Snort 2 から Snort 3 への移行

バージョン 7.0.0 以降では、FMC を使用した FTD 展開で、Snort 3 がデフォルトの検査エンジンです。まだ Snort 2 検査エンジンを使用している場合は、検出とパフォーマンスを向上させるために、今すぐ Snort 3 に切り替えてください。

Snort 3 検査エンジン

Snort 3 は、バージョン 7.0 以降の新規登録 Firepower Threat Defense デバイスのデフォルト検査エンジンです。ただし、下位バージョンの Firepower Threat Defense デバイスでは、Snort 2 がデフォルトの検査エンジンです。管理対象の Firepower Threat Defense デバイスをバージョン 7.0 以降にアップグレードしても、検査エンジンは Snort 2 のままです。バージョン 7.0 以降のアップグレードされた Firepower Threat Defense で Snort 3 を使用するには、明示的に有効にする必要があります。Snort 3 をデバイスの検査エンジンとして有効にすると、(アクセス コントロール ポリシーを介して)デバイスに適用される侵入ポリシーの Snort 3 バージョンがアクティブ化され、デバイスを通過するすべてのトラフィックに適用されます。

必要に応じて Snort のバージョンを切り替えることができます。Snort 2 と Snort 3 の侵入ルールがマッピングされ、マッピングはシステムによって実行されます。ただし、Snort 2 と Snort 3 のすべての侵入ルールの 1 対 1 のマッピングが見つからない場合があります。Snort 2 で 1 つのルールのルールアクションを変更した場合、Snort 2 と Snort 3 を同期せずに Snort 3 に切り替えると、その変更は保持されません。同期の詳細については、Snort 2 のルールと Snort 3 の同期を参照してください。

Snort 2 と Snort 3 の比較

Snort 3 はアーキテクチャが再設計され、Snort 2 と比較すると同等のリソースでより多くのトラフィックを検査します。Snort 3 では、トラフィックパーサーを簡単かつ柔軟に挿入できます。Snort 3 には、ルールの記述を容易にし、同等の共有オブジェクトルールを表示できる新しいルールシンタックスも用意されています。

次の表に、検査エンジン機能に関する Snort 2 バージョンと Snort 3 バージョンの違いを示します。

機能

Snort 2

Snort 3

パケットスレッド

プロセスごとに 1 つ

プロセスごとに任意の数

コンフィギュレーション メモリの使用

プロセス数 X x GB

合計 x GB。より多くのメモリをパケットに使用可能

設定のリロード

低速

より高速。1 つのスレッドを個別のコアにピン留め可能

ルールのシンタックス

一貫性がなく、改行が必要

任意の空白を含む均一なシステム

ルールのコメント

コメントのみ

#、#begin、および #end マーク。C 言語スタイル

追加リファレンス:Firepower の Snort 2 と Snort 3 の違い

ネットワーク分析と侵入ポリシーの前提条件

Snort 検査エンジンが侵入およびマルウェア分析のトラフィックを処理できるようにするには、FTD デバイスに対して IPS ライセンスを有効にする必要があります。

ネットワーク分析、侵入ポリシーを管理し、移行タスクを実行するには、管理者ユーザーである必要があります。

Snort 2 から Snort 3 への移行方法

Snort 2 から Snort 3 に移行するには、Firepower Threat Defense デバイスの検査エンジンを Snort 2 から Snort 3 に切り替える必要があります。

要件に応じて、Snort 2 から Snort 3 へのデバイスの移行を完了するためのタスクを次の表に示します。

ステップ

 タスク

手順へのリンク

1

Snort 3 の有効化

2

 Snort 2 のカスタムルールの Snort 3 への変換

3

Snort 2 のルールと Snort 3 の同期

Snort 2 のルールと Snort 3 の同期

Snort 2 から Snort 3 への移行の前提条件

以下は、デバイスを Snort 2 から Snort 3 に移行する前に考慮する必要がある推奨される前提条件です。

  • Snort の実用的な知識を持っている。Snort 3 アーキテクチャの詳細については、Snort 3 Adoption を参照してください。

  • Management Center をバックアップする。「Backup the Management Center」を参照してください。

  • 侵入ポリシーをバックアップする。「Exporting Configurations」を参照してください。

  • 侵入ポリシーを複製する。複製する場合、既存のポリシーをベースポリシーとして使用して、侵入ポリシーのコピーを作成できます。[侵入ポリシー(Intrusion Policies)] ページで、[ポリシーの作成(Create Policy)] をクリックし、[ベースポリシー(Base Policy)] ドロップダウンリストから既存の侵入ポリシーを選択します。

