーと同期するように FMC を設定する手順と、同じ NTP サーバーと同期するように管理対象デバイスを設定する手順へのリンクを示します。
-
該当しない場合は、次のようになります。 ネットワーク NTP サーバーにアクセスせずに時刻を同期
このトピックでは、FMC で時刻を設定する手順、NTP サーバーとして機能するように FMC を設定する手順、および FMC NTP サーバーと同期するように管理対象デバイスを設定する手順へのリンクを示します。
FMC と NTP サーバー間の時刻の同期
システムのすべてのコンポーネント間で時刻を同期することは非常に重要です。
FMC とすべての管理対象デバイス間で適切な時刻同期を維持する最適な方法は、ネットワークで NTP サーバーを使用することです。
FMC は NTPv4 をサポートします。
この手順を実行するには、管理者権限またはネットワーク管理者権限が必要です。
始める前に
次の点に注意してください。
-
FMC および管理対象デバイスがネットワーク NTP サーバーにアクセスできない場合は、この手順を使用しないでください。代わりに、ネットワーク NTP サーバーにアクセスせずに時刻を同期を参照してください。
-
信頼できない NTP サーバーを指定しないでください。
-
NTP サーバーとのセキュアな接続を確立する場合(システムセキュリティに推奨)、NTP サーバーで設定されている SHA-1 または MD5 キーの番号と値を取得します。
-
NTP サーバーへの接続では、構成されたプロキシ設定は使用されません。
-
Firepower 4100 シリーズ デバイスと Firepower 9300 デバイスでは、この手順を使用してシステム時刻を設定できません。代わりに、この手順を使用して設定するものと同じ NTP サーバーを使用するように、これらのデバイスを設定してください。手順については、ご使用のハードウェアモデル用のマニュアルを参照してください。
注意 |
FMC が再起動され、ここで指定したものとは異なる NTP サーバー レコードを DHCP サーバーが設定した場合、DHCP 提供の NTP サーバーが代わりに使用されます。この状況を回避するには、同じ NTP サーバーを使用するように DHCP サーバーを設定します。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[時間同期(Time Synchronization)] をクリックします。 |
| ステップ 3 |
[NTPを使用して時間を提供(Serve Time via NTP)] が [有効(Enabled)] の場合、[無効(Disabled)] を選択して、NTP サーバーの FMC を無効にします。 |
| ステップ 4 |
[Set My Clock] オプションの場合、[Via NTP] を選択します。 |
| ステップ 5 |
[追加(Add)] をクリックします。 |
| ステップ 6 |
[Add NTP Server] ダイアログボックスで、NTP サーバーのホスト名か IPv4 または IPv6 アドレスを入力します。 |
| ステップ 7 |
任意FMCと NTP サーバー間の通信を保護するには、次のようにします。
|
| ステップ 8 |
[Add] をクリックします。 |
| ステップ 9 |
NTP サーバーをさらに追加するには、手順 5 ~ 8 を繰り返します。 |
| ステップ 10 |
(オプション)FMC で正常に認証された NTP サーバーのみを使用するように強制するには、[認証されたNTPサーバーのみを使用する(Use the authenticated NTP server only)] チェックボックスをオンにします。 |
| ステップ 11 |
[保存(Save)] をクリックします。 |
次のタスク
管理対象デバイスでは同じ NTP サーバーを使用して同期するように設定します。
-
デバイスのプラットフォーム設定の構成:脅威に対する防御のための NTP 時刻同期の設定および従来型デバイスの時刻を NTP サーバーに同期。
FMC に NTP サーバーとセキュアな接続を確立するように強制する場合でも([認証されたNTPサーバーのみを使用する(Use the authenticated NTP server only)])、そのサーバーへのデバイス接続では認証が使用されないことに注意してください。
-
設定変更を展開します。設定変更の展開を参照してください。
ネットワーク NTP サーバーにアクセスせずに時刻を同期
デバイスがネットワーク NTP サーバーに直接アクセスできない、または組織内にネットワーク NTP サーバーがない場合は、物理ハードウェア FMC を NTP サーバーとして使用できます。
重要 |
|
FMC を NTP サーバーとして設定後、時刻を手動で変更するには、NTP オプションを無効にして時刻を手動で変更してから NTP オプションを再度有効にします。
手順
| ステップ 1 |
FMC でシステム時刻を手動で設定するには、次の手順を実行します。
|
| ステップ 2 |
FMC を NTP サーバとして機能するように設定します。
|
| ステップ 3 |
管理対象デバイスでは FMC NTP サーバーを使用して同期するように設定します。
手順については、次を参照してください。
|
時刻同期の設定の変更について
-
Firepower Management Center とその管理対象デバイスは正確な時刻に大きく依存しています。システム クロックは Firepower システムの時刻を維持するシステム機能です。システム クロックは協定世界時(UTC)に設定されています。これは、時計と時刻を管理するために世界で使用されている基本的な標準時間です。
システム時刻を変更しようとしないでください。システムタイムゾーンの UTC からの変更はサポートされていません。また、システムタイムゾーンを変更した場合はデバイスを再イメージ化してサポートされていない状態から回復させる必要があります。
-
