システム アップデート

次のトピックでは、Firepower の展開を更新する方法について説明します。

システムアップデートについて

FMC を使用して、FMC 自体と FMC が管理するデバイスのシステムソフトウェアをアップグレードできます。アドバンスドサービスを提供するさまざまなデータベースとフィードを更新することもできます。

インターネットにアクセスできる FMC の場合、システムは多くの場合、シスコから直接更新を取得できます。可能な限り、自動更新をスケジュールするか、有効にすることを推奨します。一部の更新は、初期セットアッププロセスによって、または関連機能を有効にすると、自動的に有効になります。その他の更新は、自分でスケジュールする必要があります。初期セットアップ後に、すべての自動更新を確認し、必要に応じて調整することを推奨します。

表 1. FMC 展開でのアップグレードと更新

コンポーネント

説明

詳細

FirePOWER ソフトウェア

メジャー ソフトウェア リリースには、新機能、機能、および拡張機能が含まれます。インフラストラクチャまたはアーキテクチャの変更が含まれる場合があります。

パッチは、緊急性の高い重要な修正に限定されたオンデマンド更新です。

ホットフィックスは、特定のお客様の問題に対処できます。

直接ダウンロード:リリースのみを選択します。通常は、リリースが手動でダウンロードできるようになってからしばらく時間がかかります。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。

スケジュール:パッチのみ。[システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)]

アンインストール:パッチのみ。

再イメージ化:メジャーリリースのみ。

参照先: システムソフトウェアのアップグレード

脆弱性データベース(VDB)

シスコ脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

直接ダウンロード:あり。

スケジュール:あり。[システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)]

アンインストール:なし。

参照先: 脆弱性データベース(VDB)の更新

位置情報データベース(GeoDB)

シスコ地理位置情報データベース(GeoDB)は、ルーティング可能な IP アドレスに関連付けられている地理および接続関連のデータのデータベースです。

直接ダウンロード:あり。

スケジュール:あり。[システム(System)] > [更新(Updates)]

アンインストール:なし。

参照先: 地理位置情報データベースを更新する

侵入ルール(SRU)

侵入ルールの更新には、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が含まれています。

ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたり、デフォルトの変数値が変更されたりすることもあります。

直接ダウンロード:あり。

スケジュール:あり。[システム(System)] > [更新(Updates)]

アンインストール:なし。

参照先: 侵入ルールの更新

セキュリティ インテリジェンスのフィード

セキュリティ インテリジェンスのフィードは、エントリに一致するトラフィックをすばやくフィルタリングするために使用できる IP アドレス、ドメイン名、および URL のコレクションです。

直接ダウンロード:あり。

スケジュール:あり。[オブジェクト(Objects)] > [オブジェクト管理(Object Management)]

アンインストール:なし。

参照先: セキュリティ インテリジェンスのリストとフィードの更新

URL カテゴリとレピュテーション

URL フィルタリングでは、URL の一般的な分類(カテゴリ)およびリスクレベル(レピュテーション)に基づいて、Web サイトへのアクセスを制御することができます。

直接ダウンロード:あり。

スケジュール:あり。要件に応じて、[システム(System)] > [統合(Integration)] > [クラウドサービス(Cloud Services)] または [システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)]

アンインストール:なし。

参照先: カテゴリとレピュテーションを使用した URL フィルタリングの有効化

システムアップデートの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

Global(特に明記のない場合)。

ユーザの役割

管理者

システムアップデートの注意事項と制約事項

更新する前に

Firepower 展開のいずれかのコンポーネント(侵入ルール、VDB、GeoDB など)を更新する前に、更新に付属しているリリースノートまたはアドバイザリテキストを読んでください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。

スケジュールされた更新

システムは、タスク(更新を含む)を UTC でスケジュールします。そのため、いつ現地で実行されるかは、日付と場所によって異なります。また、更新は UTC でスケジュールされるため、サマータイムなど、所在地で実施される場合がある季節調整に合わせて調節されることもありません。このような影響を受ける場合、スケジュールされた更新は、現地時間を基準とすると、夏期では冬期の場合よりも 1 時間「遅れて」実行されることになります。


重要

スケジュールされた更新が意図したとおりに確実に実行されることの確認を強くお勧めします。

帯域幅のガイドライン

Firepower アプライアンスをアップグレードする(または準備状況チェックを実行する)には、アップグレードパッケージがアプライアンス上に存在する必要があります。Firepower アップグレードパッケージには、さまざまなサイズがあります。管理対象デバイスに大容量のデータを転送するための帯域幅があることを確認します。『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

システムソフトウェアのアップグレード

このガイドには、システムソフトウェアまたは付随するオペレーティングシステムの詳細なアップグレード手順は含まれていません。この場合は、Cisco Firepower Management Center Upgrade Guide, Version 6.0–7.0を参照してください。

システムソフトウェアのパッチのダウンロードとインストールのスケジュールについては、ソフトウェア更新の自動化を参照してください。初期設定プロセスでは、毎週のパッチのダウンロードが自動的にスケジュールされることに注意してください。設定後は、自動スケジュール設定を確認し、必要に応じて調整する必要があります。

脆弱性データベース(VDB)の更新

シスコ脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

シスコでは、VDB に対して定期的に更新を提供しています。Firepower Management Center で VDB と関連付けられたマッピングの更新にかかる時間は、ネットワーク マップ内のホストの数によって異なります。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ホストの数を 1000 で割ります。

FMC がインターネットにアクセスできる場合は、自動の定期 VDB 更新のダウンロードとインストールを実行するようにタスクをスケジュールしておくことを推奨します。


