FireSIGHT System バージョン 5.4.1 ユーザガイド

管理の概念
管理インターフェイスについて
NAT 環境での作業
ハイアベイラビリティの設定
デバイスの操作
デバイスグループの管理
デバイスのクラスタリング
スタック構成のデバイスの管理
デバイス設定の編集
センシングインターフェイスの設定

デバイスの管理

防御センターは、FireSIGHT システムのキーコンポーネントです。FireSIGHT システムを構成するさまざまなデバイスを管理したり、ネットワーク上で検出された脅威を集約し、分析して対処したりするために、防御センターを使用できます。

防御センターを使用してデバイスを管理すると、以下の利点があります。

すべてのデバイスのポリシーを単一の場所から設定できるため、設定の変更が容易になります。
さまざまなタイプのソフトウェアアップデートをデバイスにインストールできます。
正常性ポリシーを管理対象デバイスに適用して、防御センターからデバイスのヘルスステータスをモニタできます。

防御センターは、侵入イベント、ネットワーク検出情報、およびデバイスのパフォーマンスデータを集約して相互に関連付けます。そのため、ユーザはデバイスが相互の関連でレポートする情報をモニタして、ネットワーク上で行われている全体的なアクティビティを評価することができます。

詳細については、次の項を参照してください。

管理の概念では、防御センターを使用したデバイスの管理に関連する機能および制約事項について説明しています。
管理インターフェイスについてでは、トラフィックチャネルと複数の管理インターフェイスを使用してパフォーマンスを向上させる方法、および異なるネットワーク上にあるデバイス間のトラフィックを分離する方法について説明しています。
NAT 環境での作業では、ネットワークアドレス変換（NAT）環境でデバイスの管理をセットアップする際の原則について説明しています。
ハイアベイラビリティの設定では、運用の継続性の確保に役立てるために 2 つの防御センターをハイアベイラビリティペアとしてセットアップする方法について説明しています。
デバイスの操作では、デバイスと防御センター間の接続を確立する方法と、無効にする方法について説明しています。また、管理対象デバイスを追加および削除する方法と、管理対象デバイスの状態を変更する方法についても説明しています。
デバイスグループの管理では、デバイスグループを作成する方法と、デバイスグループのデバイスを追加および削除する方法について説明しています。
デバイスのクラスタリングでは、2 つの管理対象デバイス間でハイアベイラビリティを確立および管理する方法について説明しています。
デバイス設定の編集では、ユーザが編集できるデバイス属性と、それらの属性を編集する方法について説明しています。
スタック構成のデバイスの管理では、管理対象デバイスのスタックを構成する方法と、スタックからデバイスを削除する方法について説明しています。
センシングインターフェイスの設定では、管理対象デバイスでインターフェイスを設定する方法について説明しています。

管理の概念

防御センターを使用することで、デバイス動作のほぼすべての側面を管理できます。デバイスを管理するために必要な防御センターは 1 つだけですが、2 つ目の防御センターをハイアベイラビリティペアの一方として使用することもできます。以下の項で、FireSIGHT システムの展開を計画する際に知っておくべき概念のいくつかを説明します。

防御センターで管理できるデバイス

FireSIGHT システムの展開環境の集中管理ポイントとして防御センターを使用することで、以下のデバイスを管理できます。

FirePOWER 管理対象デバイス
Cisco ASA with FirePOWER Services デバイス
ソフトウェアベースのデバイス（仮想デバイスや Blue Coat X-Series 向け Cisco NGIPS など）

（注）シスコでは、DC500 モデルの防御センターで管理するデバイスを最大 3 台（ソフトウェアベースのデバイスを含む）に制限することを推奨しています。DC500 データベースに伴う制限事項の詳細については、データベースイベントの制限の表を参照してください。

デバイスを管理する際の情報は、SSL で暗号化されたセキュアな TCP トンネルを介して、防御センターとデバイスの間で送信されます。

以下の図に、防御センターと管理対象デバイスの間で送信される情報をリストします。アプライアンス間で送信されるポリシーとイベントのタイプは、デバイスタイプによって異なることに注意してください。

ポリシーとイベント以外の機能

ライセンス： 任意（Any）

防御センターでは、ポリシーをデバイスに適用したり、デバイスからイベントを受信したりするだけでなく、以下のデバイス関連のタスクも実行できます。

デバイスのバックアップ

仮想の管理対象デバイス、Blue Coat X-Series 向け Cisco NGIPS、または Cisco ASA with FirePOWER Services のバックアップファイルを作成または復元することは できません 。

物理管理対象デバイス自体からそのバックアップを実行する場合は、デバイス設定のみをバックアップできます。設定データと統合ファイル（任意）をバックアップするには、管理防御センターを使用してデバイスのバックアップを実行します。

イベントデータをバックアップするには、管理用の防御センターのバックアップを実行します。詳細については、バックアップファイルの作成を参照してください。

デバイスの更新

シスコでは適宜、FireSIGHT システムのアップデートをリリースしています。これらのアップデートには以下が含まれます。

侵入ルールの更新（新しいルールや更新された侵入ルールが含まれる場合があります）
脆弱性データベースの更新
地理位置情報の更新
ソフトウェアパッチおよびアップデート

防御センターを使用して、管理対象デバイスにアップデートをインストールできます。

冗長な防御センターの使用

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

2 つの防御センターをハイアベイラビリティペアとしてセットアップできます。これにより、いずれか一方の防御センターで障害が発生したとしても、冗長機能を確保できます。ポリシーやユーザアカウントなどが 2 つの防御センター間で共有されます。イベントは両方の防御センターに自動的に送信されます。詳細については、ハイアベイラビリティの設定を参照してください。

管理インターフェイスについて

管理インターフェイスは、防御センターが管理するすべてのデバイスと防御センターの間の通信手段を提供します。アプライアンス間のトラフィック制御を正常に維持することが、展開の成功に不可欠です。

シリーズ 3 アプライアンスおよび仮想防御センターでは、デフォルト設定を変更して防御センターまたはデバイス（あるいは両方）の管理インターフェイスを有効にすることで、アプライアンス間のトラフィックを 2 つのトラフィックチャネルに分けることができます。 管理トラフィックチャネル は、すべての内部トラフィック（アプライアンスおよびシステムの管理専用のデバイス間トラフィックなど）を伝送し、 イベントトラフィックチャネル は、すべてのイベントトラフィック（Web イベントなど）を伝送します。トラフィックを 2 つのチャネルに分割することにより、アプライアンス間に 2 つの接続ポイントが作成され、スループットが増加してパフォーマンスが向上します。それぞれが固有の IP アドレス（IPv4 または IPv6）とホスト名を持つ 複数の管理インターフェイス を使用することで、トラフィックチャネルを別々に管理し、スループットを増加させることができます。

また、複数の管理インターフェイスを使用する場合、1 つの防御センターだけで、さまざまなネットワークからのトラフィックをそれぞれ分離して管理できます。特定のネットワークのトラフィックを他のネットワークのトラフィックから分離するには、管理インターフェイスを使用して特定の宛先ネットワークまでのスタティックルートを追加し、個々の管理インターフェイスにデバイスを登録します。同じインターフェイスで両方のトラフィックチャネルを送信することもでき、また、追加の管理インターフェイスが十分にある場合は、ネットワークトラフィックを切り分けて各管理インターフェイスが 1 つのトラフィックチャネルだけを伝送するように設定することもできます。

通常、管理インターフェイスは、アプライアンスの背面に配置されています。詳細については、『 FireSIGHT システム Installation Guide 』の「Identifying the Management Interfaces」を参照してください。管理インターフェイスの詳細については、以下の項を参照してください。

1 つの管理インターフェイスの使用

ライセンス： 任意（Any）

サポートされるデバイス： 任意（Any）

サポートされる防御センター： 任意（Any）

デバイスを防御センターに登録すると、防御センター上の管理インターフェイスとデバイス上の管理インターフェイスとの間のすべてのトラフィックを伝送する単一通信チャネルが確立されます。

以下の図に、デフォルトの単一通信チャネルを示します。1 つのインターフェイスにより、管理トラフィックとイベントトラフィックの両方が 1 つの通信チャネルで伝送されます。

複数の管理インターフェイスの使用

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3

サポートされる防御センター： シリーズ 3、仮想

複数の管理インターフェイスを有効化および設定して、それぞれに固有の IP アドレス（IPv4 または IPv6）、および、必要に応じてホスト名を割り当て、各トラフィックチャネルを異なる管理インターフェイスに送信することによって、トラフィックスループットを著しく向上させることができます。負荷が軽い管理トラフィックの搬送用には小さなインターフェイスを構成し、負荷が大きいイベントトラフィックの搬送用には大きなインターフェイスを構成します。デバイスを別々の管理インターフェイスに登録し、同一のインターフェイスに対して両方のトラフィックチャネルを構成したり、防御センターによって管理されるすべてのデバイスのイベントトラフィックチャネルを専用の管理インターフェイスで伝送することができます。

防御センター上の特定の管理インターフェイスから別のネットワーク上のデバイスまでのルートを作成することもできます。デフォルト以外の管理インターフェイスに他のネットワークのデバイスを登録すると、そのデバイスのトラフィックは、デフォルトの管理インターフェイス（ eth0 ）に登録されているデバイスのトラフィックから分離されます。詳細については、ネットワークルートの使用を参照してください。

デフォルト以外の管理インターフェイスは、デフォルトの管理インターフェイスと同じ機能を多数備えています（防御センター間のハイアベイラビリティの使用など）。ただし、次の例外があります。

DHCP は、デフォルト（ eth0 ）管理インターフェイスにのみ設定できます。追加のインターフェイス（ eth1 など）には、固有の静的 IP アドレスとホスト名が必要です。
デフォルト以外の管理インターフェイスを使用して防御センターと管理対象デバイスを接続する場合、それらのアプライアンスが NAT デバイスによって分離されているならば、同じ管理インタフェースを使用するよう両方のトラフィックチャネルを設定する必要があります。
Lights-Out Management は、デフォルトの管理インターフェイスでのみ使用できます。
70xx ファミリでは、トラフィックを 2 つのチャネルに分離して、防御センター上の 1 つ以上の管理インターフェイスにトラフィックを送信するようにそれらのチャネルを設定できます。ただし、70xx ファミリには 1 つの管理インターフェイスしかないため、デバイスは唯一の管理インターフェイス上で防御センターから送信されたトラフィックを受信します。

トラフィックチャネルの使用

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3

サポートされる防御センター： シリーズ 3、仮想

1 つの管理インターフェイス上で 2 つのトラフィックチャネルを使用する場合、防御センターと管理対象デバイスの間に 2 つの接続を作成します。同じインターフェイス上の 2 つのチャネルのうちの一方が管理トラフィックを伝送し、もう一方がイベントトラフィックを伝送します。

次の例は、同じインターフェイス上に 2 つの独立したトラフィックチャネルを持つ通信チャネルを示しています。

複数の管理インターフェイスを使用する場合、トラフィックチャネルを 2 つの管理インターフェイスに分割することによりパフォーマンスを向上できます。それによって両方のインターフェイス容量が増し、トラフィックフローが増加します。一方のインターフェイスで管理トラフィックチャネルを伝送し、もう一方のインターフェイスでイベントトラフィックチャネルを伝送します。いずれかのインターフェイスで障害が発生した場合は、すべてのトラフィックがアクティブインターフェイスに再ルーティングされるため、接続が維持されます。

次の図は、2 つの管理インターフェイス上にある管理トラフィックチャネルとイベントトラフィックチャネルを示しています。

専用の管理インターフェイスを使用して、複数のデバイスからのイベントトラフィックのみを伝送することができます。この設定では、管理トラフィックチャネルを伝送する別の管理インターフェイスに各デバイスを登録し、すべてのデバイスからのすべてのイベントトラフィックを、防御センター上の 1 つの管理インターフェイスで伝送します。インターフェイスで障害が発生した場合は、トラフィックがアクティブインターフェイスに再ルーティングされるため、接続が維持されます。すべてのデバイスのイベントトラフィックが同じインターフェイスで伝送されることから、トラフィックはネットワーク間で分離されないことに注意してください。

以下の図では、2 台のデバイスが別々の管理チャネルトラフィックインターフェイスを使用し、イベントトラフィックチャネルに対しては同じ専用インターフェイスを共有しています。

1 つの管理インターフェイス上で 2 つのトラフィックチャネルを使用する場合、防御センターと管理対象デバイスの間に 2 つの接続を作成します。同じインターフェイス上の 2 つのチャネルのうちの一方が管理トラフィックを伝送し、もう一方がイベントトラフィックを伝送します。複数の管理インターフェイスを使用する場合は、トラフィックチャネルを 2 つの管理インターフェイスに分けることができます。それによって両方のインターフェイスの容量が増し、トラフィックフローが増えるため、さらにパフォーマンスが向上します。一方のインターフェイスで管理トラフィックチャネルを伝送し、もう一方のインターフェイスでイベントトラフィックチャネルを伝送します。いずれかのインターフェイスで障害が発生した場合は、すべてのトラフィックがアクティブインターフェイスに再ルーティングされるため、接続が維持されます。

複数のデバイスからのイベントトラフィックだけを伝送する専用の管理インターフェイスを使用することもできます。この設定では、管理トラフィックチャネルを伝送する別の管理インターフェイスに各デバイスを登録し、すべてのデバイスからのすべてのイベントトラフィックを、防御センター上の 1 つの管理インターフェイスで伝送します。インターフェイスで障害が発生した場合は、トラフィックがアクティブインターフェイスに再ルーティングされるため、接続が維持されます。すべてのデバイスのイベントトラフィックが同じインターフェイスで伝送されることから、トラフィックはネットワーク間で分離されないことに注意してください。