NTP を使用して時刻を提供するように FMC を設定してから、後でそれを無効にした場合、管理対象デバイスの NTP サービスは引き続き FMC と時刻を同期しようとします。新しい時刻ソースを確立するには、すべての該当するプラットフォーム設定ポリシーを更新および再展開する必要があります。
-
Firepower Management Center を NTP サーバーとして設定後、時刻を手動で変更するには、NTP オプションを無効にして時刻を手動で変更してから NTP オプションを再度有効にします。
現在のシステム時刻、ソース、および NTP サーバ接続ステータスの表示
[ユーザー設定(User Preferences)] の [タイムゾーン(Time Zone)] ページで設定したタイムゾーン(デフォルトでは America/New York)を使用すると、ほとんどのページでローカル時刻で時刻設定が表示されますが、アプライアンスには UTC 時間を使用して格納されます。
制約事項 |
タイムゾーン機能([ユーザー設定(User Preferences)])は、デフォルトのシステム クロックが UTC 時間に設定されていることを前提としています。システム時刻を変更しようとしないでください。システム時刻の UTC からの変更はサポートされていません。また、システム時刻を変更した場合はデバイスを再イメージ化してサポートされていない状態から回復させる必要があります。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[時間(Time)] をクリックします。 現在の時刻は、[ユーザー設定(User Preferences)] でアカウントに指定されたタイムゾーンを使用して表示されます。 アプライアンスで NTP サーバを使用する場合、テーブル エントリについては、NTP サーバーのステータスを参照してください。 |
NTP サーバーのステータス
NTP サーバーから時刻を同期する場合は、[時間(Time)] ページ([システム(System)] > [設定(Configuration)] を選択)で接続ステータスを確認できます。
|
カラム |
説明 |
|---|---|
|
NTP サーバー |
設定済みの NTP サーバーの IP アドレスまたは名前。 |
|
ステータス |
NTP サーバの時間同期のステータス。
|
|
認証 |
FMC と NTP サーバー間の通信の認証ステータスは次のとおりです。
認証が設定されている場合、ステータス値の後にキー番号とキータイプ(SHA-1 または MD5)が表示されます。例:[不良、キー2、MD5(bad, key 2, MD5)]。 |
|
オフセット |
アプライアンスと構成済みの NTP サーバ間の時間の差(ミリ秒)。負の値はアプライアンスの時間が NTP サーバより遅れていることを示し、正の値は進んでいることを示します。 |
|
Last Update |
NTP サーバと最後に時間を同期してから経過した時間(秒数)。NTP デーモンは、いくつかの条件に基づいて自動的に同期時間を調整します。たとえば、更新時間が大きい(300 秒など)場合、それは時間が比較的安定しており、NTP デーモンが小さい更新増分値を使用する必要がないと判断したことを示します。 |
グローバル ユーザー構成時の設定
グローバル ユーザーの設定は、Firepower Management Center のすべてのユーザーに影響します。[User Configuration] ページで次の設定を行います()。
-
[パスワード再使用制限(Password Reuse Limit)]:ユーザーの最新の履歴の中で再利用できないパスワードの数。この制限は、すべてのユーザーの Web インターフェイスに適用されます。
adminユーザーの場合、これは CLI アクセスにも適用されます。システムは各アクセス形式に対して個別のパスワード リストを維持します。制限をゼロに設定すると(デフォルト)パスワードの再利用に制限は課せられません。パスワードの再使用制限の設定を参照してください。 -
[成功したログインの追跡(Track Successful Logins)]:Firepower Management Center へのログインの成功をユーザーごとにアクセス方式(Web インターフェイスまたは CLI)別に追跡する日数。ユーザーがログインすると、使用しているインターフェイスで成功したログイン回数が表示されます。[成功したログインの追跡(Track Successful Logins)] をゼロに設定すると(デフォルト)、システムは成功したログイン アクティビティを追跡せず、レポートもしません。成功したログインの追跡を参照してください。
-
[ログイン失敗の最大数(Max Number of Login Failures)]:ユーザーが誤った Web インターフェイスのログイン クレデンシャルを連続して入力できる回数。この回数を超えると、設定されている時間にわたって一時的にアカウントにアクセスできなくなります。一時的なロックアウトが適用されている間にユーザーがログインを試行し続けた場合:
-
一時的なロックアウトが適用されていることをユーザーに通知せず、(有効なパスワードを使用したとしても)システムはそのアカウントへのアクセスを拒否します。
-
ログイン試行のたびにシステムはそのアカウントの失敗ログイン数を増やし続けます。
-
ユーザーが個人の [ユーザー設定(User Configuration)] ページでそのアカウントに設定した [ログイン失敗の最大数(Maximum Number of Failed Logins)] を超えた場合、管理者ユーザーがそのアカウントを再アクティブ化するまではそのアカウントはロックアウトされます。
-
-
[一時的にユーザーをロックアウトする分単位の時間の設定(Set Time in Minutes to Temporarily Lockout Users)]:[ログイン失敗の最大数(Max Number of Failed Logins)] がゼロ以外の場合にユーザーが一時的に Web インターフェイスからロックアウトされる分単位の時間。