注意    

ほとんどの場合、VDB の更新後の最初の展開では、管理対象デバイスで Snort プロセスが再起動されます。システムにより、この可能性があることが警告されます。この警告は、手動 VDB 更新後、VDB 更新のスケジュール時、バックグラウンド VDB 更新中、展開時などに表示されます。Snort が再起動されると、トラフィック インスペクションが中断され、管理対象デバイスによるトラフィックの処理方法によっては、トラフィックフローが中断される可能性があります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

VDB の手動更新

VDB を更新するには、VDB 更新パッケージが FMC に存在する必要があります。

Firepower Management Center でインターネットにアクセスできない、または VDB 更新を手動で Firepower Management Center にアップロードする場合は、この手順を使用します。VDB 更新を自動化するには、タスクのスケジューリング([システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)])を使用します。詳細は、脆弱性データベースの更新の自動化を参照してください。

始める前に

  • https://www.cisco.com/go/firepower-software から更新プログラムをダウンロードします。


    (注)  

    VDB リリース 343 以降、すべてのアプリケーションディテクタ情報は、Cisco Secure Firewall アプリケーションディテクタから入手できます。このサイトには、アプリケーションディテクタの検索可能なデータベースが含まれています。リリースノートには、特定の VDB リリースの変更に関する情報が記載されています。

  • Snort の再起動が発生するため、トラフィック フローとインスペクションに更新による影響があることを考慮します。メンテナンス ウィンドウ期間に更新を実行することをお勧めします。

手順

ステップ 1

[システム(System)] > [更新(Updates)] を選択し、[製品の更新(Product Updates)] をクリックします。

ステップ 2

VDB 更新の FMC へのアップロード方法を選択します。

  • Cisco.com から直接ダウンロード:[Download Updates] をクリックします。シスコ サポートおよびダウンロード サイトにアクセスできる場合、Firepower Management Center は最新の VDB をダウンロードします。Firepower Management Center は、アプライアンスが現在実行しているバージョンに関連付けられている各パッチとホットフィックスのパッケージもダウンロードする点に注意してください(ただし、メジャー リリースは含まれない)。
  • 手動でアップロード:[Upload Update] をクリックして、[Choose File] をクリックします。ダウンロードした更新を参照して、[アップロード(Upload)] をクリックします。
VDB 更新は、Firepower ソフトウェアのアップグレードおよびアンインストーラ パッケージと同じページに表示されます。
ステップ 3

更新をインストールします。

  1. [脆弱性およびフィンガープリント データベースの更新(Vulnerability and Fingerprint Database update)] の横にある [Install(インストール)] をクリックします。

  2. Firepower Management Center を選択します。

  3. [Install(インストール)] をクリックします。

ステップ 4

(オプション)メッセージ センターで更新の進行状況をモニターします。

更新が完了するまで、マッピングされた脆弱性に関連するタスクを実行しないでください。 メッセージ センターに進行状況が数分間表示されない、または更新が失敗したことが示されている場合でも、更新を再開しないでください。代わりに、Cisco TAC にお問い合わせください。

更新の完了後に、システムで新しい脆弱性情報が使用されます。ただし、更新されたアプリケーション ディテクタとオペレーティング システム フィンガープリントを有効にするために、展開する必要があります。
ステップ 5

更新が成功したことを確認します。

現在の VDB バージョンを表示するには、[ヘルプ(Help)] > [バージョン情報(About)] を選択します。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

地理位置情報データベースを更新する

地理位置情報データベース(GeoDB)は、地理的な位置に基づいてトラフィックを表示およびフィルタリングするために利用できるデータベースです。

システムには IP アドレスを国/大陸にマッピングする初期 GeoDB が付属しているため、情報を常に利用できます。GeoDB を更新すると、システムはコンテキストデータもダウンロードします。このコンテキストデータには、追加の場所詳細のほか、ISP、接続タイプ、プロキシタイプ、ドメイン名などの接続情報が含まれます。シスコでは、GeoDB の定期的な更新を提供しています。正確な地理位置情報を取得するには、GeoDB を定期的に更新する必要があります。

初期設定の一環として、FMC は週次自動 GeoDB 更新を設定します。Web インターフェイスのメッセージ センターを使用して、この更新のステータスを確認できます。更新の設定に失敗するが、FMC がインターネットにアクセスできる場合は、 GeoDB 更新のスケジューリング

GeoDB の更新に必要な時間はアプライアンスによって異なりますが、更新のサイズによっては最大 45 分かかる場合があります(たとえば、完全な GeoDB を初めてダウンロードする場合など)。GeoDB の更新は他のシステムの機能(実行中の地理情報の収集など)を中断することはありませんが、更新が完了するまでシステムのリソースを消費します。更新を計画する場合には、この点について考慮してください。

GeoDB を更新すると、GeoDB の以前のバージョンが上書きされ、すぐに有効になります。GeoDB を更新すると、FMC により、管理対象デバイス上の関連データが自動的に更新されます。GeoDB の更新が展開全体で有効になるまでに数分かかることがあります。更新後に再度展開する必要はありません。

[System] > [Updates] > [Geolocation Updates] ページと [Help] > [About] ページの両方に、現在のバージョンが一覧表示されます。


(注)  

2022 年 5 月、GeoDB が 2 つのパッケージに分割されました。IP アドレスを国/大陸にマッピングする国コードパッケージと、コンテキストデータを含む IP パッケージです。新しい国コードパッケージのファイル名は、古いオールインワンパッケージと同じです。これにより、バージョン 7.1 以前を実行している では、引き続き GeoDB の更新プログラムを取得できます。ただし、このパッケージには国コードのマッピングのみ含まれようになるため、コンテキストデータは更新されなくなり、陳腐化されます。最新のデータを取得するには、バージョン 7.2 以降にアップグレードするか再イメージ化して、GeoDB を更新します。なお、この分割による地理位置情報ルールやトラフィック処理への影響はありません。これらのルールは、国コードパッケージのデータのみに依存しています。