ネットワークルートの使用

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3

サポートされる防御センター： シリーズ 3、仮想

防御センター上の特定の管理インターフェイスから別のネットワークまでのルートを作成できます。そのネットワークのデバイスを防御センター上の指定された管理インターフェイスに登録すると、別のネットワーク上のデバイスと防御センターの間で独立した接続が実現されます。両方のトラフィックチャネルが同じ管理インターフェイスを使用するように設定することで、そのデバイスからのトラフィックが他のネットワーク上のデバイストラフィックから確実に分離された状態を維持できます。ルーテッドインターフェイスは防御センター上の他のすべてのインターフェイスから分離されているため、ルーテッド管理インターフェイスに障害が発生した場合、接続が失われます。

ヒント シスコでは、デフォルトの管理インターフェイス（eth0）以外の管理インターフェイスを使用して防御センターとそのデバイスを登録する場合は、静的 IP アドレスを使用することを推奨しています。DHCP は、デフォルト管理インターフェイスだけでサポートされています。

防御センターをインストールした後に、Web インターフェイスを使用して、複数の管理インターフェイスを設定します。詳しくは、 FireSIGHT System ユーザガイド の「Configuring Appliance Settings」を参照してください。

次の図では、2 台のデバイスですべてのトラフィックに対して別々の管理インターフェイスを使用することにより、ネットワークトラフィックを分離しています。さらに管理インターフェイスを追加して、デバイスごとに独立した管理トラフィックチャネルインターフェイスとイベントトラフィックチャネルインターフェイスを構成できます。

NAT 環境での作業

ライセンス： 任意（Any）

ネットワークアドレス変換（NAT）とは、ルータを介したネットワークトラフィックの送受信方式であり、ルータ経由でトラフィックがパススルーされるときに送信元または宛先 IP アドレスの再割り当てが行われます。NAT を使用した標準的なアプリケーションでは、プライベートネットワーク上の複数のホストが、単一のパブリック IP アドレスを使用してパブリックネットワークにアクセスできます。

デバイスを防御センターに追加するときには、アプライアンス間の通信を確立します。通信を確立するために必要な情報は、その環境が NAT を使用するかどうかによって異なります。

NAT を使用していない環境では、登録キーと IP アドレス、または両方のアプライアンスの完全修飾ドメイン名が必要です。
NAT を使用している環境では、登録キーと一意の NAT ID が必要です。

（注） NAT ID は、デバイスを防御センターに登録するために使用されているすべての NAT ID の間で一意でなければなりません。

デフォルト以外の管理インターフェイスを使用して防御センターと管理対象デバイスを接続していて、これらのアプライアンスが NAT デバイスによって分離されている場合、両方のトラフィックチャネルが同じ管理インターフェイスを使用するように設定する必要があります。

以下の図は、NAT 環境で 2 つのデバイスを管理する防御センターを示しています。登録キーは一意である必要はないため、同じ登録キーを使用して両方のデバイスを追加できます。ただし、デバイスを防御センターに追加する際には、 一意の NAT ID を使用する必要があります。

ハイアベイラビリティの設定

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

運用の継続性を確保するために、ハイアベイラビリティ機能を使用して、冗長防御センターでデバイスを管理するように指定することができます。特定の設定要素と、管理対象デバイスから両方の防御センターに送信されるイベントデータストリームは、両方の防御センターで保持されます。一方の防御センターで障害が発生した場合は、もう一方の防御センターを使用して、中断することなくネットワークをモニタできます。

注意

システムでは一部の機能をプライマリ防御センターに制限しているため、そのアプライアンスで障害が発生した場合は、セカンダリ防御センターをアクティブに昇格する必要があります。ハイアベイラビリティステータスのモニタリングおよび変更を参照してください。

ハイアベイラビリティをセットアップする方法の詳細については、以下の項を参照してください。

ハイアベイラビリティの使用では、ハイアベイラビリティの実装時に共有される設定と共有されない設定をリストしています。
ハイアベイラビリティを実装する際のガイドラインでは、ハイアベイラビリティを実装する場合に従わなければならないガイドラインを概説しています。
ハイアベイラビリティのセットアップでは、プライマリおよびセカンダリ防御センターを指定する方法を説明しています。
ハイアベイラビリティステータスのモニタリングおよび変更では、リンクされた防御センターのステータスを確認する方法、およびプライマリ防御センターに障害が発生した場合に防御センターのロールを変更する方法を説明しています。
ハイアベイラビリティの無効化とデバイスの登録解除では、リンクされた防御センター間のリンクを完全に削除する方法を説明しています。
ペアにされた防御センター間での通信の一時停止では、リンクされた防御センター間の通信を一時停止する方法を説明しています。
ペアにされた防御センター間での通信の再開では、リンクされた防御センター間の通信を再開する方法を説明しています。

ハイアベイラビリティの使用

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

DC1500、DC2000、DC3500 および DC4000 はハイアベイラビリティ設定をサポートしていますが、DC750 および仮想防御センターはサポートしていません。シスコでは、ハイアベイラビリティペアの両方の防御センターに同じモデルを使用することを強く推奨しています。異なる防御センターモデル間にハイアベイラビリティをセットアップ しないでください 。

ハイアベイラビリティモードでは、2 つの防御センターがそれぞれ プライマリ 、 セカンダリ として指定されますが、どちらの防御センターに対してもポリシーやその他の変更を行うことができます。ただし、シスコでは、設定の変更はプライマリ防御センターに対してのみ行い、セカンダリ防御センターはバックアップとして保持することを推奨しています。

防御センターは、互いの設定に対する変更を定期的に更新するため、ユーザが一方の防御センターに対して行った変更は、もう一方の防御センターに 10 分以内に適用されます。（各防御センターには 5 分の同期サイクルが設定されていますが、このサイクル自体が最大 5 分間同期しないことがあるため、変更は 5 分のサイクル 2 回分の間に行われます。）この 10 分間では、それぞれの防御センターの設定が異なっているように見える場合があります。

たとえば、プライマリ防御センターでポリシーを作成し、セカンダリ防御センターでも管理されるデバイスにそのポリシーを適用した場合、防御センター間で通信が行われる前に、デバイスがセカンダリ防御センターに接続する可能性があります。この場合、デバイスに適用されているポリシーは、セカンダリ防御センターではまだ認識していないため、防御センターが同期するまでは、セカンダリ防御センターに「unknown」という名前の新しいポリシーが表示されます。

また、防御センターの同期が行われる前の同じ期間に両方の防御センターに対してポリシーやその他の変更を行った場合は、防御センターがプライマリまたはセカンダリのどちらに指定されているかに関係なく、最後に行われた変更が優先されます。

ハイアベイラビリティペアを設定する前に、以下の前提条件を確認してください。

両方の防御センターに、管理者権限が割り当てられた admin という名前のユーザアカウントがあること。これらのアカウントは同じパスワードを使用する必要があります。
admin アカウントの他には、2 つの防御センターに同じユーザ名を持つユーザアカウントがないこと。重複するユーザアカウントがある場合は、ハイアベイラビリティを設定する前に、一方のユーザアカウントを削除するか、名前を変更してください。

ハイアベイラビリティペアとして設定する 2 つの防御センターは、信頼された同じ管理ネットワーク上に存在する必要も、同じ地理的な場所に存在する必要もありません。

運用の継続性を確保するには、ハイアベイラビリティペアの両方の防御センターがインターネットにアクセス可能である必要があります。インターネットアクセス要件を参照してください。特定の機能については、プライマリ防御センターがインターネットにアクセスし、同期プロセスでセカンダリと情報を共有します。したがって、プライマリに障害が発生した場合は、ハイアベイラビリティステータスのモニタリングおよび変更の説明に従ってセカンダリをアクティブステータスにプロモートする必要があります。

ハイアベイラビリティペアのメンバー間で共有される設定と共有されない設定の詳細については、以下の項を参照してください。

共有される設定

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティペアの防御センターは、以下の情報を共有します。

ユーザアカウントの属性、認証設定、カスタムユーザロール
ユーザアカウントおよびユーザ認識のための認証オブジェクトと、アクセスコントロールルールでユーザ条件に使用可能なユーザおよびグループ
カスタムダッシュボード
カスタムワークフローおよびテーブル
デバイス属性（デバイスのホスト名など）、デバイスが生成するイベントの保存先、デバイスが属するグループ
アクセスコントロール、SSL、ネットワーク分析、侵入、ファイル、およびネットワーク検出ポリシー
ローカル侵入ルール
カスタム侵入ルールの分類
ネットワーク検出ポリシー
ユーザ定義のアプリケーションプロトコルディテクタと、それらのディテクタによって検出されるアプリケーション
アクティブ化されたカスタムフィンガープリント
ホスト属性
ネットワーク検出ユーザフィードバック（注意およびホスト重要度、ネットワークマップからのホスト、アプリケーション、ネットワークの削除、脆弱性の非アクティブ化または変更など）
相関ポリシーおよびルール、コンプライアンスホワイトリスト、トラフィックプロファイル
変更調整スナップショットおよびレポート設定
侵入ルール、地理位置情報データベース（GeoDB）、および脆弱性データベース（VDB）の更新
上記の設定のいずれかに関連付けられている再利用可能なオブジェクト（変数セットなど）

正常性ポリシーとシステムポリシー

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

防御センターおよび管理対象デバイスの正常性ポリシーとシステムポリシーは、ハイアベイラビリティペアで共有されます。新しくアクティブ化された防御センターで、正常性ポリシー、モジュール、ブラックリストに関する情報が同期されるように十分な時間を設けてください。

（注）システムポリシーは、ハイアベイラビリティペアの防御センターで共有されますが、自動的には適用されません。両方の防御センターで同一のシステムポリシーを使用するには、同期後にポリシーを適用します。

ハイアベイラビリティペアの防御センターは、以下のシステムおよび正常性ポリシー情報を共有します。

システムポリシー
システムポリシー設定（適用されるポリシーおよびその適用対象）
正常性ポリシー
ヘルスモニタリング設定（適用されるポリシーおよびその適用対象）
ヘルスモニタリングからブラックリスト化されるアプライアンス
個々のヘルスモニタリングポリシーでブラックリスト化されるアプライアンス

相関応答

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

相関ポリシー、ルール、および応答は、防御センターの間で共有されますが、相関ルールとその応答の間の 関連付け は、防御センターの間で共有されません。これは、相関ポリシー違反が発生した場合に重複する応答が起動されないようにするためです。

修復を相関ポリシーに関連付けられるようにするには、その前に、セカンダリ防御センターですべてのカスタム修復モジュールをアップロードしてインストールし、修復インスタンスを設定する必要があります。運用の継続性を確保するために、プライマリ防御センターで障害が発生した場合は、ただちにセカンダリ防御センターで相関ポリシーを適切な応答と修復に関連付けるだけでなく、セカンダリ防御センターの Web インターフェイスを使用してセカンダリをアクティブに昇格する必要があります。詳細については、ハイアベイラビリティステータスのモニタリングおよび変更を参照してください。相関応答の詳細については、相関ポリシーの作成および修復の作成を参照してください。

セカンダリ防御センターでルールまたはホワイトリストとその応答および修復の間の関連付けを作成していた場合、障害発生後にプライマリ防御センターを復元する際に、必ず関連付けを削除し、プライマリ防御センターだけが応答と修復を生成するようにしてください。

ライセンス

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

高可用性ペアの防御センターは、ライセンスを 共有しません 。ペアの各メンバーに同等のライセンスを追加する必要があります。詳細については、ライセンスについてを参照してください。

URL フィルタリングおよびセキュリティインテリジェンス

ライセンス： URL フィルタリング（URL Filtering）または Protection

サポートされるデバイス： シリーズ 3、仮想、X-シリーズ、ASA FirePOWER

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

URL フィルタリングとセキュリティインテリジェンスの設定および情報は、ハイアベイラビリティ展開の防御センター間で同期されます。ただし、プライマリ防御センターだけが、URL カテゴリおよびレピュテーションデータとセキュリティインテリジェンスのフィード更新をダウンロードします。

プライマリ防御センターに障害が発生した場合は、セカンダリ防御センターが URL フィルタリングクラウドとその他すべての設定済みフィードサイトにアクセスできることを確認するだけでなく、セカンダリ防御センターの Web インターフェイスを使用してセカンダリをアクティブに昇格する必要もあります。詳細については、ハイアベイラビリティステータスのモニタリングおよび変更を参照してください。

クラウド接続およびマルウェア情報

ライセンス： 任意、または Malware

サポートされるデバイス： すべて（シリーズ 2 または X-シリーズを除く）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティペアの防御センターは、ファイルポリシーおよび関連する設定を共有しますが、Collective Security Intelligence クラウド接続とマルウェア性質はいずれも共有しません。運用の継続性を確保し、検出されたファイルのマルウェア性質が両方の防御センターで同じであるようにするためには、プライマリとセカンダリ両方の防御センターがクラウドにアクセスできなければなりません。詳細については、マルウェア防御とファイル制御についてを参照してください。

ユーザエージェント

ライセンス： FireSIGHT

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ユーザエージェントは同時に最大 5 つの防御センターに接続できます。エージェントの接続先は、プライマリ防御センターでなければなりません。プライマリ防御センターに障害が発生した場合、すべてのエージェントがセカンダリ防御センターと通信できることを確認する必要があります。詳細については、Active Directory のログインを報告するためのユーザエージェントの使用を参照してください。