-
[許可された最大同時セッション数(Max Concurrent Sessions Allowed)]:同時に開くことができる特定のタイプ(読み取り専用または読み取り/書き込み)のセッション数。セッションのタイプは、ユーザーに割り当てられたロールによって決定されます。ユーザーに読み取り専用ロールのみが割り当てられている場合、そのユーザーのセッションは、[(読み取り専用)((Read Only))] セッションの制限に対してカウントされます。ユーザーが書き込み権限があるロールを持っている場合、セッションは、[読み取り/書き込み(Read/Write)] セッションの制限に対してカウントされます。たとえば、ユーザーに Admin ロールが割り当てられていて、[読み取り/書き込み権限を持つユーザーおよびCLIユーザーの最大セッション数(Maximum sessions for users with Read/Write privileges/CLI users)] が 5 に設定されている場合、読み取り/書き込み権限を持つ 5 人の他のユーザーがすでにログインしていると、そのユーザーはログインできません。
(注)
システムが同時セッション制限の目的で読み取り専用と見なす定義済みユーザーロールおよびカスタムユーザーロールには、 と にあるロール名に [(Read Only)] というラベルが付けられます。ユーザー ロールのロール名に [(読み取り専用)((Read Only))] が含まれていない場合、システムはそのロールを読み取り/書き込みと見なします。システムは、必要な条件を満たすロールに [(読み取り専用)((Read Only))] を自動的に適用します。読み取り専用のテキスト文字列をロール名に手動で追加してロールを読み取り専用にすることはできません。
セッションのタイプごとに、最大制限を 1 ~ 1024 の範囲で設定できます。[許可された最大同時セッション数(Max Concurrent Sessions Allowed)] がゼロ(デフォルト)に設定されている場合、同時セッション数は無制限になります。
同時セッションの制限をより限定的な値に変更しても、システムは現在開いているセッションを閉じません。ただし、指定された数を超えて新しいセッションが開かれないようにします。
パスワードの再使用制限の設定
[パスワード再利用の制限(Password Reuse Limit)] を有効にすると、システムに FMC ユーザーの暗号化されたパスワード履歴が保持されます。ユーザーはパスワード履歴内のパスワードを再利用できません。各ユーザーの保存されたパスワードの数をアクセス方式(Web インターフェイスまたは CLI)ごとに指定できます。ユーザーの現在のパスワードはこの番号に対してカウントされます。制限を低くすると、システムは履歴から古い順にパスワードを削除します。制限を高くすると、削除されたパスワードが復元されません。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[User Configuration] をクリックします。 |
| ステップ 3 |
[Password Reuse Limit] を履歴に維持したいパスワードの数(最大 256)に設定します。 パスワード再利用のチェックを無効にするには、0 を入力します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
成功したログインの追跡
この手順を使用して、各ユーザーの成功したログインの追跡を指定した日数の間、有効にします。この追跡が有効になっている場合は、ユーザーが Web インターフェイスまたは CLIにログインしたときにシステムは成功したログイン数を表示します。
(注) |
日数を少なくすると、システムはログインのレコードを古いものから削除します。制限値を大きくすると、システムはその日数からカウントを復元しません。その場合、成功したログインの復元された数は、一時的に実際の番号よりも少なくなる場合があります。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[User Configuration] をクリックします。 |
| ステップ 3 |
[成功したログイン日数の追跡(Track Successful Login Days)] を成功したログインを追跡する日数(最大 365)に設定します。 ログインの追跡を無効にするには、0 を入力します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
一時的なロックアウトの有効化
システムがロックアウトを有効にする前に連続して失敗したログイン試行を許可する回数を指定して、一時的な時限ロックアウト機能を有効にします。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[User Configuration] をクリックします。 |
| ステップ 3 |
[ログイン失敗の最大数(Max Number of Login Failures)] をユーザーが一時的にロックアウト されるまで連続して失敗できるログイン試行の最大回数に指定します。 一時的なロックアウトを無効にするには、ゼロを入力します。 |
| ステップ 4 |
[ユーザーを一時的にロックアウトする分単位の時間(Time in Minutes to Temporarily Lockout Users)] は一時的なロックアウトをトリガーしたユーザーをロックアウトする分数に設定します。 この値がゼロの場合は、[ログイン失敗最大数(Max Number of Login Failures)] がゼロ以外でも、ユーザーはログインの再試行を待機する必要はありません。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
同時セッションの最大数の設定