手動による GeoDB の更新(インターネット接続)

新しい GeoDB 更新プログラムは、アプライアンスがインターネットにアクセスできる場合にのみ、サポート サイトに接続することで自動的にインポートできます。

手順

ステップ 1

[システム(System)] > [更新(Updates)]を選択します。

ステップ 2

[位置情報の更新(Geolocation Updates)] をクリックします。

ステップ 3

[サポート サイトから地理位置情報の更新をダウンロードしてインストールする(Download and install geolocation update from the Support Site)] を選択します。

ステップ 4

[インポート(Import)] をクリックします。

システムは [地理位置情報の更新(Geolocation Update)] タスクをキューに入れます。このタスクは、最新の更新について、シスコ サポート サイト(http://www.cisco.com/cisco/web/support/index.html)で確認します。
ステップ 5

必要に応じて、タスクのステータスをモニターします。タスクメッセージの表示を参照してください。

ステップ 6

更新が終了したら、[地理位置情報の更新(Geolocation Updates)] ページに戻るか、[ヘルプ(Help)] > [バージョン情報(About)] を選択して、GeoDB のビルド番号がインストールした更新と一致していることを確認します。

地理位置情報データベース(GeoDB)の手動更新:インターネット接続なし

FMC にインターネットアクセスがない場合、この手順を使用して、GeoDB のオンデマンド更新を実行します。

手順

ステップ 1

シスコ サポートおよびダウンロード サイトhttps://www.cisco.com/go/firepower-software から GeoDB をダウンロードします。

モデルを選択または検索し(または任意のモデルを選択して、すべての FMC に同じ GeoDB を使用します)、[Coverage and Content Updates] ページを参照します。

必ず国コードパッケージ(Cisco_GEODB_Update-date-build)をダウンロードしてください。IP パッケージはバージョン 7.2 以降用です。

ステップ 2

[システム(System)] > [更新(Updates)] > [地理位置情報の更新(Geolocation Updates)] の順に選択します。

ステップ 3

[One-Time Geolocation Update] で、[Upload and install geolocation update] を選択します。
ステップ 4

[Choose File] をクリックし、事前にダウンロードした国コードパッケージを参照します。
ステップ 5

[インポート(Import)] をクリックします。

メッセージセンターで更新の進捗をモニターできます。
ステップ 6

更新が成功したことを確認します。

[位置情報の更新(Geolocation Updates)] ページと[ヘルプ(Help)] > [バージョン情報(About)] ページの両方に、現在のバージョンが一覧表示されます。

GeoDB 更新のスケジューリング

初期設定の一環として、FMC は週次自動 GeoDB 更新を設定します。Web インターフェイスのメッセージ センターを使用して、この更新のステータスを確認できます。更新の設定に失敗するが、FMC がインターネットにアクセスできる場合は、このトピック。

始める前に

FMC でインターネットにアクセスできることを確認します。

手順

ステップ 1

[システム(System)] > [更新(Updates)] を選択し、[Geolocation Updates] をクリックします。

ステップ 2

[Recurring Geolocation Updates] で、[Enable Recurring Weekly Updates] をオンにします。

ステップ 3

[開始時刻の更新(Update Start Time)] を指定します。

ステップ 4

[保存(Save)] をクリックします。

侵入ルールの更新

新しい脆弱性が明らかになるのに伴い、Cisco Talos Intelligence Group(Talos)は侵入ルールの更新をリリースします。これらの更新を Firepower Management Center にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

侵入ルール更新は更新を累積されていくものなので、常に最新の更新をインポートすることをお勧めします。現在インストールされているルールのバージョン以前の侵入ルールの更新をインポートすることはできません。

侵入ルールの更新では、次のものを提供します。

  • 新規または変更されたルールおよびルール状態:ルール更新は、新規および更新された侵入ルールとプリプロセッサ ルールを提供します。新規ルールの場合は、システム付属の各侵入ポリシーでルール ステータスが異なることがあります。たとえば、新規ルールが、Security over Connectivity 侵入ポリシーでは有効になっており、Connectivity over Security 侵入ポリシーでは無効になっていることがあります。ルールの更新では、既存のルールのデフォルトの状態が変更されたり、既存のルールが完全に削除されることもあります。

  • 新しいルール カテゴリ:ルール更新には、常に追加される新しいルール カテゴリが含まれている場合があります。

  • 変更されたプリプロセッサおよび詳細設定:ルール更新によって、システム提供の侵入ポリシーの詳細設定、およびシステム提供のネットワーク分析ポリシーのプリプロセッサ設定が変更されることがあります。また、アクセス コントロール ポリシーの高度な前処理およびパフォーマンスのオプションのデフォルト値も変更される場合があります。

  • 新規および変更された変数:ルール更新によって、既存のデフォルト変数のデフォルト値が変更されることがありますが、ユーザによる変更は上書きされません。新しい変数が常に追加されます。

マルチドメイン展開では、ローカル侵入ルールを任意のドメインにインポートできますが、グローバル ドメイン内の Talos からでなければ、侵入ルールの更新をインポートすることはできません。

侵入ルールの更新によってポリシーが変更されるタイミングについて

侵入ルールの更新は、システムが提供するネットワーク分析ポリシーとカスタム ネットワーク分析ポリシーの両方だけでなく、すべてのアクセス コントロール ポリシーにも影響する場合があります。