個々のデバイス上での Snort 3 の有効化


重要
展開プロセス中に現在の検査エンジンをシャットダウンする必要があるため、一時的なトラフィック損失が発生します。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

デバイスをクリックして、デバイスのホームページに移動します。

(注)  

 

デバイスは Snort 2 または Snort 3 としてマークされ、デバイスの現在のバージョンが表示されます。

ステップ 3

[デバイス(Device)] タブをクリックします。

ステップ 4

[検査エンジン(Inspection Engine)] セクションで、[アップグレード(Upgrade)] をクリックします。

(注)  

 

Snort 3 を無効にする場合は、[検査エンジン(Inspection Engine)] セクションで [Snort 2に戻す(Revert to Snort 2)] をクリックします。

ステップ 5

[はい(Yes)] をクリックします。

次のタスク

デバイスに変更を展開します。設定変更の展開を参照してください。.

選択した Snort バージョンとの互換性を得るため、システムは展開プロセス中にポリシー設定を変換します。

複数のデバイス上での Snort 3 の有効化

複数のデバイスで Snort 3 を有効にするには、必要なすべての Firepower Threat Defense デバイスがバージョン 7.0 以降であることを確認します。


重要
展開プロセス中に現在の検査エンジンをシャットダウンする必要があるため、一時的なトラフィック損失が発生します。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

Snort 3 を有効または無効にするすべてのデバイスを選択します。

(注)  

 

デバイスは Snort 2 または Snort 3 としてマークされ、デバイスの現在のバージョンが表示されます。

ステップ 3

[一括アクションの選択(Select Bulk Action)] ドロップダウンリストをクリックし、[Snort 3へのアップグレード(Upgrade to Snort 3)] を選択します。

(注)  

 

Snort 3 を無効にするには、[Snort 2 へのダウングレード(Downgrade to Snort 2)] をクリックします。

ステップ 4

[はい(Yes)] をクリックします。

次のタスク

デバイスに変更を展開します。設定変更の展開を参照してください。.

選択した Snort バージョンとの互換性を得るため、システムは展開プロセス中にポリシー設定を変換します。

Snort 2 のカスタム IPS ルールの Snort 3 への変換

サードパーティベンダーのルールセットを使用している場合は、そのベンダーに連絡して、そのルールが Snort 3 に正常に変換されることを確認するか、または Snort 3 用にネイティブに作成された代わりのルールセットを取得します。独自に作成したカスタムルールがある場合は、変換前に Snort 3 ルールの作成に慣れておくと、変換後の Snort 3 検出を最適化するようにルールを更新できます。Snort 3 でのルールの作成の詳細については、次のリンクを参照してください。

Snort 3 ルールの詳細については、https://blog.snort.org/ にある他のブログを参照してください。

システム提供のツールを使用して Snort 2 ルールを Snort 3 ルールに変換するには、次の手順を参照してください。


重要

Snort 2 ネットワーク分析ポリシー(NAP)の設定を Snort 3 に自動的にコピーすることはできません。NAP 設定は、Snort 3 で手動で複製する必要があります。

すべての侵入ポリシーのすべての Snort 2 カスタムルールの Snort 3 への変換

手順

ステップ 1

[オブジェクト(Objects)] > [侵入ルール(Intrusion Rules)]を選択します。

ステップ 2

[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。

ステップ 3

左側のペインで [すべてのルール(All Rules)] が選択されていることを確認します。

ステップ 4

[タスク(Tasks)] ドロップダウンリストから値を選択します。

  • :すべての侵入ポリシーのすべての Snort 2 カスタムルールを Snort 3 に自動的に変換し、それらを Snort 3 カスタムルールとして FMC にインポートします。

  • :すべての侵入ポリシーのすべての Snort 2 カスタムルールを Snort 3 に自動的に変換し、それらをローカルシステムにダウンロードします。

ステップ 5

[OK] をクリックします。

(注)  

 

  • 前の手順で [変換してインポート(Convert and import)] を選択した場合は、変換されたすべてのルールが、[ローカルルール(Local Rules)] の下に新しく作成されたルールグループ [すべての Snort 2 をグローバルに変換(All Snort 2 Converted Global)] の下に保存されます。

  • 前の手順で [変換してダウンロード(Convert and download)] を選択した場合は、ルールファイルをローカルに保存します。ダウンロードしたファイル内の変換済みのルールを確認します。後でルールグループへのカスタムルールの追加の手順に従ってアップロードできます。

追加のサポートと情報については、「Snort 2 ルールの Snort 3 への変換」ビデオを参照してください。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

単一の侵入ポリシーの Snort 2 カスタムルールの Snort 3 への変換

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] 見出し > [侵入(Intrusion)]を選択します。