同時に開くことができる特定のタイプ(読み取り専用または読み取り/書き込み)のセッションの最大数を指定できます。セッションのタイプは、ユーザーに割り当てられたロールによって決定されます。ユーザーに読み取り専用ロールのみが割り当てられている場合、そのユーザーのセッションは、[(読み取り専用)((Read Only))] セッションの制限に対してカウントされます。ユーザーが書き込み権限があるロールを持っている場合、セッションは、[読み取り/書き込み(Read/Write)] セッションの制限に対してカウントされます。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[User Configuration] をクリックします。 |
||
| ステップ 3 |
セッションのタイプ([(読み取り専用)((Read Only))] および [読み取り/書き込み(Read/Write)])ごとに、[許可された最大同時セッション数(Max Concurrent Sessions Allowed)] をそのタイプのセッションの最大数(同時に開くことができる)に設定します。 セッション タイプごとに同時ユーザーの制限を適用しない場合は、0 を入力します。
|
||
| ステップ 4 |
[保存(Save)] をクリックします。 |
セッション タイムアウト
無人ログイン セッションは、セキュリティ上のリスクを生じさせる場合があります。ユーザーのログイン セッションが非アクティブになったためにタイムアウトするまでのアイドル時間を設定できます。
システムを長期間にわたってパッシブかつセキュアにモニターする予定のシナリオでは、特定の Web インターフェイスのユーザーがタイムアウトしないように設定できることに注意してください。メニュー オプションへの完全なアクセス権がある管理者ロールのユーザーは、侵害が生じる場合、余分のリスクを生じさせますが、セッション タイムアウトから除外することはできません。
セッション タイムアウトの設定
従来型デバイスのセッション タイムアウトを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイスのセッション タイムアウトの設定を参照してください。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[Shell Timeout] をクリックします。 |
| ステップ 3 |
セッション タイムアウトの設定
|
| ステップ 4 |
[保存(Save)] をクリックします。 |
脆弱性マッピング
サーバのディスカバリ イベント データベースにアプリケーション ID が含まれており、トラフィックのパケット ヘッダにベンダーおよびバージョンが含まれる場合、Firepower システムは、そのアドレスから送受信されるすべてのアプリケーション プロトコル トラフィックについて、脆弱性をホスト IP アドレスに自動的にマップします。
パケットにベンダー情報もバージョン情報も含まれないサーバすべてに対して、システムでこれらのベンダーとバージョンレスのサーバのサーバ トラフィックと脆弱性を関連付けるかどうかを設定できます。
たとえば、ホストがヘッダーにベンダーまたはバージョンが含まれていない SMTP トラフィックを提供しているとします。システム設定の [脆弱性マッピング(Vulnerability Mapping)] ページで SMTP サーバを有効にしてから、そのトラフィックを検出するデバイスを管理する Firepower Management Center にその設定を保存した場合、SMTP サーバと関連付けられているすべての脆弱性がそのホストのホスト プロファイルに追加されます。
ディテクタがサーバー情報を収集して、それをホスト プロファイルに追加しますが、アプリケーション プロトコル ディテクタは脆弱性のマッピングに使用されません。これは、カスタム アプリケーション プロトコル ディテクタにベンダーまたはバージョンを指定できず、また脆弱性マッピング用のサーバーを選択できないためです。
サーバの脆弱性のマッピング
この手順には、スマートライセンスまたは保護クラシックライセンスが必要です。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[脆弱性マッピング(Vulnerability Mapping)] を選択します。 |
||
| ステップ 3 |
次の選択肢があります。
|
||
| ステップ 4 |
[保存(Save)] をクリックします。 |
リモート コンソールのアクセス管理
サポート対象システム上でリモート アクセスを行うため、VGA ポート(デフォルト)または物理アプライアンス上のシリアル ポートを介して Linux システムのコンソールを使用できます。[コンソール設定(Console Configuration)] ページを使用して組織の Firepower 展開環境の物理レイアウトに最も適したオプションを選択します。
サポートされている物理ハードウェアベースの Firepower システムでは、Serial Over LAN(SOL)接続で Lights-Out 管理(LOM)を使用すると、システムの管理インターフェイスにログインすることなく、リモートでシステムをモニターまたは管理できます。アウト オブ バンド管理接続のコマンドライン インターフェイスを使用すると、シャーシのシリアル番号の表示や状態(ファン速度や温度など)のモニタなどの、限定タスクを実行できます。LOM をサポートするケーブル接続は、FMC モデルによって異なります。
-
FMC モデル MC1600、MC2600、および MC4600 では、CIMC ポートとの接続を使用して LOM をサポートします。詳細は、『Cisco Firepower Management Center 1600, 2600, and 4600 Getting Started Guide』を参照してください。
-