  • システム提供:システムが提供するネットワーク解析および侵入ポリシーへの変更は、その他のアクセス コントロールの詳細設定と同様に、更新後にポリシーを再適用すると自動的に有効になります。

  • カスタム:すべてのカスタム ネットワーク分析ポリシーと侵入ポリシーは、システム付属ポリシーをそのベースとして、またはポリシー チェーンの根本的ベースとして使用しているので、ルール更新によってカスタム ネットワーク分析ポリシーと侵入ポリシーが影響を受けることがあります。ただし、ルール更新によるこれらの自動的な変更は回避することができます。これにより、ルール更新のインポートとは関係ないスケジュールで、システムによって提供される基本ポリシーを手動で更新できます。ユーザーによる選択(カスタム ポリシーごとに実装)とは関係なく、システム付属ポリシーに対する更新によって、カスタマイズ済みの設定が上書きされることはありません

ルール更新をインポートすると、ネットワーク分析ポリシーと侵入ポリシーのキャッシュされていた変更がすべて廃棄されるので注意してください。便宜のために、[ルールの更新(Rule Updates)] ページには、キャッシュされている変更があるポリシー、および変更を行ったユーザが表示されます。

侵入ルールの更新の展開

侵入ルールの更新によって行われた変更を有効にするには、設定を再導入する必要があります。侵入ルールの更新をインポートする際に、影響を受けるデバイスに自動的に再導入するようシステムを設定できます。この手法が特に役立つのは、侵入ルールの更新によるシステム提供の基本侵入ポリシーの変更を許可する場合です。

侵入ルールの更新の繰り返し

[ルールの更新(Rule Updates)] ページを使用して、ルール更新を日次、週次、または月次ベースでインポートすることができます。

展開に高可用性ペアのFirepower Management Centerが含まれる場合は、プライマリ側だけに更新をインポートします。セカンダリ Firepower Management Center は、通常の同期プロセスの一環としてルールの更新を受け取ります。

侵入ルールの更新のインポートに適用されるサブタスクは、ダウンロード、インストール、ベース ポリシーの更新、設定の展開の順で実行されます。1 つのサブタスクが完了すると、次のサブタスクが開始されます。

スケジュールされた時間になると、システムはルールの更新をインストールして、前のステップで指定したように変更後の設定を展開します。インポートの前、またはインポート中にログオフすることも、Web インターフェイスを使用して他のタスクを実行することもできます。インポート中に [ルールの更新ログ(Rule Update Log)] にアクセスすると、 が表示され、[ルールの更新ログ(Rule Update Log)] 詳細ビューに表示されるメッセージを確認できます。ルール更新のサイズと内容によっては、ステータス メッセージが表示されるまでに数分かかることがあります。

初期設定の一環として、FMC はシスコのサポートサイトから日次の自動侵入ルールの更新を設定します。(FMC では、次に影響を受けるポリシーを展開するときに、影響を受ける管理対象デバイスに自動侵入ルールの更新が展開されます。) Web インターフェイスのメッセージ センターを使用して、この更新のステータスを確認できます。更新の設定に失敗するが、FMC がインターネットにアクセスできる場合は、侵入ルールの更新のスケジュール

ローカル侵入ルールのインポート

ローカル侵入ルールは、ASCII または UTF-8 エンコーディングによるプレーン テキスト ファイルとしてローカル マシンからインポートするカスタム標準テキスト ルールです。Snort ユーザ マニュアル(http://www.snort.org で入手可能)の指示に従って、ローカル ルールを作成することができます。

マルチドメイン展開では、任意のドメインにローカル侵入ルールをインポートできます。現在のドメインと親ドメインにインポートされたローカル侵入ルールを表示できます。

侵入ルールのワンタイム手動更新

Firepower Management Center にインターネット アクセスがない場合、新しい侵入ルールの更新を手動でインポートします。

手順

ステップ 1

シスコのサポート サイト(http://www.cisco.com/cisco/web/support/index.html)から更新を手動でダウンロードします。

ステップ 2

[システム(System)] > [更新(Updates)] を選択し、[ルールの更新(Rule Updates)] をクリックします。

ステップ 3

削除されるフォルダに作成またはインポートしたすべてのユーザー定義ルールを移動する場合、ツールバーで [すべてのローカル ルールの削除(Delete All Local Rules)] をクリックして [OK] をクリックする必要があります。

ステップ 4

[アップロードおよびインストールするルールの更新またはテキスト ルール ファイル(Rule Update or text rule file to upload and install)] を選択し、[参照(Browse)] をクリックして、ルール アップデート ファイルを選択します。

ステップ 5

更新が完了した後に、ポリシーを管理対象デバイスに自動的に再展開する場合、[ルールの更新のインポートが完了した後にすべてのポリシーを再適用する(Reapply all policies after the rule update import completes)] をオンにします。

ステップ 6

[インポート(Import)] をクリックします。ルールの更新がインストールされ、[ルール アップデート ログ(Rule Update Log)] 詳細ビューが表示されます。

(注)   

ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。

侵入ルールのワンタイム自動更新

新しい侵入ルールの更新を自動的にインポートするには、サポート サイトに接続するためのインターネット アクセスがアプライアンスで必要になります。

始める前に

手順

ステップ 1

[システム(System)] > [更新(Updates)]を選択します。

ヒント 

または [ルールエディタ(Rule Editor)] ページで [ルールのインポート(Import Rules)] をクリックします。ここには、[ポリシー(Policies)] > [侵入(Intrusion)] > [侵入ルール(Intrusion Rule)] を選択してアクセスすることができます。