ハイアベイラビリティを実装する際のガイドライン

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティを利用するには、以下の項のガイドラインに従う必要があります。

プライマリおよびセカンダリ防御センターの要件

一方の防御センターをプライマリとして指定し、もう一方の防御センターをセカンダリとして指定する必要があります。アプライアンスがアクティブから非アクティブ（またはその逆）に切り替わるときには、プライマリおよびセカンダリの指定はそのまま維持されます。

プライマリまたはセカンダリのどちらに指定するかに関わらず、ハイアベイラビリティをセットアップする前に、両方の防御センターにポリシー、ルール、管理対象デバイスなどを設定できます。

混乱を避けるために、セカンダリ防御センターは元の状態から開始してください。つまり、ポリシーの作成や変更、新しいルールの作成、管理対象のデバイスの設定が行われていない状態から開始します。確実にセカンダリ防御センターが元の状態であるようにするには、工場出荷時の初期状態に復元します。その場合、イベントと設定データも防御センターから削除されることに注意してください。詳細については、『 FireSIGHT システム Installation Guide 』を参照してください。

バージョン要件

両方の防御センターで実行しているソフトウェアとルールは、同じアップデートバージョンでなければなりません。また、このソフトウェアバージョンは、管理対象デバイスのソフトウェアバージョン以降でなければなりません。

通信要件

デフォルトでは、ペアとなっている防御センターは、ポート 8305/tcp を使用して通信します。ポートを変更するには、管理ポートの変更で説明している手順に従ってください。

2 つの防御センターが同じネットワークセグメント上に存在する必要はありませんが、防御センターが互いに通信可能であり、共有するデバイスとも通信可能でなければなりません。つまり、プライマリ防御センターは、セカンダリ防御センターの独自の管理インターフェイスの IP アドレスでセカンダリ防御センターと通信できること、およびその逆も可能であることが必要です。さらに、それぞれの防御センターが管理対象のデバイスと通信できること、あるいは管理対象デバイスが防御センターと通信できることも必要です。

ハイアベイラビリティのセットアップ

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティを使用するには、一方の防御センターをプライマリとして指定し、同じモデルのもう一方の防御センターをセカンダリとして指定する必要があります。2 つのアプライアンス間のリモート管理通信を編集する方法については、リモート管理の編集を参照してください。

注意

シスコでは、設定の変更はプライマリ防御センターに対してのみ行い、セカンダリ防御センターはバックアップとして使用することを推奨しています。

必ず、ハイアベイラビリティを設定する前に、リンクする防御センターの間で時刻設定を同期してください。時刻を設定する方法の詳細については、時間の同期を参照してください。

設定されているポリシーとカスタム標準テキストルールの数に応じて、すべてのルールとポリシーが両方の防御センターに表示されるまでに 10 分程度かかることがあります。[ハイアベイラビリティ（High Availability）] ページを表示して、2 つの防御センター間のリンクのステータスを確認できます。また、[タスクのステータス（Task Status）] をモニタして、プロセスが完了するタイミングを確認することもできます。ハイアベイラビリティステータスのモニタリングおよび変更を参照してください。

ハイアベイラビリティペアのいずれかの防御センターのイメージを再生成しなければならない場合は、最初にハイアベイラビリティリンクを無効にします。防御センターのイメージを再生成した後、ハイアベイラビリティペアを再確立すると、既存の防御センターのデータが新たに追加された防御センターに同期されます。防御センターのイメージを再生成できない場合は（たとえば、アプライアンスに障害が発生した場合）、サポートに連絡してください。

2 つの防御センターのハイアベイラビリティをセットアップするには、以下を行います。

アクセス： 管理

手順 1 セカンダリ防御センターとして指定する防御センターにログインします。

手順 2 [システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[登録（Registration）] ページが表示されます。

手順 3 [ハイアベイラビリティ（High Availability）] をクリックします。

[ハイアベイラビリティ（High Availability）] ページが表示されます。

手順 4 [セカンダリ防御センター（secondary Defense Center）] オプションをクリックします。

[セカンダリ防御センター設定（Secondary Defense Center Setup）] ページが表示されます。

手順 5 [プライマリ DC ホスト（Primary DC Host）] テキストボックスに、プライマリ防御センターのホスト名または IP アドレスを入力します。

注意

ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、必ずホスト名を使用してください。

ルーティング可能アドレスが管理ホストにない場合は、[Primary DC Host] フィールドを空のままにして構いません。その場合は、[登録キー（Registration Key）] と [固有 NAT ID（Unique NAT ID）] の両方のフィールドを使用します。

手順 6 [登録キー（Registration Key）] テキストボックスに、1 回限り使用する登録キーを入力します。

手順 7 必要に応じて、[固有 NAT ID（Unique NAT ID）] フィールドに、プライマリ防御センターを識別するために使用する、英数字による一意の登録 ID を入力します。スタック構成のデバイスの管理は参照しないでください。詳細については、4-8 ページの「NAT 環境での作業」を参照してください。

手順 8 [登録（Register）] をクリックします。

成功メッセージが表示され、[ピアマネージャ（Peer Manager）] ページに、セカンダリ防御センターの現在の状態が示されます。

手順 9 管理者アクセス権限を持つアカウントを使用して、プライマリとして指定する防御センターにログインします。

手順 10 [システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[登録（Registration）] ページが表示されます。

手順 11 [ハイアベイラビリティ（High Availability）] をクリックします。

[ハイアベイラビリティ（High Availability）] ページが表示されます。

手順 12 [プライマリ防御センター（primary Defense Center）] オプションをクリックします。

[プライマリ防御センター設定（Primary Defense Center Setup）] ページが表示されます。

手順 13 [セカンダリ DC ホスト（Secondary DC Host）] テキストボックスに、セカンダリ防御センターのホスト名または IP アドレスを入力します。

注意

ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、必ずホスト名を使用してください。

手順 14 [登録キー（Registration Key）] テキストボックスに、ステップ 6 で入力した 1 回限り使用する登録キーと同じものを入力します。

手順 15 セカンダリ防御センターで一意の NAT ID を使用した場合は、ステップ 7 で入力したのと同じ登録 ID を [固有 NAT ID（Unique NAT ID）] テキストボックスに入力します。

手順 16 [登録（Register）] をクリックします。

成功メッセージが表示され、[ピアマネージャ（Peer Manager）] ページに、プライマリ防御センターの現在の状態が示されます。

ハイアベイラビリティステータスのモニタリングおよび変更

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

プライマリとセカンダリの Defense Center を特定した後、ハイアベイラビリティペアのいずれかのアプライアンスから、ローカル Defense Center とそのピアに関する次の情報を確認できます。

ピアとなる IP アドレスまたはホスト名
ピアの製品モデル
ピアのソフトウェアバージョン
ピアのオペレーティングシステム
ハイアベイラビリティペアのメンバーが最後に同期されてから経過した時間
ローカルアプライアンスのロールとステータス（アクティブおよびプライマリ、非アクティブおよびプライマリ、非アクティブおよびセカンダリ、アクティブおよびセカンダリ）

プライマリ防御センターに障害が発生した場合は、[ハイアベイラビリティ（High Availability）] ページを使用して防御センターのロールを変更することもできます。システムでは以下の機能をプライマリ防御センターに制限しているため、そのアプライアンスで障害が発生した場合は、セカンダリ防御センターをアクティブに昇格する必要があります。

URL カテゴリおよびレピュテーションデータの更新。詳細については、URL フィルタリングおよびセキュリティインテリジェンスを参照してください。
セキュリティインテリジェンスフィードの更新。詳細については、URL フィルタリングおよびセキュリティインテリジェンスを参照してください。
相関ルールと応答の関連付け。詳細については、相関応答を参照してください。

ハイアベイラビリティステータスを確認するには、以下を行います。

アクセス： 管理

手順 1 ハイアベイラビリティを使用してリンクした防御センターのいずれか一方にログインします。

手順 2 [システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[登録（Registration）] ページが表示されます。

手順 3 [ハイアベイラビリティ（High Availability）] をクリックします。

[ハイアベイラビリティ（High Availability）] ページが表示されます。

手順 4 [ハイアベイラビリティステータス（High Availability Status）] に、ハイアベイラビリティペアの防御センターに関する以下の情報が一覧表示されます。

ピアとなる IP アドレスまたはホスト名
ピアの製品モデル
ピアのソフトウェアバージョン
ピアのオペレーティングシステム
ハイアベイラビリティペアのメンバーが最後に同期されてから経過した時間
ローカルアプライアンスのロールとステータス（アクティブおよびプライマリ、非アクティブおよびプライマリ、非アクティブおよびセカンダリ、アクティブおよびセカンダリ）
2 つの Defense Center 間でロールを切り替えるためのオプション

手順 5 共有機能に影響するすべてのアクションの後、10 分以内に（各防御センターごとに 5 分間）、2 つの防御センターが自動的に同期されます。たとえば、一方の防御センターで新しいポリシーを作成すると、そのポリシーは 5 分以内にもう一方の防御センターと自動的に共有されます。ただし、ポリシーを即時に同期させる必要がある場合は、[同期（Synchronize）] をクリックします。

（注）ハイアベイラビリティペアとして設定された防御センターからデバイスを削除し、そのデバイスを再び追加する場合、シスコでは、削除してから追加するまでに少なくとも 5 分間待つことを推奨しています。この間隔を空けることにより、ハイアベイラビリティペアが初回で再同期されることが確実になります。5 分間待たないと、1 回の同期サイクルでは、デバイスが両方の防御センターに追加されない場合があります。

手順 6 [ロールの切り替え（Switch Roles）] をクリックして、ローカルロールをアクティブから非アクティブ、または非アクティブからアクティブに変更します。

プライマリまたはセカンダリの指定は変更されずに、2 つのピア間でロールが切り替わります。

手順 7 ツールバーの [ピアマネージャ（Peer Manager）] をクリックします。

[ピアマネージャ（Peer Manager）] ページが表示されます。

次の情報が表示されます。

ハイアベイラビリティペアのもう一方の防御センターの IP アドレス
通信リンクのステータス（登録済みまたは登録解除済み）
ハイアベイラビリティペアの状態（有効または無効）

2 つのアプライアンス間のリモート管理通信を編集する方法については、リモート管理の編集を参照してください。

ハイアベイラビリティの無効化とデバイスの登録解除

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティペアからいずれかの防御センターを削除するには、その前に、この 2 つをリンクするハイアベイラビリティリンクを無効にする必要があります。

ハイアベイラビリティペアを無効にするには、以下を行います。

アクセス： 管理

手順 1 ハイアベイラビリティペアのいずれか一方の防御センターにログインします。

手順 2 [システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[登録（Registration）] ページが表示されます。

手順 3 [ハイアベイラビリティ（High Availability）] をクリックします。

[ハイアベイラビリティ（High Availability）] ページが表示されます。

手順 4 [登録したデバイスの処理（Handle Registered Devices）] ドロップダウンリストから、以下のいずれかのオプションを選択します。

このページでアクセスしている防御センターを使用してすべての管理対象デバイスを制御する場合は、[別のピアのデバイスを登録解除する（Unregister devices on the other peer）] を選択します。
もう一方の防御センターを使用してすべての管理対象デバイスを制御する場合は、[このピアのデバイスを登録解除する（Unregister devices on this peer）] を選択します。
デバイスの管理を完全に停止する場合は、[両方のピアのデバイスを登録解除する（Unregister devices on both peers）] を選択します。

手順 5 [ハイアベイラビリティを無効にする（Break High Availability）] をクリックします。

「ハイアベイラビリティを無効にしますか?（Do you really want to Break High Availability?）」というプロンプトに [OK] を選択して応答すると、ハイアベイラビリティが無効になり、選択したオプションに従って、管理対象デバイスが防御センターから削除されます。

別の防御センターを使用してハイアベイラビリティを有効にできます。この手順については、ハイアベイラビリティのセットアップを参照してください。

ペアにされた防御センター間での通信の一時停止

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

一時的にハイアベイラビリティを無効にする場合は、防御センター間の通信チャネルを無効にします。

ハイアベイラビリティペアの通信チャネルを無効にするには、以下を行います。

アクセス： 管理

手順 1 [ピアマネージャ（Peer Manager）] をクリックします。

[ピアマネージャ（Peer Manager）] ページが表示されます。

手順 2 2 つの防御センター間の通信チャネルを無効にするには、スライダをクリックします。

2 つのアプライアンス間のリモート管理通信を編集する方法については、リモート管理の編集を参照してください。

ペアにされた防御センター間での通信の再開

ライセンス： 任意（Any）

サポートされる防御センター： DC1000、DC1500、DC2000、DC3000、DC3500、DC4000

ハイアベイラビリティを一時的に無効にした場合、防御センター間の通信チャネルを有効にすることで、ハイアベイラビリティを再開できます。

ハイアベイラビリティペアの通信チャネルを有効にするには、以下を行います。

アクセス： 管理

手順 1 [ピアマネージャ（Peer Manager）] をクリックします。

[ピアマネージャ（Peer Manager）] ページが表示されます。

手順 2 2 つの防御センター間の通信チャネルを有効にするには、スライダをクリックします。

2 つのアプライアンス間のリモート管理通信を編集する方法については、リモート管理の編集を参照してください。

デバイスの操作

ライセンス： 任意（Any）

防御センターを使用して、FireSIGHT システムを構成するさまざまなデバイスを管理できます。デバイスを管理するには、防御センターとデバイスの間に双方向の SSL 暗号化通信チャネルをセットアップします。防御センターはこのチャネルを使用して、ネットワークトラフィックの分析および管理方法に関する情報をデバイスに送信します。