他のすべての FMC ハードウェアモデルでは、LOM をサポートするためにデフォルト(eth0)管理ポートとの接続を使用します。ご使用のハードウェアモデルの『Cisco Firepower Management Center Getting Started Guide』を参照してください。
LOM は、システムとシステムを管理するユーザーの両方で有効にする必要があります。システムとユーザーを有効にした後、サードパーティ製の Intelligent Platform Management Interface(IPMI)ユーティリティを使用し、システムにアクセスして管理します。
システム上のリモート コンソール設定の構成
この手順を実行するには、管理者ユーザーである必要があります。
始める前に
-
デバイスの管理インターフェイスに接続されたサードパーティ スイッチング装置で、スパニング ツリー プロトコル(STP)を無効にします。
-
Lights-Out 管理を有効にする予定がある場合、インテリジェント プラットフォーム管理インターフェイス(IPMI)ユーティリティのインストールと使用については、アプライアンスのスタートアップガイドを参照してください。
手順
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[コンソール構成(Console Configuration)] をクリックします。 |
||
| ステップ 3 |
リモート コンソール アクセスのオプションを選択します。
|
||
| ステップ 4 |
SOL を介して LOM を構成するには:
|
||
| ステップ 5 |
[保存(Save)] をクリックします。 |
||
| ステップ 6 |
「これらの変更を有効にするためには、システムを再起動する必要があります(You will have to reboot your system for these changes to take effect)」という警告が表示されます。[OK] をクリックしてすぐに再起動するか、[キャンセル(Cancel)] をクリックして後で再起動します。 |
次のタスク
-
シリアルアクセスを設定した場合は、背面パネルのシリアルポートが、ローカルコンピュータ、ターミナルサーバー、またはお使いの FMC モデルのスタートアップガイドで説明されている、イーサネット経由のリモートシリアルアクセスをサポートできるその他のデバイスに接続されていることを確認します。
-
Lights-Out Management を設定した場合は、Lights-Out Management ユーザーを有効にします。Lights-Out 管理のユーザー アクセス設定を参照してください。
Lights-Out 管理のユーザー アクセス設定
Lights-Out 管理機能を使用するユーザに対して、この機能の権限を明示的に付与する必要があります。LOM ユーザーには、次のような制約もあります。
-
ユーザーに Administrator ロールを割り当てる必要があります。
-
ユーザー名に使用できるのは英数字 16 文字までです。LOM ユーザーに対し、ハイフンやそれより長いユーザー名はサポートされていません。
-
ユーザーの LOM パスワードは、そのユーザーのシステム パスワードと同じです。パスワードは、ユーザ パスワードで説明されている要件に準拠している必要があります。辞書に載っていない複雑な最大長のパスワードをアプライアンスに対して使用し、それを 3 か月ごとに変更することを推奨します。
-
物理 Firepower Management Center には、最大 13 人の LOM ユーザーを設定できます。
あるユーザーのログイン中に LOM でそのユーザーを非アクティブ化してから再アクティブ化した場合や、ユーザーのログインセッション中にそのユーザーをバックアップから復元した場合、そのユーザーは impitool コマンドへのアクセスを回復するために Web インターフェイスへのログインし直しが必要になることがあります。
Lights-Out 管理ユーザー アクセスの有効化
この手順を実行するには、管理者ユーザーである必要があります。
このタスクを使用して、既存のユーザーに LOM アクセスを許可します。新しいユーザーに LOM アクセスを許可するには、内部ユーザーの追加を参照してください。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
既存のユーザーに LOM ユーザーアクセスを許可するには、リスト内のユーザー名の横にあるをクリックします。 |
| ステップ 3 |
[ユーザーの設定(User Configuration)] で、Administrator ロールを有効にします。 |
| ステップ 4 |
[Lights-Out 管理アクセスの許可(Allow Lights-Out Management Access)] チェックボックスをオンにします。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
Serial over LAN 接続の設定
アプライアンスへの Serial over LAN 接続を作成するには、コンピュータ上でサードパーティ製の IPMI ユーティリティを使用します。Linux 系環境または Mac 環境を使用するコンピュータでは IPMItool を使用します。Windows 環境では、使用している Windows バージョンによって IPMIutil または IPMItool を使用できます。
(注) |
シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。 |
Linux
多くのディストリビューションで IPMItool が標準となっており、使用可能です。
Mac