ステップ 2

[ルールの更新(Rule Updates)] をクリックします。

ステップ 3

削除されるフォルダに作成またはインポートしたすべてのユーザー定義ルールを移動する場合、ツールバーで [すべてのローカル ルールの削除(Delete All Local Rules)] をクリックして [OK] をクリックします。

ステップ 4

[サポート サイトから新しいルールの更新をダウンロードする(Download new Rule Update from the Support Site)] を選択します。

ステップ 5

更新が完了した後に、変更した設定を管理対象デバイスに自動的に再展開する場合、[ルールの更新のインポートが完了した後にすべてのポリシーを再適用する(Reapply all policies after the rule update import completes)] チェックボックスをオンにします。

ステップ 6

[インポート(Import)] をクリックします。

ルールの更新がインストールされ、[ルール アップデート ログ(Rule Update Log)] 詳細ビューが表示されます。
注意     

ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。

侵入ルールの更新のスケジュール

手順

ステップ 1

[システム(System)] > [更新(Updates)]を選択します。

ヒント 

または [ルールエディタ(Rule Editor)] ページで [ルールのインポート(Import Rules)] をクリックします。ここには、[ポリシー(Policies)] > [侵入(Intrusion)] > [侵入ルール(Intrusion Rule)] を選択してアクセスすることができます。

ステップ 2

[ルールの更新(Rule Updates)] をクリックします。

ステップ 3

削除されるフォルダに作成またはインポートしたすべてのユーザー定義ルールを移動する場合、ツールバーで [すべてのローカル ルールの削除(Delete All Local Rules)] をクリックして [OK] をクリックします。

ステップ 4

[サポートサイトからの定期的なルール更新のインポートを有効化(Enable Recurring Rule Update Imports from the Support Site)] チェックボックスをオンにします。

[ルール アップデートの再帰的なインポート(Recurring Rule Update Imports)] セクションの見出しの下に、インポート ステータスに関するメッセージが表示されます。

ステップ 5

[インポート頻度(Import Frequency)] フィールドで、次を指定します。

  • 更新の頻度([日次(Daily)]、[週次(Weekly)]、または [月次(Monthly)])。
  • 更新が必要な曜日または日付。
  • 更新を開始する時刻。
ステップ 6

更新の完了後、変更された設定を管理対象デバイスに自動的に再展開するには、[ルール更新の完了後、更新されたポリシーを管理対象デバイスに展開する(Deploy updated policies to targeted devices after rule update completes)] チェックボックスをオンにします。

ステップ 7

[保存(Save)] をクリックします。

注意     

侵入ルール更新のインストール中にエラー メッセージが表示された場合は、サポートに連絡してください。

[ルール アップデートの再帰的なインポート(Recurring Rule Update Imports)] セクションの見出しの下のステータス メッセージが変わり、ルールの更新がまだ実行されていないことが示されます。

ローカル侵入ルールのインポートに関するガイドライン

ローカル ルール ファイルをインポートする際には次のガイドラインに従います。

  • ルールのインポータには、すべてのカスタム ルールが ASCII または UTF-8 でエンコードされるプレーン テキスト ファイルにインポートされることが必要です。

  • テキスト ファイル名には英数字とスペースを使用できますが、下線(_)、ピリオド(.)、ダッシュ(-)以外の特殊記号は使用できません。

  • システムは、単一のポンド文字(#)で始まるローカル ルールをインポートしますが、これらには削除のフラグが立てられます。

  • 単一のポンド文字(#)で始まるローカル ルールはインポートされますが、2 つのポンド文字(##)で始まるローカル ルールはインポートされません。

  • ルールにはエスケープ文字を含めることはできません。

  • マルチドメイン展開では、グローバル ドメインにインポートまたは作成されたルールに 1 の GID が割り当てられ、他のすべてのドメインには 1000 ~ 2000 の間のドメイン固有 GID が割り当てられます。

  • ローカル ルールをインポートするときにはジェネレータ ID(GID)を指定する必要はありません。指定する場合は、標準テキスト ルールに GID 1 のみを指定します。

  • ルールを初めてインポートするときには、[Snort ID](SID)またはリビジョン番号を指定しないでください。これにより、削除されたルールを含むその他のルールの SID の競合を回避できます。システムはルールに対して、1000000 以上の次に使用できるカスタム ルール SID 、およびリビジョン番号 の 1 を自動的に割り当てます。

    SID を持つルールをインポートする必要がある場合、SID には 1,000,000 以上の一意の番号を指定できます。

    マルチドメイン展開で、複数の管理者がローカル ルールを同時にインポートする場合、個々のドメイン内の SID が連続していないように見える場合があります。これは、シーケンス内の途中の数字が別のドメインに割り込んで指定されたためです。

  • 以前にインポートしたローカル ルールの更新バージョンをインポートするとき、または削除したローカル ルールを元に戻すときは、システムによって指定された SID および現在のリビジョン番号より大きいリビジョン番号を含める必要があります。ルールを編集して、現在のルールまたは削除されたルールのリビジョン番号を判別できます。


    (注)  
    ローカル ルールを削除すると、システムは自動的にリビジョン番号を増やします。これは、ローカル ルールを元に戻すための方法です。削除されたすべてのローカル ルールは、ローカル ルール カテゴリから、削除されたルール カテゴリへ移動されます。

  • SID 番号の問題を回避するには、ハイ アベイラビリティ ペアのプライマリ Firepower Management Center でローカル ルールをインポートします。