デバイスはトラフィックを評価すると、イベントを生成し、同じチャネルを使用してそれらのイベントを防御センターに送信します。

デバイスを管理する方法の詳細については、以下の項を参照してください。

[デバイス管理（Device Management）] ページについて

ライセンス： 任意（Any）

[デバイス管理（Device Management）] ページには、登録されたデバイス、デバイスクラスタおよびデバイスグループを管理するために使用できる、一連の情報とオプションが表示されます。このページには、現在防御センターに登録されているすべてのデバイスのリストが表示されます。

このアプライアンスのリストは、必要に応じて、[ソート基準（sort-by）] ドロップダウンリストを使用してソートできます。アプライアンスリストには、ユーザが選択するカテゴリ別にグループ化されたデバイスが表示されます。以下のソート基準を使用できます。

グループ（つまり、デバイスグループ）。詳細については、デバイスグループの管理を参照してください。
タイプ（つまり、デバイスに適用されるライセンスのタイプ）。詳細については、FireSIGHT システムのライセンスを参照してください。
モデル（つまり、防御センターで管理されているデバイスのモデル）
正常性ポリシー。詳細については、ヘルスモニタリングの使用を参照してください。
システムポリシー。詳細については、システムポリシーの管理を参照してください。
アクセスコントロールポリシー。詳細についてはアクセスコントロールポリシーの管理を参照してください。

デバイスグループに属するデバイスのリストは、展開または縮小表示できます。デフォルトでは、このリストは縮小表示されます。

アプライアンスリストの詳細については、以下の表を参照してください。

表 4-1 アプライアンスリストのフィールド
フィールド	説明
名前（Name）	各デバイスのホスト名、IP アドレス、デバイスモデル、およびソフトウェアバージョンのリスト。アプライアンスの左側にあるステータスアイコンが、そのアプライアンスの現在のヘルスステータスを示します。
ライセンスのタイプ（License Type）	管理対象デバイスで有効なライセンス。
ヘルスポリシー（Health Policy）	デバイスに現在適用されている正常性ポリシー。正常性ポリシーの名前をクリックすると、そのポリシーの読み取り専用バージョンが表示されます。既存の正常性ポリシーを変更する方法については、正常性ポリシーの編集を参照してください。
システムポリシー（System Policy）	デバイスに現在適用されているシステムポリシー。システムポリシーの名前をクリックすると、そのポリシーの読み取り専用バージョンが表示されます。詳細については、システムポリシーの管理を参照してください。
アクセスコントロールポリシー（Access Control Policy）	現在適用されているアクセスコントロールポリシーへのリンク。アクセスコントロールポリシーの管理を参照してください。

詳細については、次の各項を参照してください。

リモート管理の設定

ライセンス： 任意（Any）

ある FireSIGHT システムアプライアンスと別のアプライアンスを相互に管理できるようにするには、その前に、2 つのアプライアンスの間に双方向の SSL 暗号化通信チャネルをセットアップする必要があります。このチャネルを使用して、両方のアプライアンスが設定とイベント情報を共有します。ハイアベイラビリティピアも、このチャネルを使用します。このチャネルは、デフォルトではポート 8305/tcp に位置します。

管理対象のアプライアンス、つまり防御センターで管理するデバイス上には、リモート管理を設定する必要があります。リモート管理を設定した後、管理側アプライアンスの Web インターフェイスを使用して、管理対象アプライアンスを展開環境に追加できます。

この項の手順では、FirePOWER の物理アプライアンス上にリモート管理を設定する方法について説明していることに注意してください。

2 つのアプライアンス間の通信を可能にするためには、アプライアンスが互いを認識する手段を提供しなければなりません。通信を許可するために、FireSIGHT システムでは 3 つの基準を使用します。

通信を確立する対象のアプライアンスのホスト名または IP アドレス

NAT 環境では、ルーティング可能なアドレスがもう一方のアプライアンスにないとしても、リモート管理を設定する際、または管理対象アプライアンスを追加する際には、ホスト名または IP アドレスのいずれかを指定する必要があります。

接続を識別するために自己生成される、最大 37 文字の英数字による登録キー
FireSIGHT システムが NAT 環境で通信を確立するために利用できる、オプションの一意の英数字による NAT ID

NAT ID は、管理対象アプライアンスを登録するために使用されているすべての NAT ID の間で 一意でなければなりません 。詳細については、NAT 環境での作業を参照してください。

管理対象デバイスを防御センターに登録する際に、デバイスに適用するアクセスコントロールポリシーを選択できます。ただし、デバイスがポリシーに準拠していない場合は、ポリシーの適用に失敗します。この不適合には、複数の要因が考えられます。たとえば、ライセンスの不一致、モデルの制限、パッシブとインラインの問題、その他の構成ミスなどです。最初のアクセスコントロールポリシーの適用が失敗すると、最初のネットワークディスカバリポリシーの適用も失敗します。障害の原因となる問題を解決した後は、アクセスコントロールポリシーおよびネットワークディスカバリポリシーを手動でデバイスに適用する必要があります。アクセスコントロールポリシーの適用に失敗する原因となる問題の詳細については、アクセスコントロールポリシーおよびルールのトラブルシューティングを参照してください。

ローカルアプライアンスのリモート管理を設定するには、以下を行います。

アクセス： 管理

手順 1 管理するデバイスの Web インターフェイスで、[システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[リモート管理（Remote Management）] ページが表示されます。

注意

シスコでは、管理ポートの値を変更しないことを強く推奨しています。変更する場合は、展開環境のすべてのアプライアンスで同じ変更を行わなければなりません。それには、アプライアンス間の相互通信が必要になります。詳細については、管理ポートの変更を参照してください。

手順 2 [マネージャの追加（Add Manager）] をクリックします。

[リモート管理の追加（Add Remote Management）] ページが表示されます。

手順 3 [管理ホスト（Management Host）] に、このアプライアンスを管理するために使用するアプライアンスの IP アドレスまたはホスト名を入力します。

ホスト名は、完全修飾ドメイン名またはローカル DNS で有効な IP アドレスに解決される名前です。

NAT 環境では、管理対象アプライアンスを追加する際に IP アドレスまたはホスト名を指定する予定の場合、ここで IP アドレスまたはホスト名を指定する必要はありません。その場合、FireSIGHT システムは後で指定される NAT ID を使用して、管理対象アプライアンスの Web インターフェイス上のリモートマネージャを識別します。

注意

ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、ホスト名を使用します。

手順 4 [登録キー（Registration Key）] フィールドに、アプライアンス間の通信をセットアップするために使用する登録キーを入力します。

手順 5 NAT 環境の場合は、[固有 NAT ID（Unique NAT ID）] フィールドに、アプライアンス間の通信をセットアップするために使用する、英数字による一意の NAT ID を入力します。

手順 6 [保存（Save）] をクリックします。

アプライアンスが相互に通信できることを確認すると、ステータスとして [登録保留（Pending Registration）] が表示されます。

手順 7 管理側アプライアンスの Web インターフェイスを使用して、このアプライアンスを展開環境に追加します。

詳細については、防御センターへのデバイスの追加を参照してください。

（注） NAT を使用する一部のハイアベイラビリティ展開では、デバイスのリモート管理を有効にする際に、セカンダリ防御センターをマネージャとして追加しなければならない場合もあります。詳細については、サポートにお問い合わせください。

リモート管理の編集

ライセンス： 任意（Any）

管理側アプライアンスのホスト名または IP アドレスを編集するには、以下の手順を使用します。また、管理側アプライアンスの表示名を変更することもできます。表示名は、FireSIGHT システムのコンテキスト内でのみ使用されます。ホスト名をアプライアンスの表示名として使用することもできますが、別の表示名を入力してもホスト名は変更されません。

デバイスが実行しているソフトウェアのバージョンが、防御センターで実行しているソフトウェアのメジャーバージョンより 2 つ以上低い場合、そのデバイスを追加することはできません。たとえば、防御センターがバージョン 5.4.0 を実行している場合、バージョン 5.3.x 以降を実行しているデバイスを追加することはできますが、バージョン 5.2.x を実行しているデバイスは追加できません。

ヒント スライダをクリックすることで、管理対象デバイスの管理を有効または無効にできます。管理を無効化すると、Defense Center とデバイス間の接続がブロックされますが、Defense Center からデバイスは削除されません。デバイスを管理する必要がなくなった場合は、デバイスの削除を参照してください。

リモート管理を編集するには、以下を行います。

アクセス： 管理

手順 1 デバイスの Web インターフェイスで、[システム（System）] > [ローカル（Local）] > [登録（Registration）] を選択します。

[リモート管理（Remote Management）] ページが表示されます。

手順 2 リモート管理設定を編集するマネージャの横にある編集アイコン（）をクリックします。

[リモート管理の編集（Edit Remote Management）] ページが表示されます。

手順 3 [名前（Name）] フィールドで、管理側アプライアンスの表示名を変更します。

手順 4 [ホスト（Host）] フィールドで、管理側アプライアンスの IP アドレスまたはホスト名を変更します。

ホスト名は、完全修飾ドメイン名またはローカル DNS で有効な IP アドレスに解決される名前です。

手順 5 [保存（Save）] をクリックします。

変更が保存されます。

管理ポートの変更

ライセンス： 任意（Any）

FireSIGHT システムアプライアンスは、双方向の SSL 暗号化通信チャネルを使用して通信します。このチャネルは、デフォルトではポート 8305 に位置します。

シスコでは、デフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。通常、管理ポートの変更は、FireSIGHT システムのインストール時に行います。

注意

管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。

管理ポートを変更するには、以下を行います。

アクセス： 管理

手順 1 デバイスの Web インターフェイスで、[システム（System）] > [ローカル（Local）] > [設定（Configuration）] を選択します。

[情報（Information）] ページが表示されます。

手順 2 [ネットワーク（Network）] をクリックします。

[ネットワーク設定（Network Settings）] ページが表示されます。

手順 3 [リモート管理ポート（Remote Management Port）] フィールドに、使用するポート番号を入力します。

手順 4 [保存（Save）] をクリックします。

管理ポートが変更されます。

手順 5 このアプライアンスと通信する必要がある、展開環境内のすべてのアプライアンスについて、この手順を繰り返します。

防御センターへのデバイスの追加

ライセンス： 任意（Any）

デバイスを管理するには、防御センターとデバイスの間に双方向の SSL 暗号化通信チャネルをセットアップします。防御センターはこのチャネルを使用して、ネットワークトラフィックの分析方法に関する情報をデバイスに送信します。デバイスはトラフィックを評価すると、イベントを生成し、同じチャネルを使用してそれらのイベントを防御センターに送信します。このチャネルの設定の詳細については、リモート管理の設定を参照してください。

デバイスが実行しているソフトウェアのバージョンが、防御センターで実行しているソフトウェアのメジャーバージョンより 2 つ以上低い場合、そのデバイスを追加することはできません。たとえば、防御センターがバージョン 5.4 を実行している場合、バージョン 5.3.x 以降を実行しているデバイスは追加できますが、バージョン 5.2.x を実行しているデバイスは追加できません。

防御センターでデバイスを管理する前に、そのデバイスでネットワーク設定が正しく設定されていることを確認する必要があります。この確認は、一般にインストールプロセスの一環として行われます。詳細については、管理インターフェイスの構成を参照してください。

IPv4 を使用している防御センターとデバイスを登録しており、それらを IPv6 に変換する場合は、デバイスをいったん削除してから再登録する必要があります。

デバイスクラスタまたはデバイススタックを登録するときに、ライセンスを選択することはできますが、それらのライセンスをデバイスの登録時に適用することはできません。これは、ライセンスの不一致による劣化を回避するために、クラスタまたはスタックに適切なライセンスを実行させるための措置です。登録の完了後に、[デバイス管理（Device Management）] ページの一般プロパティ（クラスタの場合）またはスタックプロパティ（スタックの場合）でライセンスを評価できます。詳細については、デバイスクラスタの設定またはデバイススタックの確立を参照してください。

シリーズ 2 デバイスを登録するときに、ライセンスを選択することはできますが、デバイスの登録時には、選択したライセンスはいずれも適用されません。シリーズ 2 デバイスには、セキュリティインテリジェンスフィルタリングを除く、Protection 機能が自動的に組み込まれています。これらの機能を無効にすることも、他のライセンスをシリーズ 2 デバイスに適用することもできません。

ヒント デバイスの詳細な設定を変更するには、デバイスの横にある編集アイコン（）をクリックします。詳細については、デバイス設定の編集とセンシングインターフェイスの設定を参照してください。

デバイスを防御センターに追加するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 デバイスを防御センターの管理対象として設定します。

FirePOWER デバイスの場合は、リモート管理の設定で説明している手順を使用します。デバイスが防御センターとの通信を確認すると、ステータスが [登録の保留（Pending Registration）] として表示されます。

仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、および ASA FirePOWER デバイスの場合は、デバイスのコマンドラインインターフェイス（CLI）を使用してリモート管理を設定します。

（注）ネットワークアドレス変換（NAT）が使用される一部のハイアベイラビリティ展開では、セカンダリ防御センターをマネージャとして追加しなければならない場合もあります。詳細については、サポートにお問い合わせください。