ステップ 2

[侵入ポリシー(Intrusion Policies)] タブで、[Snort 3同期ステータスの表示(Show Snort 3 Sync status)] をクリックします。

ステップ 3

侵入ポリシーの [同期(Sync)] アイコン [Snortが同期していない(Snort out-of-Sync)][snortバージョンが同期していない(snort versions out-of-sync)] をクリックします。

(注)  

 

侵入ポリシーの Snort 2 と Snort 3 バージョンが同期されている場合、[同期(Sync)] アイコンが、[Snortが同期している(Snort in-Sync)][snortバージョンが同期している(snort versions in-sync)] で表示されます。変換するカスタムルールがないことを示します。

ステップ 4

サマリーを読み、[カスタムルール(Custom Rules)] タブをクリックします。

ステップ 5

次のどちらかを選択します。

  • [変換後のルールをこのポリシーにインポートする(Import converted rules to this policy)]:侵入ポリシーの Snort 2 カスタムルールを Snort 3 に変換し、Snort 3 カスタムルールとして FMC にインポートします。

  • [変換後のルールのダウンロード(Download converted rules)]:侵入ポリシーのSnort 2カスタムルールをSnort 3に変換し、ローカルシステムにダウンロードします。ダウンロードしたファイル内の変換後のルールを確認し、後でアップロードアイコンをクリックしてファイルをアップロードできます。

ステップ 6

[再同期(Re-Sync)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

Snort 2 と Snort 3 のベースポリシーのマッピングの表示

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] 見出し > [侵入(Intrusion)]を選択します。

ステップ 2

[侵入ポリシー(Intrusion Policies)] タブが選択されていることを確認します。

ステップ 3

[IPS マッピング(IPS Mapping)] をクリックします。

ステップ 4

[IPSポリシーマッピング(IPS Policy Mapping)] ダイアログボックスで、[マッピングの表示(View Mappings)] をクリックして、Snort 3 から Snort 2 への侵入ポリシーのマッピングを表示します。

ステップ 5

[OK] をクリックします。

Snort 2 のルールと Snort 3 の同期

Snort 2 のバージョン設定とカスタムルールが保持され、Snort 3 に引き継がれるための同期機能が FMC によって提供されます。同期することで、過去数か月または数年にわたって変更または追加されている可能性がある、Snort 2 ルールのオーバーライド設定とカスタムルールを Snort 3 バージョンで複製できます。このユーティリティは、Snort 2 バージョンのポリシー設定を Snort 3 バージョンと同期して、同様の対象範囲で開始するのに役立ちます。

FMC を 6.7 より前のバージョンから 7.0 以降のバージョンにアップグレードすると、設定が同期されます。FMC が新しい 7.0 移行のバージョンの場合、より高いバージョンにアップグレードできますが、アップグレード中にコンテンツは同期されません。

デバイスを Snort 3 にアップグレードする前に、Snort 2 バージョンで変更が行われた場合は、このユーティリティを使用して Snort 2 バージョンから Snort 3 バージョンに最新の同期を行うことができ、同様の対象範囲で開始できます。


(注)  

Snort 3 への移行時に、Snort 3 バージョンのポリシーを別個に管理し、通常の運用としてこのユーティリティを使用しないことを推奨します。


重要

  • Snort 2 ルールのオーバーライドとカスタムルールのみが Snort 3 にコピーされ、その逆は行われません。Snort 2 と Snort 3 のすべての侵入ルールの 1 対 1 のマッピングが見つからない場合があります。次の手順を実行すると、両方のバージョンに存在するルールのルールアクションに対する変更が同期されます。

  • 同期では、カスタムまたはシステムによって提供されるルールのしきい値と抑制の設定は Snort 2 から Snort 3 に移行されません。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] 見出し > [侵入(Intrusion)] を選択します。

ステップ 2

[侵入ポリシー(Intrusion Policies)] タブが選択されていることを確認します。

ステップ 3

[Snort 3 の同期ステータスの表示(Show Snort 3 Sync status)] をクリックします。

ステップ 4

同期していない侵入ポリシーを特定します。

ステップ 5

[同期(Sync)] アイコン [Snortが同期していない(Snort out-of-Sync)][snortバージョンが同期していない(snort versions out-of-sync)] をクリックします。

(注)  

 

侵入ポリシーの Snort 2 と Snort 3 バージョンが同期されている場合、[同期(Sync)] アイコンが、[Snortが同期している(Snort in-Sync)][snortバージョンが同期している(snort versions in-sync)] で表示されます。

ステップ 6

サマリーを読み、必要に応じてサマリーのコピーをダウンロードします。

ステップ 7

[再同期(Re-Sync)] をクリックします。

(注)  