  • ルールに次のいずれかが含まれていると、インポートに失敗します。

    • 2147483647 より大きい SID。

    • 64 文字よりも長い送信元ポートまたは宛先ポートのリスト。

    • マルチドメイン展開でグローバル ドメインにインポートする場合、GID:SID の組み合わせでは、別のドメインに既に存在する GID 1 と SID を使用します。これは、バージョン 6.2.1 より前に組み合わせが存在していたことを示します。GID 1 と固有の SID を使用してルールを再インポートできます。

  • 非推奨の threshold キーワードと侵入イベントしきい値機能を組み合わせて使用しているローカル ルールをインポートして、侵入ポリシーで有効にすると、ポリシーの検証に失敗します。

  • インポートされたすべてのローカル ルールは、ローカル ルール カテゴリに自動的に保存されます。

  • システムによって、インポートしたローカル ルールは常に無効なルール状態に設定されます。ローカル ルールを侵入ポリシーで使用できるようにするには、ローカル ルールの状態を手動で設定する必要があります。

ローカル侵入ルールのインポート

  • ローカル ルール ファイルが、ローカル侵入ルールのインポートに関するガイドラインに記載されているガイドラインに従っていることを確認します。

  • ローカル侵入ルールのインポート プロセスが、自身のセキュリティ ポリシーに適合していることを確認します。

  • 帯域幅の制約や Snort の再起動が発生するため、トラフィック フローとインスペクションにインポートによる影響があることを考慮します。メンテナンス ウィンドウ期間にルール更新をスケジュールすることをお勧めします。

  • このタスクは、どのドメインでも実行できます。

ローカル侵入ルールをインポートするには、次の手順を使用します。インポートされた侵入ルールは、無効状態でローカル ルール カテゴリに表示されます。

手順
ステップ 1

[システム(System)] > [更新(Updates)] を選択し、[ルールの更新(Rule Updates)] をクリックします。

ステップ 2

(オプション)既存のローカル ルールを削除します。

[すべてのローカルルールの削除(Delete All Local Rules)] をクリックして、すべての作成およびインポートされた侵入ルールを削除フォルダに移動することを確認します。

ステップ 3

[ワンタイムルール更新/ルールインポート(One-Time Rule Update/Rules Import)] で、[アップロードおよびインストールするルールの更新またはテキストルールファイル(Rule update or text rule file to upload and install)] を選択して、[ファイルの選択(Choose File)] をクリックしたら、ローカルルールファイルを参照します。

ステップ 4

[インポート(Import)] をクリックします。

ステップ 5

メッセージ センターでインポートの進行状況をモニターします。

メッセージセンターを表示するには、メニューバーの [システムステータス(System Status)] をクリックします。メッセージ センターに進行状況が数分間表示されない、またはインポートが失敗したことが示されている場合でも、インポートを再起動しません。代わりに、Cisco TAC に連絡してください。

次のタスク

  • 侵入ポリシーを編集し、インポートしたルールを有効にします。

  • 設定変更を展開します。設定変更の展開を参照してください。

ルールの更新ログ

Firepower Management Center は、ユーザがインポートする各ルール更新およびローカル ルール ファイルごとに 1 つのレコードを生成します。

各レコードにはタイム スタンプ、ファイルをインポートしたユーザ名、およびインポートが正常に終了したか失敗したかを示すステータス アイコンが含まれています。ユーザは、インポートしたすべてのルール更新とローカル ルール ファイルのリストを管理したり、リストからレコードを削除したり、インポートしたすべてのルールとルール更新コンポーネントに関する詳細レコードにアクセスすることができます。

[ルール アップデートのインポート ログ(Rule Update Import Log)] 詳細ビューには、ルール更新またはローカル ルール ファイルにインポートされた各オブジェクトの詳細レコードが表示されます。表示されるレコードのうち、自分のニーズに合う情報のみを含むカスタム ワークフローまたはレポートを作成することもできます。

侵入ルール更新のログ テーブル

表 2. 侵入ルール更新のログ フィールド

フィールド

説明

要約

インポート ファイルの名前。インポートが失敗した場合は、ファイル名の下に、失敗した理由の簡単な説明が表示されます。

Time

インポートが開始された日時。

ユーザー ID(User ID)

インポートをトリガーとして使用したユーザ名。

ステータス(Status)

インポートの状態を表します

  • 成功([成功(succeeded)] アイコン [成功(succeeded)] アイコン)

  • 失敗した、または実行中

インポート中には [ルールアップデートログ(Rule Update Log)] ページで、正常終了しなかった、または完了していないことを示す赤いステータス アイコンが表示され、インポートが正常終了した場合のみこれが緑色のアイコンに変わります。


ヒント

侵入ルール更新のインポートの進行中に示される、インポートの詳細を表示することができます。

侵入ルールの更新ログの表示

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

手順
ステップ 1

[システム(System)] > [更新(Updates)]を選択します。

ヒント 

侵入ルール エディタ ページ([オブジェクト(Objects)] > [侵入ルール(Intrusion Rules)])の [インポート ページ(Import Rules)] をクリックすることもできます。

ステップ 2

[ルールの更新(Rule Updates)] をクリックします。

ステップ 3

[ルールアップデートログ(Rule Update Log)] をクリックします。

ステップ 4

次の 2 つの対処法があります。

  • 表示:ルールの更新またはローカルルールファイルにインポートされる各オブジェクトの詳細を表示するには、表示するファイルの横にある表示[表示(view)] ボタンをクリックします(侵入ルールの更新インポート ログの詳細の表示を参照)。
  • 削除:インポートログからインポートファイルレコード(ファイルに含まれるすべてのオブジェクトに関する詳細レコードを含む)を削除するには、インポートファイル名の横にあるをクリックします。
    (注)   