手順 2 防御センターの Web インターフェイスで、[デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 3 [追加（Add）] ドロップダウンメニューから、[デバイスの追加（Add Device）] を選択します。

[デバイスの追加（Add Device）] ポップアップウィンドウが表示されます。

手順 4 [ホスト（Host）] フィールドに、追加するデバイスの IP アドレスまたはホスト名を入力します。

デバイスのホスト名は、完全修飾ドメイン名またはローカル DNS で有効な IP アドレスに解決される名前です。

NAT 環境では、防御センターの管理対象としてデバイスを設定するときに防御センターの IP アドレスまたはホスト名をすでに指定している場合、デバイスの IP アドレスまたはホスト名を指定する必要はありません。詳細については、NAT 環境での作業を参照してください。

注意

ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、ホスト名を使用します。

手順 5 [登録キー（Registration Key）] フィールドに、防御センターの管理対象としてデバイスを設定したときに使用したのと同じ登録キーを入力します。

手順 6 （任意）[グループ（Group）] ドロップダウンリストからデバイスグループを選択し、そのグループにデバイスを追加します。

デバイスグループの詳細については、デバイスグループの管理を参照してください。

手順 7 [アクセスコントロールポリシー（Access Control Policy）] ドロップダウンリストから、デバイスに適用する初期ポリシーを選択します。

[デフォルトアクセスコントロール（Default Access Control）] ポリシーは、すべてのトラフィックをネットワークからブロックします。
[デフォルト侵入防御（Default Intrusion Prevention）] ポリシーは、Balanced Security and Connectivity 侵入ポリシーにも合格したすべてのトラフィックを許可します。
[デフォルトネットワーク検出（Default Network Discovery）] ポリシーは、すべてのトラフィックを許可し、ネットワーク検出のみでトラフィックを検査します。
既存のユーザ定義アクセスコントロールポリシーを選択することもできます。

詳細については、アクセスコントロールポリシーの管理を参照してください。

手順 8 デバイスに適用するライセンスを選択します。次の点に注意してください。

Control、Malware、および URL フィルタリング（URL Filtering）ライセンスには、Protection ライセンスが必要です。
VPN ライセンスは、仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、または ASA FirePOWER デバイスで有効にすることはできません。
Blue Coat X-Series 向け Cisco NGIPS では、Control ライセンスを有効にできません。
仮想デバイスや ASA FirePOWER デバイスでは Control ライセンスを有効にすることができますが、これらのデバイスは高速パスルール、スイッチング、ルーティング、スタック構成、クラスタリングを サポートしていません 。
クラスタを構成するデバイスでのライセンス設定を変更することはできません。
スタック構成のデバイスの場合、アプライアンスエディタの [スタック（Stack）] ページで、スタックに対してラインセンスを有効または無効にします。
シリーズ 2 デバイスを登録する場合、デバイスの登録時に、選択したライセンスはいずれも適用されません。シリーズ 2 デバイスには、セキュリティインテリジェンスフィルタリングを除く、Protection 機能が自動的に組み込まれています。これらの機能を無効にすることも、他のライセンスをシリーズ 2 デバイスに適用することもできません。

詳細については、FireSIGHT システムのライセンスを参照してください。

手順 9 デバイスを防御センターの管理対象として設定するときに、NAT ID を使用してデバイスを識別した場合は、[詳細（Advanced）] セクションを展開して、[一意の NAT ID（Unique NAT ID）] フィールドに同じ NAT ID を入力します。

手順 10 デバイスに防御センターへのパケット転送を許可するには、[パケットの転送（Transfer Packets）] チェックボックスをオンにします。

このオプションは、デフォルトで有効です。無効にすると、防御センターへのパケット転送が完全に禁止されます。

手順 11 [登録（Register）] をクリックします。

デバイスが防御センターに追加されます。防御センターがデバイスのハートビートを確認して通信を確立するまでに、最大 2 分かかる場合があります。

デバイスへの変更の適用

ライセンス： 任意（Any）

デバイス、デバイスクラスタ、またはデバイススタックの設定に変更を加えた後、それらの変更を適用するまでは、システム全体に変更が反映されません。デバイスが変更適用前の状態でなければ、このオプションは無効になります。

ヒント デバイスに変更を適用するには、[デバイス管理（Device Management）] ページまたはアプライアンスエディタの [インターフェイス（Interfaces）] タブを使用します。

変更をデバイスに適用するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 変更を適用するデバイスの横にある適用アイコン（）をクリックします。

手順 3 プロンプトが出されたら、[適用（Apply）] をクリックします。

デバイスの変更が適用されます。

ヒント 必要に応じて、[デバイス変更の適用（Apply Device Changes）] ダイアログボックスで [変更の表示（View Changes）] をクリックします。新しいブラウザウィンドウに [デバイス管理のリビジョン比較レポート（Device Management Revision Comparison Report）] ページが表示されます。詳細については、デバイス管理のリビジョン比較レポートの使用を参照してください。

手順 4 [OK] をクリックします。

[デバイス管理（Device Management）] ページに戻ります。

デバイス管理のリビジョン比較レポートの使用

ライセンス： 任意（Any）

デバイス管理の比較レポートを使用して、変更を確認してから、アプライアンスに適用できます。このレポートには、現在のアプライアンスの設定と、変更適用後のアプライアンスの設定との間の差異がすべて表示されます。これにより、設定の潜在的なエラーを検出することができます。

変更適用前と適用後のアプライアンスを比較するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 変更を適用するアプライアンスの横にある適用アイコン（）をクリックします。

[デバイス変更の適用（Apply Device Changes）] ポップアップウィンドウが表示されます。アプライアンスが変更適用前の状態でなければ、適用アイコンは無効になります。

手順 3 [変更の表示（View Changes）] をクリックします。

新しいウィンドウに [デバイス管理のレビジョン比較レポート（Device Management Revision Comparison Report）] ページが表示されます。

手順 4 [前へ（Previous）] と [次へ（Next）] をクリックして、現在のアプライアンスの設定と変更適用後のアプライアンスの設定との間のすべての差異を確認します。

手順 5 必要に応じて、レポートの PDF バージョンを生成するには、[比較レポート（Comparison Report）] をクリックします。

デバイスの削除

ライセンス： 任意（Any）

デバイスを管理する必要がなくなった場合、防御センターからそのデバイスを削除できます。デバイスを削除すると、防御センターとそのデバイスとの間のすべての通信が切断されます。後日、削除したデバイスを再び管理するには、もう一度そのデバイスを防御センターに追加する必要があります。

（注）ハイアベイラビリティペアとして設定された防御センターからデバイスを削除し、そのデバイスを再び追加する場合、シスコでは、削除してから追加するまでに少なくとも 5 分間待つことを推奨しています。この間隔を空けることにより、ハイアベイラビリティペアが確実に再同期して、両方の防御センターが削除を認識します。5 分間待たないと、1 回の同期サイクルでは、デバイスが両方の防御センターに追加されない場合があります。

デバイスを防御センターから削除するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 削除するデバイスの横にある削除アイコン（）をクリックします。

プロンプトが表示されたら、デバイスを削除することを確認します。デバイスと防御センターの間の通信が切断され、[デバイス管理（Device Management）] ページからデバイスが削除されます。デバイスに設定されているシステムポリシーによって、デバイスが NTP を介して防御センターから時間を受信する場合は、デバイスはローカル時間管理に戻ります。

デバイスグループの管理

ライセンス： 任意（Any）

防御センターでデバイスをグループ化すると、複数のデバイスへのポリシーの適用やアップデートのインストールを簡単に行えます。グループに属するデバイスのリストは、展開または縮小表示できます。デフォルトでは、このリストは縮小表示されます。

詳細については、次の各項を参照してください。

デバイスグループの追加

ライセンス： 任意（Any）

以下の手順では、デバイスグループを追加して、複数のデバイスへのポリシーの適用やアップデートのインストールを簡単に行う方法について説明します。

スタック内またはクラスタ内のプライマリデバイスをグループに追加すると、両方のデバイスがグループに追加されます。デバイスのスタック構成またはクラスタ構成を解除しても、これらのデバイスは両方ともグループに属したままになります。

デバイスグループを作成してグループにデバイスを追加するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 [追加（Add）] ドロップダウンメニューから、[グループの追加（Add Group）] を選択します。

[グループの追加（Add Group）] ポップアップウィンドウが表示されます。

手順 3 [名前（Name）] フィールドに、グループの名前を入力します。

手順 4 [使用可能なデバイス（Available Devices）] から、デバイスグループに追加するアプライアンスを 1 つ以上選択します。複数のアプライアンスを選択するには、Ctrl キーまたは Shift キーを押しながらクリックします。

手順 5 [追加（Add）] をクリックして、選択したアプライアンスをデバイスグループに追加します。

手順 6 [OK] をクリックします。

デバイスグループが追加されます。

デバイスグループの編集

ライセンス： 任意（Any）

任意のデバイスグループに含まれるデバイス一式を変更できます。アプライアンスが現在グループに属している場合は、現在のグループから削除してからでないと、アプライアンスを新しいグループに追加することはできません。

アプライアンスを新しいグループに移動しても、そのアプライアンスのポリシーが、新しいグループにすでに適用されているポリシーに変更されるわけではありません。デバイスのポリシーを変更するには、新しいポリシーをデバイスまたはデバイスグループに適用する必要があります。

デバイスグループを編集するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 編集するデバイスグループの横にある編集アイコン（）をクリックします。

[グループの編集（Edit Group）] ポップアップウィンドウが表示されます。

手順 3 必要に応じて、[名前（Name）] フィールドに、グループの新しい名前を入力します。

手順 5 [追加（Add）] をクリックして、選択したアプライアンスをデバイスグループに追加します。

手順 6 選択したアプライアンスをデバイスグループから削除するには、削除アイコン（）をクリックします。

手順 7 [OK] をクリックします。

デバイスグループの変更が保存されます。

デバイスグループの削除

ライセンス： 任意（Any）

デバイスが含まれているデバイスグループを削除すると、それらのデバイスは [デバイス管理（Device Management）] ページの [グループ解除（Ungrouped）] カテゴリに移動されます。防御センターからは削除されません。

デバイスグループを削除するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 削除するデバイスグループの横にある削除アイコン（）をクリックします。

手順 3 プロンプトが表示されたら、デバイスグループを削除することを確認します。

デバイスグループが削除されます。

デバイスのクラスタリング

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスのクラスタリング（デバイスのハイアベイラビリティとも呼ばれます）を利用することで、2 つのピアデバイス間または 2 つのデバイススタック間のネットワーキング機能と設定データの冗長性を確立できます。デバイススタックを構成する方法の詳細については、スタック構成のデバイスの管理を参照してください。

2 つのピアデバイスまたは 2 つのピアデバイススタックでクラスタを構成し、そのクラスタを単一の論理システムとして、ポリシーの適用、システムの更新、および登録を行うことで、構成の冗長性を確立できます。その他の設定データは、システムによって自動的に同期されます。

クラスタリングの要件

デバイスクラスタを設定するには、両方のデバイスまたは両方のデバイススタックのプライマリメンバーが同じモデルであり、同一の銅線またはファイバインターフェイスを備えていなければなりません。両方のデバイスまたはデバイススタックが同じソフトウェアを実行し、同じライセンスが有効になっていることも要件となります。デバイススタックのハードウェア構成は同一でなければなりませんが、インストール済みのマルウェアストレージパックについてはその限りではありません。たとえば、3D8290 と 3D8290 でクラスタを構成する場合、一方のスタックに、マルウェアストレージパックがインストールされているデバイスがなくても、あるいは 1 つまたはすべてのデバイスにマルウェアストレージパックがインストールされていても構いません。デバイスが NAT ポリシーのターゲットとなっている場合、両方のピアに同じ NAT ポリシーを適用する必要があります。デバイスクラスタを構成した後は、クラスタを構成する個々のデバイスのライセンスオプションを変更することはできませんが、クラスタ全体のライセンスは変更できます。詳細については、デバイスクラスタの設定を参照してください。

注意

シスコから供給されたハードドライブ以外はデバイスに取り付けないでください。サポートされていないハードドライブを取り付けると、デバイスが破損する可能性があります。マルウェアストレージパックキットは、シスコからのみ購入でき、8000 シリーズデバイスでのみ使用できます。マルウェアストレージパックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、『 FireSIGHT システム Malware Storage Pack Guide』を参照してください。

クラスタリングのフェールオーバーおよびメンテナンスモード

デバイスクラスタのフェールオーバーは、手動または自動で行われます。手動でフェールオーバーをトリガーするには、クラスタを構成するデバイスまたはスタックのいずれかをメンテナンスモードで開始します。メンテナンスモードの詳細については、クラスタを構成するデバイスのメンテナンスモードの開始を参照してください。

自動フェールオーバーは、アクティブデバイスまたはアクティブスタックの正常性が損なわれた場合、システム更新中、または管理者権限のあるユーザがデバイスをシャットダウンした後に発生します。また、自動フェールオーバーは、アクティブデバイスまたはデバイススタックで NMSB 障害、NFE 障害、ハードウェア障害、ファームウェア障害、重大なプロセス障害、ディスクフル状態、または 2 つのスタック構成デバイス間のリンク障害が起きた場合にも発生します。バックアップデバイスまたはバックアップスタックの正常性が同じように損なわれている場合は、フェールオーバーは行われず、クラスタはデグレード状態になります。また、いずれかのデバイスまたはデバイススタックがメンテナンスモードになっている場合も、フェールオーバーは行われません。アクティブスタックからスタックケーブルを切断すると、そのスタックはメンテナンスモードに入ることに注意してください。アクティブスタックのセカンダリデバイスをシャットダウンした場合も、スタックはメンテナンスモードに入ります。