 

  • 同期された設定は、Snort 3 侵入エンジンがデバイスに適用され、展開が成功した後にのみ適用されます。

  • Snort 2 カスタムルールは、システム付属のツールを使用してSnort 3 に変換できます。Snort 2 カスタムルールがある場合は、[カスタムルール(Custom Rules)] タブをクリックし、画面の指示に従ってルールを変換します。詳細については、単一の侵入ポリシーの Snort 2 カスタムルールの Snort 3 への変換を参照してください。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

設定変更の展開

設定を変更した後に、影響を受けるデバイスに展開します。


(注)  

このトピックでは、設定変更を展開する基本的な手順について説明します。手順を進める前に、最新バージョンの『Firepower Management Center Configuration Guide』の「Deploy Configuration Changes」トピックを参照し、変更を展開する上での前提条件と影響を理解しておくことを強く推奨します。

注意    
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。

手順

ステップ 1

Firepower Management Center メニューバーで、[展開(Deploy)] をクリックし、[展開(Deployment)] を選択します。

[GUI] ページには、期限切れの設定を持ち、ステータスが [保留中(Pending)] のデバイスのリストが表示されます。

  • [変更者(Modified by)] 列には、ポリシーまたはオブジェクトを変更したユーザーの一覧が表示されます。デバイスリストを展開すると、ポリシーリストごとのポリシーを変更したユーザーが表示されます。

    (注)  

     

    削除されたポリシーおよびオブジェクトのユーザ名は表示されません。

  • [インスペクションの中断(Inspect Interruption)] 列には、展開時にデバイスでトラフィック インスペクションの中断が発生する可能性があるかどうかが示されます。

    デバイスのこの列のエントリが空白の場合は、展開時にそのデバイス上でのトラフィック インスペクションが中断されないことを示します。

  • [最終変更時刻(Last Modified Time)] 列は、最後に設定変更を行った時刻を示します。

  • [プレビュー(Preview)] 列では、次の展開の変更をプレビューできます。

  • [ステータス(Status)] 列には、各展開のステータスが表示されます。

ステップ 2

設定変更を展開するデバイスを特定して選択します。

  • [検索(Search)]:[検索(Search)] ボックスのデバイス名、タイプ、ドメイン、グループ、またはステータスを検索します。
  • [展開(Expand)]:展開するデバイス固有の設定変更を表示するには、展開矢印[展開矢印(expand arrow)] アイコン をクリックします。

    デバイスの横にあるチェックボックスをオンにすると、デバイスに加えられ、デバイスの下にリストされているすべての変更が展開のためにプッシュされます。ただし、[ポリシーの選択(Policy selection)][ポリシーの選択(policy selection)] アイコン を使用して展開する個々のポリシーや特定の設定を選択し、残りの変更は展開せずに保持することができます。

    (注)  

     

    • [インスペクションの中断(Inspect Interruption)] 列のステータスに [あり(Yes)] と表示され、展開によって Firepower Threat Defense デバイスでインスペクションと、場合によってはトラフィックが中断されるときは、展開されたリストには中断の原因となった特定の設定が [インスペクションの中断(Inspect Interruption)][インスペクションの中断(inspect interruption)] アイコン で示されます。

    • インターフェイスグループ、セキュリティゾーン、またはオブジェクトに変更がある場合、影響を受けるデバイスは、FMC で失効として表示されます。これらの変更が有効になるようにするには、これらのインターフェイスグループ、セキュリティゾーン、またはオブジェクトを含むポリシーも、これらの変更とともに展開する必要があります。影響を受けるポリシーは、FMC の [プレビュー(Preview)] ページに失効として表示されます。

ステップ 3

[展開(Deploy)] をクリックします。

ステップ 4

展開する変更に関するエラーや警告がシステムによって識別された場合は、[検証メッセージ(Validation Messages)] ウィンドウにその内容が表示されます。完全な詳細を表示するには、警告またはエラーの前にある矢印アイコンをクリックします。

次の選択肢があります。

  • [展開(Deploy)]:警告状態を解決せずに展開を続行します。システムがエラーを確認した場合は続行できません。
  • [閉じる(Close)]:展開せずに終了します。エラーおよび警告状態を解決し、設定の再展開を試行します。

次のタスク

展開中に展開が失敗した場合、その障害がトラフィックに影響を与える可能性があります。ただし、特定の条件によって異なります。展開に特定の設定変更がある場合、展開の失敗によってトラフィックが中断されることがあります。詳細については、最新バージョンの『Firepower Management Center Configuration Guide』の「Deploy Configuration Changes」のトピックを参照してください。