通常の Snort 3 Lightweight Security Package（LSP）の更新中に、既存のシステム定義の侵入ルールが新しい侵入ルールに置き換えられることがあります。1 つのルールが複数のルールに置き換えられたり、または複数のルールが 1 つのルールに置き換えられたりする可能性があります。これは、結合または拡張されたルールに対してより適切な検出が可能な場合に発生します。管理を向上させるために、既存のシステム定義ルールの一部を LSP アップデートの一部として削除することもできます。

LSP 更新中にオーバーライドされたシステム定義ルールの変更に関する通知を受け取るには、[削除された Snort 3 ルールのユーザオーバーライドの保持（Retain user overrides for deleted Snort 3 rules）] チェックボックスがオンになっていることを確認します。

[削除されたSnort 3ルールのユーザーオーバーライドを保持（Retain user overrides for deleted Snort 3 rules）] チェックボックスに移動するには、[[システム（System）]（） > [設定（Configuration）] > [侵入ポリシーの優先設定（Intrusion Policy Preferences）]] をクリックします。

デフォルトでは、チェックボックスがオンになっています。このチェックボックスをオンにすると、LSP 更新の一部として追加される新しい置換ルールのルールオーバーライドが保持されます。通知は、[通知（Notifications）][システム（System）]（） の横にある [通知（Notifications）] アイコンの [タスク（Task）] タブに表示されます。

侵入ルールの推奨事項を使用して、ネットワークで検出されたホストアセットに関連付けられている脆弱性を対象にすることができます。たとえば、オペレーティングシステム、サーバ、クライアント アプリケーション プロトコルなどです。これにより、モニタ対象のネットワークの特定ニーズに合わせて侵入ポリシーを調整できます。

システムは、侵入ポリシーごとに個別の推奨事項のセットを作成します。これにより、通常、標準テキスト ルールと共有オブジェクト ルールのルール状態の変更が推奨されます。ただし、インスペクタやデコーダのルールの変更も推奨されています。

ルール状態の推奨事項を生成する場合は、デフォルト設定を使用するか、詳細設定を指定できます。詳細設定では次の操作が可能です。

• システムが脆弱性をモニタするネットワーク上のホストを再定義する。

• ルール オーバーヘッドに基づき、システムが推奨するルールに影響を与える。

• ルールを無効にする推奨事項を生成するかどうかを指定する。

推奨事項をすぐに使用するか、推奨事項（および影響を受けるルール）を確認してから受け入れることができます。

推奨ルール状態を使用することを選択すると、読み取り専用の Firepower 推奨レイヤが侵入ポリシーに追加されますが、後で、推奨ルール状態を使用しないことを選択すると、そのレイヤが削除されます。

侵入ポリシーに最近保存された構成設定に基づいて自動的に推奨を生成するためのタスクをスケジュールできます。

システムは、次のような手動で設定されたルール状態を変更しません。

• 推奨を生成する前に指定したルールの状態を手動で設定すると、その後、システムはそのルールの状態を変更できなくなる。

• 推奨の生成後に指定したルールの状態を手動で設定すると、そのルールの推奨状態が上書きされる。

  ヒント	侵入ポリシー レポートには、推奨状態と異なるルール状態を持つルールのリストを含めることができます。

推奨が絞り込まれた [ルール（Rules）] ページを表示している最中に、あるいは、ナビゲーション パネルまたは [ポリシー情報（Policy Information）] ページから [ルール（Rules）] ページに直接アクセスした後に、手動で、ルール状態を設定したり、ルールをソートしたり、[ルール（Rules）] ページで可能なその他の操作（ルールの抑制やルールしきい値の設定など）を実行することができます。

（注）	Cisco Talos Intelligence Group（Talos）は、システムによって提供されるポリシーでの各ルールの適切な状態を決定します。システムによって提供されるポリシーをベースポリシーとして使用し、システムがルールを Cisco Firepower の推奨ルール状態に設定できるようにすると、侵入ポリシーのルールは、ネットワークアセットに推奨された設定と一致します。