（注）アクティブクラスタのメンバーがメンテナンスモードになり、アクティブロールが他のクラスタメンバーにフェールオーバーされた場合、元のアクティブクラスタのメンバーは、通常動作に復帰したときに自動的にアクティブロールを再要求しません。

ポリシーおよび更新の適用

ポリシーを適用する際には、個々のデバイスやデバイススタックではなく、デバイスクラスタにポリシーを適用します。ポリシーの適用が失敗すると、システムはいずれのデバイスまたはスタックにもポリシーを適用しません。ポリシーは最初にアクティブデバイスまたはスタックに適用されてから、バックアップに適用されます。したがって、クラスタでは常に、ピアのいずれかがネットワークトラフィックを処理しています。

注意

ポリシーを適用した場合、リソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、構成の一部を適用するときに、Snort プロセスの再開が要求され、これにより一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。7010、7020、および 7030 の管理対象デバイスでは、設定変更の展開に最大 5 分かかる場合があります。 Snort プロセスを再開する構成および Snort の再開によるトラフィックへの影響を参照してください。

更新は、個々のデバイスやスタックが受信するのではなく、クラスタを構成するデバイスが単一のエンティティとして受信します。更新が開始されると、システムは最初にバックアップデバイスまたはスタックに更新を適用します。それによって、バックアップデバイスまたはスタックはメンテナンスモードに入ります。この状態は、必要なプロセスが再開してデバイスがトラフィックの処理を再び開始するまで維持されます。次にシステムはアクティブなデバイスまたはスタックに更新を適用し、同じプロセスに従います。

デバイスクラスタなしの冗長性の確立

ほとんどの場合には、Cisco Redundancy Protocol（SFRP）を使用することによって、デバイスをクラスタリングせずにレイヤ 3 の冗長性を実現できます。SFRP では、指定した IP アドレスに対する冗長なゲートウェイとしてデバイスを機能させることができます。ネットワークの冗長性では、2 つのデバイスまたは 2 つのスタックが同一のネットワーク接続を提供するように設定することで、ネットワーク上の他のホストに対する接続を維持できます。SFRP の詳細については、SFRP の設定を参照してください。

デバイスのハイアベイラビリティを設定する方法は、FireSIGHT システム展開（パッシブ、インライン、ルーテッド、またはスイッチド）に応じて決定します。同時に複数のロールでシステムを展開することもできます。4 つの展開タイプのうち、冗長性をもたらすためにデバイスまたはスタックのクラスタリングが必要になるのは、パッシブ展開のみです。他の展開タイプでは、デバイスクラスタを使用しても使用しなくてもネットワークの冗長性を確立できます。以下の項で、各タイプの展開でのハイアベイラビリティの概要を説明します。

パッシブ展開での冗長性

一般に、パッシブインターフェイスは中央スイッチのタップポートに接続されます。この場合、スイッチを通過するトラフィックのすべてを、パッシブインターフェイスで分析することが可能になります。複数のデバイスが同じタップフィードに接続されている場合、システムはそれぞれのデバイスからイベントを生成します。クラスタを構成するデバイスはアクティブまたはバックアップのいずれかとして機能するため、システムはシステム障害が発生したとしてもトラフィックを分析できると同時に、重複するイベントを防止できます。

インライン展開での冗長性

インラインセットは、自身を通過するパケットのルーティングを制御できないため、展開環境で常にアクティブになっていなければなりません。したがって、冗長性を確立できるかどうかは、外部システムがトラフィックを適切にルーティングするかどうかに依存します。冗長インラインセットは、デバイスクラスタを使用しても使用しなくても設定できます。

冗長インラインセットを展開するには、循環ルーティングを防止する一方で、トラフィックがインラインセットのいずれか 1 つだけを通過できるようにネットワークトポロジを設定します。インラインセットのいずれかで障害が発生すると、周辺ネットワークインフラストラクチャがゲートウェイアドレスへの接続が切断されたことを検出し、ルートを調整して冗長セット経由でトラフィックを送信します。

ルーテッド展開での冗長性

IP ネットワーク内のホストは、既知のゲートウェイアドレスを使用してトラフィックをさまざまなネットワークに送信する必要があります。ルーテッド展開で冗長性を確立するには、ルーテッドインターフェイスがゲートウェイアドレスを共有し、そのアドレスに対するトラフィックを常に 1 つのインターフェイスだけが処理するようにしなければなりません。そのためには、仮想ルータで同じ数の IP アドレスを維持する必要があります。1 つのインターフェイスがアドレスをアドバタイズします。そのインターフェイスがダウンすると、バックアップインターフェイスがアドレスのアドバタイジングを開始します。

クラスタに含まれていないデバイスの場合は、SFRP を使用して、複数のルーテッドインターフェイス間で共有されるゲートウェイ IP アドレスを設定することで、冗長性を確立します。SFRP は、デバイスクラスタを使用しても使用しなくても設定できます。また、OSPF や RIP などのダイナミックルーティングを使用して冗長性を確立することもできます。

スイッチド展開での冗長性

スイッチド展開では、スパニングツリープロトコル（STP）を使用して冗長性を確立します。STP は、ブリッジ型ネットワークトポロジを管理するプロトコルです。このプロトコルは、バックアップリンクを設定することなく、冗長リンクでスイッチドインターフェイスの自動バックアップを行えるように設計されています。スイッチド展開でのデバイスは、STP に依存して、冗長インターフェイス間のトラフィックを管理します。同じブロードキャストネットワークに接続されている 2 つのデバイスは、STP によって計算されたトポロジに基づいてトラフィックを受信します。STP を有効にする方法の詳細については、仮想スイッチの詳細設定を参照してください。

（注）デバイスクラスタに展開される予定の仮想スイッチを設定する際には、STP を有効にするよう、シスコは強く推奨します。

デバイスおよびスタックのクラスタリングの詳細については、以下の項を参照してください。

デバイスクラスタの設定

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスクラスタを確立する前に、以下の前提条件を満たす必要があります。

各デバイスまたはスタック内の各プライマリデバイスにインターフェイスを設定します。
クラスタに含める各デバイスまたはデバイススタック内のプライマリメンバーは、同じモデルであり、同一の銅線またはファイバインターフェイスを備えている必要があります。
両方のデバイスまたはデバイススタックが正常なヘルスステータスであり、同じソフトウェアを実行し、同じライセンスが有効になっている必要があります。詳細については、ヘルスモニタの使用を参照してください。特に、デバイスでのハードウェア障害は許容されません。ハードウェア障害が発生すると、デバイスがメンテナンスモードに入り、フェールオーバーがトリガーされます。
デバイスとスタックを混在させてクラスタを構成することはできません。単一のデバイスと単一のデバイスでクラスタを構成するか、ハードウェア構成が同じ（ただし、マルウェアストレージパックの有無を除く）デバイススタックとデバイススタックでクラスタを構成する必要があります。たとえば、3D8290 と 3D8290 でクラスタを構成する場合、一方のスタックに、マルウェアストレージパックがインストールされているデバイスがなくても、あるいは 1 つまたはすべてのデバイスにマルウェアストレージパックがインストールされていても構いません。マルウェアストレージパックの詳細については、『 FireSIGHT システム Malware Storage Pack Guide 』を参照してください。

注意

デバイスが NAT ポリシーのターゲットとなっている場合、両方のピアに同じ NAT ポリシーを適用する必要があります。

デバイスクラスタを確立する際には、デバイスまたはスタックのうちの一方をアクティブとして指定し、もう一方をバックアップとして指定します。システムは、マージした設定を、クラスタを構成するデバイスに適用します。競合が存在する場合、システムはアクティブとして指定されたデバイスまたはスタックの設定を適用します。

デバイスクラスタを構成した後は、クラスタを構成する個々のデバイスのライセンスオプションを変更することはできませんが、クラスタ全体のライセンスは変更できます。詳細については、デバイスクラスタの編集を参照してください。スイッチドインターフェイスまたはルーテッドインターフェイスで設定しなければならないインターフェイス属性がある場合、システムはクラスタを確立しますが、そのステータスを保留中に設定します。ユーザが必要な属性を設定した後、システムはデバイスクラスタを完成させて、正常なステータスに設定します。

クラスタを構成するペアを確立すると、ピアデバイスまたはスタックは、[デバイス管理（Device Management）] ページで単一のデバイスとして扱われます。デバイスクラスタには、アプライアンスのリストでクラスタアイコン（）が表示されます。ユーザが行った設定変更は、いずれもクラスタを構成するデバイスの間で同期されます。[デバイス管理（Device Management）] ページには、クラスタ内のどのデバイスまたはスタックがアクティブであるかが表示されます。アクティブなデバイスまたはスタックは、手動または自動フェールオーバーが発生すると変更されます。手動フェールオーバーの詳細については、クラスタを構成するデバイスのメンテナンスモードの開始を参照してください。

デバイスクラスタの登録を防御センターから削除すると、その登録は両方のデバイスまたはスタックから削除されます。デバイスクラスタを防御センターから削除する方法は、個々の管理対象デバイスを削除する場合の方法と同じです。詳細については、デバイスの削除を参照してください。

登録が削除されたクラスタは、別の防御センターに登録できます。クラスタを構成する単一のデバイスを登録するには、クラスタ内のアクティブデバイスにリモート管理を追加してから、そのデバイスを防御センターに追加します。これにより、クラスタ全体が追加されます。クラスタ化されたスタック構成のデバイスを登録するには、いずれかのスタックのプライマリデバイスにリモート管理を追加してから、そのデバイスを防御センターに追加します。これにより、クラスタ全体が追加されます。詳細については、防御センターへのデバイスの追加を参照してください。

デバイスクラスタを確立した後、HA リンクインターフェイスの設定で説明している手順に従って、ハイアベイラビリティリンクインターフェイスを設定できます。

デバイスまたはデバイススタックでクラスタを構成するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 [追加（Add）] ドロップダウンメニューから、[クラスタの追加（Add Cluster）] を選択します。

[クラスタの追加（Add Cluster）] ポップアップウィンドウが表示されます。

手順 3 [名前（Name）] フィールドに、クラスタの名前を入力します。

英数字と特殊文字を入力できます。ただし、+、(、)、{、}、#、&、\、<、>、?、‘、および “ の文字は無効です。

手順 4 [アクティブ（Active）] で、クラスタのアクティブデバイスまたはスタックを選択します。

手順 5 [バックアップ（Backup）] で、クラスタのバックアップデバイスまたはスタックを選択します。

手順 6 [クラスタ（Cluster）] をクリックします。

デバイスクラスタが追加されます。このプロセスではシステムデータの同期が行われるため、プロセスが完了するまでに数分かかります。

デバイスクラスタの編集

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスクラスタを確立した後は、デバイスの設定を変更すると、通常はクラスタ全体の設定も変更されます。

[一般（General）] セクションのステータスアイコンにマウスのポインタを合わせると、クラスタのステータスが表示されます。また、クラスタ内のデバイスまたはスタックのどれがアクティブピアで、どれがバックアップピアであるかも確認できます。

詳細については、次の各項を参照してください。

デバイスクラスタを編集するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 設定を編集するデバイスクラスタの横にある編集アイコン（）をクリックします。

[クラスタ（Cluster）] ページが表示されます。

手順 3 [クラスタ（Cluster）] ページのセクションを使用して、単一のデバイス設定を変更する場合と同じように、クラスタ構成の設定を変更します。

クラスタ内の個々のデバイスの設定

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスクラスタを確立した後でも、クラスタ内の個々のデバイスに対して設定できる属性がいくつかあります。クラスタを構成するデバイスに変更を加える方法は、単一のデバイスに変更を加える場合の方法と同じです。

詳細については、次の各項を参照してください。

クラスタ内の個々のデバイスを設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 設定を編集するデバイスクラスタの横にある編集アイコン（）をクリックします。

[クラスタ（Cluster）] ページが表示されます。

手順 3 [デバイス（Devices）] をクリックします。

[デバイス（Devices）] ページが表示されます。

手順 4 [選択されたデバイス（Selected Device）] ドロップダウンリストから、変更するデバイスを選択します。

手順 5 [デバイス（Devices）] ページのセクションを使用して、単一のデバイスに対して変更を加える場合と同じように、クラスタを構成する個々のデバイスに変更を加えます。

クラスタ内の個々のデバイススタックの設定

ライセンス： Control

サポートされるデバイス： シリーズ 3

スタック構成のデバイスのペアでクラスタを構成した後は、編集可能なスタック属性が制限されます。クラスタを構成するスタックの名前は編集できます。また、クラスタを構成するデバイスでのインターフェイスの設定で説明している手順に従って、スタックのネットワーク構成を編集できます。

クラスタ内のスタックの名前を編集するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 設定を編集するデバイスクラスタの横にある編集アイコン（）をクリックします。