Mac では、IPMItool をインストールする必要があります。最初に、Mac に Apple の XCode Apple Developer Tools がインストールされていることを確認します。これにより、コマンドライン開発用のオプション コンポーネント(新しいバージョンでは UNIX Development and System Tools、古いバージョンでは Command Line Support)がインストールされていることを確認できます。次に、MacPorts と IPMItool をインストールします。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。
https://developer.apple.com/technologies/tools/
http://www.macports.org/
http://github.com/ipmitool/ipmitool/
Windows
Windows Subsystem for Linux(WSL)が有効になっている Windows バージョン 10 以降、および一部の古いバージョンの Windows Server では、IPMItool を使用できます。それ以外の場合は、Windows システムで IPMIutil をコンパイルする必要があります。IPMIutil 自体を使用してコンパイルできます。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。
http://ipmiutil.sourceforge.net/man.html#ipmiutil
IPMI ユーティリティのコマンドについて
IPMI ユーティリティで使用するコマンドは、Mac での IPMItool に関する次の例に示したセグメントで構成されます。
ipmitool -I lanplus -H IP_address -U user_name command
引数の説明
-
ipmitoolはユーティリティを起動します。 -
-I lanplusは、セッションに暗号化された IPMI v2.0 RMCP+ LAN インターフェイスを使用することを指定します。 -
-HIP_addressはアクセスするアプライアンスの Lights-Out 管理用に設定された IP アドレスを示します。 -
-Uuser_nameは権限を持つユーザーの名前です。 -
commandは使用するコマンドの名前です。
(注)
シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。
Windows での IMPIutil 用の同等のコマンドは次のとおりです。
ipmiutil command -V 4 -J 3 -N IP_address -Uuser_name
このコマンドは、アプライアンスのコマンドラインにユーザーを接続します。これによって、ユーザーは物理的にそのアプライアンスの近くにいるときと同じようにログインできます。場合によっては、パスワードの入力を求められます。
IPMItool を使用した Serial Over LAN の設定
この手順を実行するには、LOM アクセス権限のある管理者ユーザーである必要があります。
手順
|
IPMItool を使用して、次のコマンドと、プロンプトが表示されたらパスワードを入力します: |
IPMIutil を使用した Serial Over LAN の設定
この手順を実行するには、LOM アクセス権限のある管理者ユーザーである必要があります。
手順
|
IPMIutil を使用して、次のコマンドと、プロンプトが表示されたらパスワードを入力します。 |
Lights-Out 管理の概要
Lights-Out 管理(LOM)では、システムにログインすることなく、デフォルトの管理インターフェイス(eth0)から SOL 接続を介して一連の限定操作を実行できます。SOL 接続を作成するコマンドに続いて、次のいずれかの LOM コマンドを使用します。コマンドが完了すると、接続は終了します。
注意 |
まれに、コンピュータがシステムの管理インターフェイスとは異なるサブネットにあり、そのシステムに DHCP が構成されている場合は、LOM 機能にアクセスしようとすると失敗することがあります。この場合は、システムの LOM を無効にして再び有効にするか、または同じサブネット上のコンピュータをシステムとして使用して、その管理インターフェイスを ping することができます。その後、LOM を使用できるようになるはずです。 |
注意 |
シスコでは、Intelligent Platform Management Interface(IPMI)標準(CVE-2013-4786)に内在する脆弱性を認識しています。システムの Lights-Out 管理(LOM)を有効にすると、この脆弱性にさらされます。この脆弱性を軽減するために、信頼済みユーザだけがアクセス可能なセキュアな管理ネットワークにシステムを展開し、辞書に載っていない複雑な最大長のパスワードをシステムに対して使用し、それを 3 か月ごとに変更してください。この脆弱性のリスクを回避するには、LOM を有効にしないでください。 |
システムへのアクセス試行がすべて失敗した場合は、LOM を使用してリモートでシステムを再起動できます。SOL 接続がアクティブなときにシステムが再起動すると、LOM セッションが切断されるか、またはタイムアウトする可能性があります。
注意 |
システムが別の再起動の試行に応答している間は、システムを再起動しないでください。リモートでシステムを再起動すると、通常の方法でシステムがリブートしないため、データが失われる可能性があります。 |
|
IPMItool |
IPMIutil |
説明 |
|---|---|---|
|
(適用なし) |
|
IPMI セッションの管理者権限を有効にします。 |
|
|
|
IPMI セッションの暗号化を有効にします。 |
|
|
|
次の LOM IP アドレスまたはホスト名を示します: FMC |
|
|
|
認可された LOM アカウントのユーザー名を指定します。 |
|
|
|
SOL セッションを開始します。 |
|
|
|
SOL セッションを終了します。 |
|
|
|
アプライアンスを再起動します |
|
|
|
アプライアンスの電源を投入します。 |
|