    ログからファイルを削除しても、インポート ファイルにインポートされているオブジェクトはいずれも削除されませんが、インポート ログ レコードのみは削除されます。

侵入ルール更新ログのフィールド


ヒント
1 つのインポート ファイルのレコードのみが表示されている [ルール アップデートのインポート ログ(Rule Update Import Log)] 詳細ビューからツールバーの [検索(Search)] をクリックして検索を開始した場合でも、[ルール アップデートのインポート ログ(Rule Update Import Log)] データベースの全体が検索されます。検索の対象とするすべてのオブジェクトが含まれるように、時間制限が設定されていることを確認します。
表 3. [ルール アップデートのインポート ログ(Rule Update Import Log)] 詳細ビューのフィールド
フィールド 説明

操作

オブジェクト タイプについて、次のいずれかが発生していることを示します。

  • [新規(new)](ルールで、このアプライアンスにルールが最初に格納された場合)

  • [変更済み(changed)](ルール更新コンポーネントまたはルール用。ルール更新コンポーネントが変更された場合、またはルールのリビジョン番号が大きく、GID と SID が同じ場合)

  • [競合(collision)](ルール更新コンポーネントまたはルールに関して、アプライアンス上の既存のコンポーネントまたはルールとリビジョンが競合しているため、インポートがスキップされた場合)

  • [削除済み(deleted)](ルール用。ルール更新からルールが削除された場合)

  • [有効(enabled)](ルール更新の編集で、プリプロセッサ、ルール、または他の機能が、システムで提供されるデフォルト ポリシーで有効になっていた場合)

  • [無効(disabled)](ルールで、システム提供のデフォルト ポリシーでルールが無効になっていた場合)

  • [ドロップ(drop)](ルールで、システムで提供されるデフォルト ポリシーで、ルールが [ドロップおよびイベントの生成(Drop and Generate Events)] に設定されていた場合)

  • [エラー(error)](ルール更新またはローカル ルール ファイル用。インポートに失敗した場合)

  • [適用(apply)](インポートに対して [ルール更新のインポート完了後にすべてのポリシーを再適用する(Reapply all policies after the rule update import completes)] オプションが有効だった場合)

デフォルト アクション(Default Action)

ルールの更新によって定義されたデフォルトのアクション。インポートされたオブジェクトのタイプが [ルール(rule)] の場合、デフォルトのアクションは [通過(Pass)]、[アラート(Alert)]、または [ドロップ(Drop)] になります。インポートされた他のすべてのオブジェクト タイプには、デフォルトのアクションはありません。

詳細

コンポーネントまたはルールに対する一意の文字列。ルールの場合、変更されたルールの GID、SID、および旧リビジョン番号は、previously (GID:SID:Rev) と表示されます。変更されていないルールについては、このフィールドは空白です。

ドメイン(Domain)

侵入ポリシーで更新されたルールを使用できるドメイン。子孫ドメインの侵入ポリシーもルールを使用できます。このフィールドは、マルチドメイン展開の場合にのみ存在します。

GID

ルールのジェネレータ ID。たとえば、1(標準テキスト ルール、グローバル ドメインまたは従来の GID)または 3(共有オブジェクト ルール)。

名前(Name)

インポートされたオブジェクトの名前。ルールの場合はルールの [メッセージ(Message)] フィールドに対応した名前で、ルール更新コンポーネントの場合はコンポーネント名です。

ポリシー

インポートされたルールの場合、このフィールドには [すべて(All)] が表示されます。つまり、ルールが正常にインポートされ、適切なデフォルト侵入ポリシーすべてで有効にすることができます。インポートされた他のタイプのオブジェクトについては、このフィールドは空白です。

Rev

ルールのリビジョン番号。

ルール アップデート(Rule Update)

ルール更新のファイル名。

SID

ルールの SID。

Time

インポートが開始された日時。

タイプ

インポートされたオブジェクトのタイプで、有効な値は次のいずれかです。

  • [ルール更新コンポーネント(rule update component)](ルール パックやポリシー パックなどのインポートされたコンポーネント)

  • [ルール(rule)](ルール用。新しいルールまたは更新されたルール。バージョン 5.0.1 では、廃止された update 値の代わりにこの値が使用されます)。

  • [ポリシー適用(policy apply)](インポートに対して [ルール更新のインポート完了後にすべてのポリシーを再適用する(Reapply all policies after the rule update import completes)] オプションが有効だった場合)

カウント(Count)

各レコードのカウント(1)。テーブルが制限されており、[ルール アップデート ログ(Rule Update Log)] 詳細ビューがデフォルトでルール更新レコードに制限されている場合は、テーブル ビューに [メンバー数(Count)] フィールドが表示されます。このフィールドは検索できません。

侵入ルールの更新インポート ログの詳細の表示

マルチドメイン展開環境では、現在のドメインと子孫ドメインのデータを表示することができます。上位レベルのドメインまたは兄弟ドメインのデータを表示することはできません。

手順
ステップ 1

[システム(System)] > [更新(Updates)]を選択します。

ヒント 

または [ルールエディタ(Rule Editor)] ページで [ルールのインポート(Import Rules)] をクリックします。ここには、[ポリシー(Policies)] > [侵入(Intrusion)] > [侵入ルール(Intrusion Rule)] を選択してアクセスすることができます。