[クラスタ（Cluster）] ページが表示されます。

手順 3 [スタック（Stacks）] をクリックします。

[スタック（Stacks）] ページが表示されます。

[選択されたデバイス（Selected Device）] ドロップダウンリストから、変更するスタックを選択します。

手順 4 [一般（General）] セクションの横にある編集アイコン（）をクリックします。

[一般（General）] ポップアップウィンドウが表示されます。

手順 5 [名前（Name）] フィールドに、スタックに割り当てる新しい名前を入力します。

英数字と特殊文字を入力できます。ただし、+、(、)、{、}、#、&、\、<、>、?、‘、および “ の文字は無効です。

手順 6 [保存（Save）] をクリックします。

新しい名前が保存されます。スタック設定を適用するまでは、変更は反映されません。詳細については、デバイスへの変更の適用を参照してください。

クラスタを構成するデバイスでのインターフェイスの設定

ライセンス： Control

サポートされるデバイス： シリーズ 3

クラスタ内の個々のデバイスに、インターフェイスを設定できます。ただし、その場合には、クラスタ内のピアデバイスにも同等のインターフェイスを設定する必要があります。クラスタを構成するスタックの場合は、スタックのプライマリデバイスのそれぞれに、同じインターフェイスを設定する必要があります。仮想ルータを設定するときに、その仮想ルータを設定するスタックを選択します。詳細については、仮想ルータの設定を参照してください。

クラスタを構成するデバイスの [インターフェイス（Interfaces）] ページに、個々のデバイスのハードウェアおよびインターフェイスのビューが含まれています。詳細については、センシングインターフェイスの設定を参照してください。

クラスタを構成するデバイスにインターフェイスを設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 インターフェイスを設定するデバイスクラスタの横にある編集アイコン（）をクリックします。

[クラスタ（Cluster）] ページが表示されます。

手順 3 [インターフェイス（Interfaces）] をクリックします。

[インターフェイス（Interfaces）] ページが表示されます。

手順 4 [選択されたデバイス（Selected Device）] ドロップダウンリストから、変更するデバイスを選択します。

手順 5 個々のデバイスに設定する場合と同じようにインターフェイスを設定します。詳細については、センシングインターフェイスの設定を参照してください。

クラスタ内のアクティブピアの切り替え

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスクラスタを確立した後、アクティブなピアデバイスまたはスタックをバックアップに、またはその逆に手動で切り替えることができます。

クラスタ内のアクティブピアを切り替えるには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 アクティブピアを変更するデバイスクラスタの横にある、アクティブピア切り替えアイコン（）をクリックします。

[アクティブピアの切り替え（Switch Active Peer）] ポップアップウィンドウが表示されます。

手順 3 クラスタ内のバックアップデバイスを即時にアクティブデバイスに切り替える場合は、[はい（Yes）] をクリックします。キャンセルして [デバイス管理（Device Management）] ページに戻る場合は、[いいえ（No）] をクリックします。

クラスタを構成するデバイスのメンテナンスモードの開始

ライセンス： Control

サポートされるデバイス： シリーズ 3

クラスタを確立した後に、デバイスのメンテナンスを行うために手動でフェールオーバーをトリガーするには、クラスタを構成するデバイスまたはスタックをメンテナンスモードに切り替えます。メンテナンスモードでは、システムが管理上、管理インターフェイスを除くすべてのインターフェイスをダウンさせます。メンテナンスの完了後、デバイスを再び有効にして、通常の動作を再開できます。

（注）クラスタの両方のメンバーを同時にメンテナンスモードにしないでください。これを行うと、そのクラスタでトラフィックを検査できなくなります。

クラスタを構成するデバイスでメンテナンスモードを開始するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 クラスタを構成するデバイスのうち、メンテナンスモードを開始するデバイスの横にあるメンテナンスモード切り替えアイコン（）をクリックします。

[メンテナンスモードの確認（Confirm Maintenance Mode）] ポップアップウィンドウが表示されます。

手順 3 [はい（Yes）] をクリックしてメンテナンスモードを確認するか、[いいえ（No）] をクリックしてキャンセルします。

手順 4 メンテナンスモード切り替えアイコン（）を再度クリックすると、デバイスのメンテナンスモードが終了します。

クラスタを構成するスタック内のデバイスの交換

ライセンス： Control

サポートされるデバイス： シリーズ 3

クラスタのメンバーとなっているスタックをメンテナンスモードに切り替えた後、スタック内のセカンダリデバイスを別のデバイスと交換できます。この場合、選択できるデバイスは、現在スタックのメンバーにも、クラスタのメンバーにもなっていないデバイスのみです。新しいデバイスは、デバイススタックを確立する場合と同じガイドラインに従っている必要があります。デバイススタックの確立を参照してください。

クラスタを構成するスタック内のデバイスを交換するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 メンテナンスモードを開始するスタックメンバーの横にあるメンテナンスモード切り替えアイコン（）をクリックします。

[メンテナンスモードの確認（Confirm Maintenance Mode）] ポップアップウィンドウが表示されます。

手順 3 [はい（Yes）] をクリックしてメンテナンスモードを確認するか、[いいえ（No）] をクリックしてキャンセルします。

手順 4 デバイス交換アイコン（）をクリックします。

[デバイスの交換（Replace Device）] ポップアップウィンドウが表示されます。

手順 5 ドロップダウンリストから [交換デバイス（Replacement Device）] を選択します。

手順 6 デバイスを交換するには、[交換（Replace）] をクリックします。現在のデバイスを保持して [デバイス管理（Device Management）] ページに戻るには、[キャンセル（Cancel）] をクリックします。

手順 7 メンテナンスモード切り替えアイコン（）を再度クリックすると、スタックのメンテナンスモードが即時に終了します。

デバイス設定を再適用する必要はありません。

クラスタ状態共有の設定

ライセンス： Control

サポートされるデバイス： シリーズ 3

クラスタ状態共有を使用すると、クラスタを構成するデバイス間、またはクラスタを構成するスタック間で、可能な限り状態を同期できます。したがって、いずれか一方のデバイスまたはスタックで障害が発生しても、もう一方のピアがトラフィックフローを中断せずに引き継ぐことができます。状態共有を使用しない場合、以下の機能が適切にフェールオーバーしない可能性があります。

厳密な TCP の適用（Strict TCP enforcement）
単方向アクセスコントロールルール（Unidirectional access control rules）
ブロッキングの永続性（Blocking persistence）

ただし、状態共有を有効にすると、システムパフォーマンスが低下することに注意してください。

クラスタ化された状態共有を設定するには、あらかじめクラスタ内の両方のデバイスまたはプライマリスタックデバイスで HA リンクインターフェイスを設定し、有効にする必要があります。82xx ファミリおよび 83xx ファミリには 10 G の HA リンクが必要ですが、他のモデルのデバイスには 1 G の HA リンクで十分です。詳細については、HA リンクインターフェイスの設定を参照してください。

（注）クラスタを構成するデバイスでフェールオーバーが発生した場合は、アクティブデバイス上の既存の SSL 暗号化セッションがすべて終了されます。クラスタ状態共有を設定しているとしても、これらのセッションをバックアップデバイスで再ネゴシエートする必要があります。SSL セッションを確立しているサーバがセッションの再利用をサポートしている場合でも、バックアップデバイスに SSL セッション ID がないと、セッションを再ネゴシエートできません。詳細については、デバイスのクラスタリングを参照してください。

厳密な TCP の適用

ドメインに対して厳密な TCP 適用を有効にすると、システムは TCP セッションで正常ではないパケットをすべてドロップします。たとえば、未確立の接続で受信した SYN 以外のパケットはドロップされます。状態共有が有効な場合、厳密な TCP 適用が有効にされているとしても、クラスタ内のデバイスは、フェールオーバー後に接続を再び確立することなく TCP セッションを続行できます。厳密な TCP 適用は、インラインセット、仮想ルータ、および仮想スイッチで有効にすることができます。

単方向アクセスコントロールルール

単方向アクセスコントロールルールを設定している場合、システムがフェールオーバーの後に接続ミッドストリームを再評価する際に、ネットワークトラフィックが意図されたものとは異なるアクセスコントロールルールに一致する可能性があります。たとえば、ポリシーに以下の 2 つのアクセスコントロールルールが含まれているとします。

Rule 1: Allow from 192.168.1.0/24 to 192.168.2.0/24

Rule 2: Block all

状態共有が有効でない場合、フェールオーバーの後に 192.168.1.1 ～ 192.168.2.1 の許可される接続がまだアクティブになっているために、次のパケットが応答パケットとしてみなされると、システムは接続を拒否します。状態共有が有効であれば、ミッドストリームピックアップが既存の接続に一致することになり、接続が引き続き許可されます。

ブロッキングの永続性

アクセスコントロールルールやその他の要素に基づいて、最初のパケットで多数の接続がブロックされるとしても、システムが接続のブロッキングを決定する前に、いくつかのパケットを許可する場合があります。状態共有が有効な場合、システムはピアデバイスまたはスタックでも即時に接続をブロックします。

クラスタ状態共有を設定する際には、以下のオプションを設定できます。

[有効（Enabled）]

状態共有を有効にするには、このチェックボックスをクリックします。チェックボックスをクリアすると、状態共有が無効になります。

最短フロー寿命（Minimum Flow Lifetime）

最小セッション時間（ミリ秒）を指定します。この時間を経過すると、システムがセッションの同期メッセージを送信します。0 ～ 65535 の整数を使用できます。この最小フロー有効期間に達しないセッションは、いずれも同期されず、接続のパケットを受信した時点でのみ、同期が行われます。

最短同期間隔インターバル（Interval

セッションの更新メッセージ最短間隔（ミリ秒）を指定します。0 ～ 65535 の整数を使用できます。最短同期間隔を設定することで、特定の接続が最短有効期間に達した後、その接続に対して、設定された値より頻繁に同期メッセージが送信されないようにします。

HTTP URL の最大文字数（Maximum HTTP URL Length）

クラスタを構成するデバイス間で同期する、URL の最大文字数を指定します。0 ～ 225 の整数を使用できます。

（注）シスコでは、展開で値を変更する正当な理由がない限り、デフォルト値を使用することを推奨しています。値を小さくすると、クラスタを構成するピアの即時対応性が向上し、値を大きくすると、パフォーマンスが向上します。

クラスタ状態共有を設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 クラスタ内のデバイスごとに HA リンクインターフェイスを設定します。

詳細については、HA リンクインターフェイスの設定を参照してください。

手順 2 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 3 編集するデバイスクラスタの横にある編集アイコン（）をクリックします。

[クラスタ（Cluster）] ページが表示されます。

手順 4 [状態共有（State Sharing）] セクションの横にある編集アイコン（）をクリックします。

[状態共有（State Sharing）] ポップアップウィンドウが表示されます。

手順 5 このセクションですでに説明したように、状態共有を設定します。

手順 6 [OK] をクリックします。

変更が保存されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

クラスタ状態共有のトラブルシューティング

ライセンス： Control

サポートされるデバイス： シリーズ 3

状態共有を有効にした後は、[クラスタ（Cluster）] ページの [状態共有（State Sharing）] セクションで、設定に関する以下の情報を確認できます。

使用されている HA リンクインターフェイスおよび現在のリンクステート
問題のトラブルシューティングに使用できる、同期に関する詳細な統計情報

状態共有の統計情報は、主に、クラスタで送受信された同期トラフィックのさまざまな側面に対するカウンタです。その他に、いくつかのエラーカウンタもあります。さらに、クラスタ内のデバイスごとの最新システムログも表示できます。

各デバイスに関して確認できる統計情報、およびそれらの情報を使用してクラスタ状態共有設定のトラブルシューティングを行う方法の詳細については、以下の項を参照してください。

受信メッセージ（ユニキャスト）（Messages Received (Unicast)）

受信メッセージは、クラスタを構成するピアから受信した、クラスタ同期メッセージの数です。

値は、ピアが送信したメッセージ数と同等になっているはずです。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。トラフィックが停止すると、値は安定し、受信したメッセージ数が送信されたメッセージ数と一致します。

トラブルシューティングを行う場合は、受信したメッセージ数と送信されたメッセージ数の両方を確認して増加率を比較し、両方の値が同等であることを確認します。各ピアでの送信数の値は、対応するピアでの受信数の値とほぼ同じ率で増えていなければなりません。

受信したメッセージの数が増加しなくなった場合、または増加率がピアから送信されたメッセージ数に追いついていない場合は、サポートに連絡してください。

受信パケット数（Packets received）

システムはオーバーヘッドを低減させるために、複数のメッセージを単一のパケットにまとめます。[受信パケット数（Packets Received）] カウンタは、デバイスが受信したこれらのデータパケットとその他の制御パケットの数を表示します。

値は、ピアデバイスが送信したパケット数と同等になっているはずです。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。受信メッセージの数は、ピアが送信したメッセージ数と同等で、同じ率で増加していなければなりません。したがって、受信したパケットの数も同じ動作となるはずです。

トラブルシューティングを行う場合は、受信したパケットと送信されたメッセージの両方を確認して増加率を比較し、値が同じ率で増加していることを確認します。クラスタを構成するピアでの送信の値が増えている場合、デバイスでの受信の値も同じ率で増えているはずです。

受信したパケットの数が増加しなくなった場合、または増加率がピアから送信されたメッセージ数に追いついていない場合は、サポートに連絡してください。

合計受信バイト数（Total Bytes Received）

ピアで受信されたパケットの合計バイト数です。

値は、もう一方のピアが送信したバイト数と同等になっているはずです。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。

トラブルシューティングを行う場合は、受信した合計バイト数と送信されたメッセージ数の両方を確認して増加率を比較し、両方の値が同じ率で増えていることを確認します。クラスタを構成するピアでの送信の値が増えている場合、デバイスでの受信の値も同じ率で増えているはずです。