|
|
アプライアンスの電源をオフにします |
|
|
|
アプライアンスの情報(ファン速度や温度など)を表示します。 |
たとえば、アプライアンスの情報のリストを表示する IPMItool のコマンドは、次のとおりです。
ipmitool -I lanplus -H IP_address -U user_name sdr
(注) |
シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。 |
IPMIutil ユーティリティの同等のコマンドは次のとおりです。
ipmiutil sensor -V 4 -J 3 -N IP_address -U user_name
IPMItool を使用した Lights-Out 管理の設定
この手順を実行するには、LOM アクセス権限のある管理者ユーザーである必要があります。
手順
|
プロンプトが表示されたら、IPMItool の次のコマンドとパスワードを入力します。 |
IPMIutil を使用した Lights-Out 管理の設定
この手順を実行するには、LOM アクセス権限のある管理者ユーザーである必要があります。
手順
|
プロンプトが表示されたら、IPMIutil の次のコマンドとパスワードを入力します。 |
REST API 設定
Firepower の REST API は、サードパーティ アプリケーションで REST クライアントおよび標準 HTTP メソッドを使用してアプライアンス設定を表示および管理するための軽量のインターフェイスを提供します。Firepower の REST API の詳細については、『Firepower REST API Quick Start Guide』を参照してください。
デフォルトでは、Firepower Management Center はアプリケーションからの REST API を使用した要求を許可します。このアクセスをブロックするように Firepower Management Center を設定できます。
REST API アクセスの有効化
(注) |
FMC 高可用性を使用する展開では、この機能は、アクティブな FMC でのみ使用できます。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[REST API 設定(REST API Preferences)] をクリックします。 |
| ステップ 3 |
FMC への REST API アクセスを有効または無効にするには、[REST APIの有効化(Enable REST API)] チェックボックスをオンまたはオフにします。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
| ステップ 5 |
|
VMware Tools と仮想システム
VMware Tools は、仮想マシン向けのパフォーマンスを向上させるためのユーティリティ スイートです。これらのユーティリティを使用すると、VMware 製品の便利な機能をフルに活用できます。VMware で実行されている Firepower 仮想アプライアンスは、次のプラグインをサポートします。
-
guestInfo
-
powerOps
-
timeSync
-
vmbackup
サポートされるすべてのバージョンの ESXi で VMware Tools を有効にすることもできます。サポートされているバージョンの一覧については、『Cisco Firepower NGIPSv Quick Start Guide for VMware』を参照してください。VMware Tools のすべての機能については、VMware の Web サイト(http://www.vmware.com/)を参照してください。
VMware 向け Firepower Management Center での VMware ツールの有効化
|
スマートライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス |
|---|---|---|---|---|
|
任意 |
任意 |
Firepower Management Center |
グローバルだけ |
Admin |
NGIPSv には Web インターフェイスがないため、そのプラットフォームで VMware ツールを有効にするには CLI を使用する必要があります(Cisco Firepower NGIPSv Quick Start Guide for VMwareを参照)。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[VMware ツール(VMware Tools)] をクリックします。 |
| ステップ 3 |
[VMware ツールの有効化(Enable VMware Tools)] をクリックします。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
(オプション)Web 分析トラッキングのオプトアウト
デフォルトでは、Firepower 製品の向上のために、ページの閲覧内容、ブラウザのバージョン、製品バージョン、ユーザーの場所、Firepower Management Center アプライアンスの管理 IP アドレスまたはホスト名など、個人を特定できない使用データがシスコによって収集されます。
データ収集は、エンド ユーザー ライセンス契約書に同意した後に開始されます。このデータの継続的な収集を拒否する場合は、次の手順を実行してオプト アウトできます。
手順
| ステップ 1 |
[システム(System)] > [設定(Configuration)] を選択します。 |
| ステップ 2 |
[Web 分析(Web Analytics)] をクリックします。 |
| ステップ 3 |
適切に選択してから、[保存(Save)] をクリックします。 |
次のタスク
(オプション)Cisco Success Network 経由でデータを共有するかどうかを決定します。