ステップ 2

[ルールの更新(Rule Updates)] をクリックします。

ステップ 3

[ルールアップデートログ(Rule Update Log)] をクリックします。

ステップ 4

表示する詳細レコードが含まれているファイルの隣にある 表示[表示(view)] ボタン をクリックします。

ステップ 5

次のいずれかの処理を実行できます。

  • ブックマーク:現在のページをブックマークするには、[このページをブックマーク(Bookmark This Page)] をクリックします。

  • 検索の編集:現在の単一制約が事前入力されている検索ページを開くには、検索制約の横にある [検索の編集(Edit Search)] または [検索の保存(Save Search)] を選択します。

  • ブックマークの管理:ブックマークの管理ページに移動するには、[レポートデザイナ(Report Designer)] をクリックします。

  • レポート:現在のビューのデータに基づいてレポートを生成するには、[レポートデザイナ(Report Designer)] をクリックします。

  • 検索:ルールの更新インポートログデータベース全体でルールの更新インポートレコードを検索するには、[検索(Search)] をクリックします。

  • ソート:現在のワークフローページでレコードをソートしたり制約したりするには、詳細についてドリルダウン ページの使用を参照してください。

  • ワークフローの切り替え:別のワークフローを一時的に使用するには、[(ワークフローの切り替え)((switch workflows))] をクリックします。

エアギャップ展開の維持

Firepower システムがインターネットに接続されていない場合、必要な更新は自動的に実行されません。

それらの更新を手動で取得してインストールする必要があります。次の情報を参照してください。

システムアップデートの履歴

機能

バージョン

詳細(Details)

FMC による、初期セットアップ時のソフトウェアのダウンロードと GeoDB の更新のスケジュール

6.5.0

新規または再イメージ化された FMC を設定すると、システムは自動的に次のスケジュールを設定します。

  • FMC とその管理対象デバイスのソフトウェア更新をダウンロードする週次タスク。

  • GeoDB の週次更新。

タスクは UTC でスケジュールされるため、いつ現地で実行されるかは、日付と場所によって異なります。また、タスクは UTC でスケジュールされるため、サマータイムなど、所在地で実施される場合がある季節調整に合わせて調節されることもありません。このような影響を受ける場合、スケジュールされたタスクは、現地時間を基準とすると、夏期では冬期の場合よりも 1 時間「遅れて」実行されることになります。自動スケジュール設定を確認し、必要に応じて調整することをお勧めします。

FMC アップグレードによるスケジュールされたタスクの延期

6.7.0

6.6.3

6.4.0.10

FMC アップグレードは、スケジュールされたタスクを延期するようになりました。アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。

(注)   

アップグレードを開始する前に、実行中のタスクが完了していることを確認する必要があります。アップグレードの開始時に実行中のタスクは停止し、失敗したタスクとなり、再開できません。

この機能は、サポートされているバージョンからのすべてのアップグレードでサポートされていることに注意してください。これには、バージョン 6.4.0.10 以降のパッチ、バージョン 6.6.3 以降のメンテナンスリリース、およびバージョン 6.7.0 以降が含まれます。この機能は、サポートされていないバージョンからサポートされているバージョンへのアップグレードではサポートされていません。

署名済みの SRU、VDB、および GeoDB の更新

6.4.0

Firepower は正しい更新ファイルを使用していることが確認できるため、署名済みの更新を侵入ルール(SRU)、脆弱性データベース(VDB)、および地理位置情報データベース(GeoDB)に使用できるようになりました。以前のバージョンでは、引き続き未署名の更新が使用されます。

シスコ サポートおよびダウンロード サイト から手動で更新をダウンロードしない限り(たとえば、エアギャップ導入環境の場合)、機能の違いはわかりません。

ただし、SRU、VDB、および GeoDB の更新を手動でダウンロードしてインストールする場合は、必ず現在のバージョンに対応した正しいパッケージをダウンロードしてください。署名付きの更新ファイルの先頭は「Sourcefire」ではなく「Cisco」で、末尾は .sh ではなく .sh.REL.tar です。

  • SRU:Cisco_Firepower_SRU-date-build-vrt.sh.REL.tar

  • VDB:Cisco_VDB_Fingerprint_Database-4.5.0-version.sh.REL.tar

  • GeoDB:Cisco_GEODB_Update-date-build.sh.REL.tar

署名付きの(.tar)パッケージは解凍しないでください。

アップグレードの高速化

6.4.0

イベントデータベースの改善により、Firepower アプライアンスのアップグレードが高速になりました。

アップグレードの前の、管理対象デバイスへのアップグレードパッケージのコピー

6.2.3

実際のアップグレードを実行する前に、FMC から管理対象デバイスにアップグレードパッケージをコピー(またはプッシュ)できるようになりました。帯域幅の使用量が少ない時間帯やアップグレードのメンテナンス期間外でプッシュできるため、この機能は便利です。

高可用性デバイス、クラスタデバイス、またはスタック構成デバイスにプッシュすると、アップグレードパッケージは最初にアクティブ/コントロール/プライマリに送信され、次にスタンバイ/データ/セカンダリに送信されます。

新規/変更された画面:[システム(System)] > [更新(Updates)]

VDB の更新前の、FMC による Snort の再起動の警告

6.2.3

FMC は、脆弱性データベース(VDB)を更新すると Snort プロセスが再起動されることを警告するようになりました。これにより、トラフィック インスペクションが中断され、管理対象デバイスによるトラフィックの処理方法によっては、トラフィックフローが中断される可能性があります。メンテナンス期間中など、都合の良い期間までインストールをキャンセルすることができます。

次のようなときに警告が表示される可能性があります。

  • VDB をダウンロードして手動でインストールした後。

  • スケジュールされたタスクを作成して VDB をインストールする場合。

  • たとえば、以前にスケジュールされたタスクの実行中に、または Firepower ソフトウェア アップグレードの一部として、VDB がバックグラウンドでインストールされる場合。