システム設定の履歴
|
機能 |
バージョン |
詳細 |
||
|---|---|---|---|---|
|
NTP の保護 |
6.5 |
FMC は、SHA1 または MD5 対称キー認証を使用して NTP サーバーとのセキュアな通信をサポートしています。 新規/変更された画面:
サポートされるプラットフォーム FMC |
||
|
Web 分析 |
6.5 |
Web 分析データの収集は、EULA に同意した後に開始されます。 以前と同じように、データの共有を続けないことを選択できます。(オプション)Web 分析トラッキングのオプトアウトを参照してください。 |
||
|
次を対象とした自動 CLI アクセス FMC |
6.5 |
SSH を使用して FMC にログインすると、CLI に自動的にアクセスします。CLI expert コマンドを使用して Linux シェルにアクセスすることもできますが、このコマンドを使用しないことを強く推奨します。
|
||
|
読み取り専用および読み取り/書き込みアクセスに設定可能なセッション制限 |
6.5 |
[許可された最大同時セッション数(Max Concurrent Sessions Allowed)] の設定が追加されました。この設定により、管理者は同時に開くことができる特定のタイプ(読み取り専用または読み取り/書き込み)のセッションの最大数を指定できます。
新規/変更された画面:
サポート対象プラットフォーム: FMC |
||
|
管理インターフェイスで重複アドレス検出(DAD)を無効にする機能 |
6.4 |
IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用することによってサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。 新規/変更された画面: ダイアログボックス > [IPv6 DAD] チェックボックス サポートされるプラットフォーム:FMC |
||
|
管理インターフェイス上の ICMPv6 エコー応答と宛先到達不能メッセージを無効にする機能 |
6.4 |
IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。 新規/変更された画面:
新規/変更されたコマンド:configure network ipv6 destination-unreachable 、configure network ipv6 echo-reply サポートされるプラットフォーム:FMC(Web インターフェイスのみ)、 FTD(CLI のみ)、ASA FirePOWER module(CLI のみ)、NGIPSv(CLI のみ) |
||
|
グローバル ユーザー構成時の設定 |
6.3 |
[成功したログインの追跡(Track Successful Logins)]の設定を追加しました。システムは、選択した日数までに各 FMC アカウントが実行し、成功したログインの回数を追跡できます。この機能を有効にすると、ログイン中のユーザーには、設定した過去の日数内にシステムへのログインが何回成功したかを報告するメッセージが表示されます(Web インターフェイスとシェル/CLI アクセスに適用)。 [パスワード再利用制限(Password Reuse Limit)] の設定を追加しました。設定可能な過去のパスワード数について各アカウントのパスワードの履歴を追跡できます。システムは、すべてのユーザーがその履歴に表示されているパスワードを再利用できないようにします(Web インターフェイスとシェル/CLI アクセスに適用)。 [ログイン失敗の最大数(Max Number of Login Failures)] と [ユーザーを一時的にロックアウトする分単位の時間の設定(Set Time in Minutes to Temporarily Lockout Users)] の設定を追加しました。これらの機能によって、管理者はシステムが設定可能な時間にわたってアカウントを一時的にブロックするまでに、ユーザーが誤った Web インターフェイスのログイン クレデンシャルを連続して入力できる回数を制限できます。 新規画面: サポート対象プラットフォーム: FMC |
||
|
HTTPS 証明書 |
6.3 |
現在、システムとともに提供されるデフォルトの HTTPS サーバー クレデンシャルは 3 年で期限が切れます。バージョン 6.3 にアップグレードされる前に生成されたデフォルトのサーバー証明書をアプライアンスが使用している場合、サーバー証明書は最初に生成されたときから 20 年後に期限切れとなります。デフォルトの HTTPS サーバー証明書を使用している場合、システムはその証明書を更新する機能を提供しています。 新規/変更された画面: ページ > [HTTPS証明書の更新(Renew HTTPS Certificate)]。 サポートされるプラットフォーム:FMC |
||
|
の CLI アクセスを有効化および無効化する機能 FMC |
6.3 |
新しい/変更された画面: FMC の Web インターフェイスで管理者が使用可能な新しいチェックボックス: の [CLI アクセスの有効化(Enable CLI Access)] > [コンソール設定(Console Configuration)] ページ。
バージョン 6.3 より前では、[コンソール設定(Console Configuration)] ページには 1 つの設定のみしかなく、物理デバイスのみに適用されていました。そのため、[コンソール設定(Console Configuration)] ページは仮想 FMC には使用できませんでした。この新しいオプションを追加することで、[コンソール設定(Console Configuration)] ページに物理とともに 仮想 FMC が表示されるようになりました。ただし、仮想 FMC の場合、このページに表示されるのはこのチェックボックスのみです。 サポートされているプラットフォーム: FMC |
フィードバック