受信バイト数が増加しなくなった場合、または増加率がピアから送信されたメッセージ数に追いついていない場合は、サポートに連絡してください。

受信プロトコルバイト数（Protocol Bytes Received）

受信したプロトコルオーバーヘッドのバイト数です。この数には、セッション状態同期メッセージのペイロードを除くすべてが含まれます。

値は、ピアが送信したバイト数と同等になっているはずです。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。

トラブルシューティングを行う場合は、受信した合計バイト数を確認してプロトコルデータと比較し、実際の状態データがどれだけ共有されているのかを調べます。プロトコルデータが送信されるデータの大部分を占めている場合は、最小同期間隔を調整できます。

受信したプロトコルバイト数が、受信した合計バイト数と同等の割合で増えている場合は、サポートに連絡してください。受信したプロトコルバイト数が受信した合計バイト数に占める割合は、最小限でなければなりません。

送信メッセージ（Messages Sent）

送信メッセージは、クラスタを構成するピアに送信した、クラスタ同期メッセージの数です。

このデータは、受信メッセージ数との比較で役立ちます。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。

トラブルシューティングを行う場合は、受信したメッセージ数と送信されたメッセージ数の両方を確認して増加率を比較し、両方の値が同等であることを確認します。

送信したメッセージ数が、受信した合計バイト数と同等の割合で増えている場合は、サポートに連絡してください。

送信バイト数（Bytes Sent）

送信バイト数は、ピアに送信したクラスタ同期メッセージの合計送信バイト数です。

このデータは、受信メッセージ数との比較で役立ちます。アクティブに使用されている間は、値が一致しない場合もありますが、その差は小さいはずです。ピアで受信されたバイト数は、この値と同等であり、それより大きい値にはなっていないはずです。

受信した合計バイト数が、送信されたバイト数と同じような比率で増えていない場合は、サポートに連絡してください。

Tx Errors

Tx エラーは、システムがクラスタを構成するピアに送信するメッセージ用にスペースを割り当てるときに発生した、メモリ割り当ての失敗数です。

この値は両方のピアで常にゼロでなければなりません。この数がゼロでない場合、あるいは着実に増加している場合（これは、システムにメモリ割り当てが不可能なエラーが発生していることを示します）は、サポートに連絡してください。

Tx オーバーラン（Tx Overruns）

システムがメッセージをトランジットキューに入れようとして失敗した回数です。

この値は両方のピアで常にゼロでなければなりません。値がゼロでない場合、あるいは着実に増加している場合、これは、システムが HA リンクの間で過剰なデータを共有していて、データの送信に時間がかかりすぎていることを示します。

HA リンク MTU がデフォルト値（9918 または 9922）未満に設定されている場合は、値を増やす必要があります。最小フロー有効期間と最小同期間隔の設定を変更することで、HA リンク間で共有されるデータ量を減らし、この数の増加を防ぐことができます。

この値がゼロにならない場合、または増加し続けている場合は、サポートに連絡してください。

最近のログ（Recent Logs）

システムログには、最新のクラスタ同期メッセージが表示されます。ログには、ERROR または WARN メッセージが示されていてはなりません。ログの内容は、常にピア間で同等でなければなりません（接続ソケットの数が同じであるなど）。

ただし、場合によっては、対照的なデータが表示されることもあります。たとえば、一方のピアがもう一方のピアから接続を受信したことをレポートしている場合、それぞれのログで参照される IP アドレスは異なります。このログから、クラスタ状態共有接続を包括的に理解し、接続で発生したすべてのエラーを確認できます。

ログに、ERROR または WARN メッセージ、あるいは単なる通知目的ではないようなメッセージが示されている場合は、サポートに連絡してください。

クラスタ状態共有に関する統計情報を表示するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 編集するデバイスクラスタの横にある編集アイコン（）をクリックします。

デバイスクラスタの [クラスタ（Cluster）] ページが表示されます。

手順 3 [状態共有（State Sharing）] セクションで、統計情報表示アイコン（）をクリックします。

[状態共有統計（State Sharing Statistics）] ポップアップウィンドウが表示されます。

手順 4 必要に応じて、[デバイス（Device）] を選択して、クラスタがデバイススタックで構成されているかどうかを確認します。

手順 5 必要に応じて、[更新（Refresh）] をクリックして統計情報を更新します。

手順 6 必要に応じて、[表示（View）] をクリックして、クラスタを構成する各デバイスの最新データログを表示します。

クラスタを構成するデバイスの分離

ライセンス： Control

サポートされるデバイス： シリーズ 3

デバイスクラスタリングを解除しても、アクティブデバイスまたはスタックは、完全な展開機能を維持します。バックアップデバイスまたはスタックは、インターフェイス設定を失い、アクティブデバイスまたはスタックにフェールオーバーします。ただし、インターフェイス設定をアクティブに維持することを選択すると、バックアップデバイスまたはスタックは通常の動作を再開します。クラスタを解除すると、バックアップデバイスのパッシブインターフェイス設定は必ず削除されます。メンテナンスモードのデバイスは、クラスタが解除された時点で通常の動作を再開します。

クラスタを構成するデバイスを分離するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 解除するデバイスクラスタの横にあるクラスタ解除アイコン（）をクリックします。

[解除の確認（Confirm Break）] ポップアップウィンドウが表示されます。

手順 3 必要に応じて、バックアップデバイスまたはスタックのインターフェイス設定を削除するチェックボックスをオンにします。この場合、管理インターフェイスを除くすべてのインターフェイスが管理上、ダウン状態になります。

手順 4 [Yes] をクリックします。

デバイスクラスタが解除されます。

スタック構成のデバイスの管理

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、ASM3D9900

スタック構成に含まれるデバイスを使用して、ネットワークセグメントで検査されるトラフィックの量を増やすことができます。それぞれのスタック構成では、スタックに含まれるすべてのデバイスが同じハードウェアを使用していなければなりません。ただし、スタックに 3D9900 が含まれない場合、マルウェアストレージパックがインストールされたデバイスがなくても、一部またはすべてのデバイスにマルウェアストレージパックがインストールされていても構いません。また、以下のスタック構成に従って、同じデバイスファミリのデバイスを使用する必要があります。

シリーズ 2 および 81xx ファミリの場合：

2 つの 3D8140
2 つの 3D9900

82xx ファミリの場合：

最大 4 つの 3D8250
1 つの 3D8260（プライマリデバイスおよびセカンダリデバイス）
1 つの 3D8270（容量 40 G のプライマリデバイスと 2 つのセカンダリデバイス）
1 つの 3D8290（容量 40 G のプライマリデバイスと 3 つのセカンダリデバイス）

83xx ファミリの場合：

最大 4 つの 3D8350
1 つの 3D8360（容量 40 G のプライマリデバイスとセカンダリデバイス）
1 つの 3D8370（容量 40 G のプライマリデバイスと 2 つのセカンダリデバイス）
1 つの 3D8390（容量 40 G のプライマリデバイスと 3 つのセカンダリデバイス）
最大 4 つの AMP8350
1 つの AMP8360（容量 40 G のプライマリデバイスとセカンダリデバイス）
1 つの AMP8370（容量 40 G のプライマリデバイスと 2 つのセカンダリデバイス）
1 つの AMP8390（容量 40 G のプライマリデバイスと 3 つのセカンダリデバイス）

スタック構成の詳細については、『 FireSIGHT システム Installation Guide 』を参照してください。マルウェアストレージパックの詳細については、『 FireSIGHT システム Malware Storage Pack Guide 』を参照してください。

注意

スタック構成を確立するときに、各スタック構成のデバイスのリソースを 1 つの共有構成に統合します。

1 つのデバイスを プライマリ デバイスとして指定し、そのデバイスにスタック全体のインターフェイスを設定します。その他のデバイスは セカンダリ デバイスとして指定します。セカンダリデバイスは、現在トラフィックを検知していないデバイスで、かつインターフェイス上にリンクがないデバイスでなければなりません。

単一のデバイスを設定する場合と同じように、プライマリデバイスを分析対象のネットワークセグメントに接続します。詳細については、センシングインターフェイスの設定を参照してください。『 FireSIGHT システム Installation Guide 』で説明されている、スタック構成のデバイスの配線手順に従って、セカンダリデバイスをプライマリデバイスに接続します。

スタック構成に含まれるすべてのデバイスは、同じハードウェアを使用し、同じソフトウェアバージョンを実行し、同じライセンスが適用されている必要があります。デバイスが NAT ポリシーのターゲットとなっている場合は、プライマリデバイスとセカンダリデバイスの両方に同じ NAT ポリシーを適用する必要があります。詳細については、NAT ポリシーの管理を参照してください。更新は、防御センターからスタック全体に対して適用する必要があります。スタックに含まれる 1 つ以上のデバイスで更新に失敗した場合、スタックはバージョンが混在した状態になります。バージョンが混在した状態のスタックには、ポリシーを適用することも、更新を適用することもできません。この状態を修正するには、スタックを解除するか、バージョンが異なる個々のデバイスを削除し、それらのデバイスを個別に更新してからスタック構成を再確立します。デバイスをスタックに入れた後は、ライセンスの変更は、スタック全体に対してのみ行うことができます。

スタック構成を確立した後は、スタックに含まれるすべてのデバイスが単一の共有構成のように機能します。プライマリデバイスで障害が発生した場合、トラフィックはセカンダリデバイスに渡されません。この場合、セカンダリデバイスでスタックハートビートが失敗したことを通知する、ヘルスアラートが生成されます。詳細については、ヘルスモニタリングの使用を参照してください。

スタック内のセカンダリデバイスで障害が発生すると、設定可能なバイパスが有効になっているインラインセットがプライマリデバイス上でバイパスモードになります。それ以外のすべての設定では、システムは、失敗したセカンダリデバイスへ継続してトラフィックをロードバランスします。いずれの場合も、リンクが失われたことを示すためのヘルスアラートが生成されます。

デバイススタックは展開内で単一のデバイスと同じように使用できますが、いくつかの例外があります。クラスタを構成するデバイスが存在する場合、デバイスクラスタや、クラスタペアとなっているデバイスをスタックに含めることはできません。詳細については、デバイスのクラスタリングを参照してください。また、デバイススタックに NAT を設定することもできません。

（注）スタック構成のデバイスからのイベントデータを、eStreamer を使用して外部クライアントアプリケーションにストリームする場合は、各デバイスからデータを収集して、各デバイスが同じように設定されていることを確認します。eStreamer 設定は、スタック構成のデバイス間で自動的に同期されません。

詳細については、次の各項を参照してください。

デバイススタックの確立

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

ネットワークセグメントで検査されるトラフィック量を増やすには、ファイバベースの 3D9900（2 つ）、3D8140 デバイス（2 つ）、3D8250（最大 4 つ）、3D8260、3D8270、3D8290、3D8350（最大 4 つ）、3D8360、3D8370、3D8390、AMP8350（最大 4 つ）、AMP8360、AMP8370、または AMP8390 でスタックを構成し、それらのリソースを結合して単一の共有構成で使用します。始める前に、次の手順を実行する必要があります。

プライマリデバイスとして指定するユニットを決定します。
プライマリとセカンダリの関係を指定する前に、適切にユニット間の配線を行います。配線については、『 FireSIGHT システム Installation Guide 』を参照してください。

（注）クラスタを構成するデバイスが存在する場合、デバイスクラスタや、クラスタペアとなっているデバイスをスタックに含めることはできません。ただし、デバイススタックでクラスタを構成することはできます。詳細については、デバイスのクラスタリングを参照してください。

デバイススタックを確立すると、これらのデバイスは、[デバイス管理（Device Management）] ページで単一のデバイスとして扱われます。デバイススタックには、アプライアンスのリストでスタックアイコン（）が表示されます。

デバイススタックの登録を防御センターから削除すると、その登録は両方のデバイスから削除されます。スタックに含まれるデバイスを防御センターから削除する方法は、単一の管理対象デバイスを削除する場合と同じです。削除したスタックは、別の防御センターに登録できます。新しい防御センターに、スタック構成のデバイスのいずれか 1 つを登録するだけで、スタック全体が表示されるようになります。詳細については、デバイスの削除と防御センターへのデバイスの追加を参照してください。

デバイススタックを確立した後は、スタックを解除して再確立しない限り、デバイスのプライマリまたはセカンダリとしての役割を変更することはできません。ただし、次の作業を実行できます。

スタックで許容される最大 4 つの 3D8250 になるまで、2 つまたは 3 つの 3D8250、3D8260、または 3D8270 からなる既存のスタックにセカンダリデバイスを追加します。
スタックで許容される最大 4 つの 3D8350 になるまで、2 つまたは 3 つの 3D8350、3D8360、または 3D8370 からなる既存のスタックにセカンダリデバイスを追加します。
スタックで許容される最大 4 つの AMP8350 になるまで、2 つまたは 3 つの AMP8350、AMP8360、または AMP8370 からなる既存のスタックにセカンダリデバイスを追加します。

デバイスを追加する場合、スタックのプライマリデバイスに、追加のデバイスを配線するために必要なスタック NetMods がなければなりません。たとえば、プライマリに単一のスタック NetMod しかない 3D8260 を使用している場合、このスタックに別のセカンダリデバイスを追加することはできません。セカンダリデバイスを既存のスタックに追加する方法は、最初にスタック構成のデバイス設定を確立したときの方法と同じです。

スタック構成のデバイス設定を確立するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 [追加（Add）] ドロップダウンメニューから、[スタックの追加（Add Stack）] を選択します。

[スタックの追加（Add Stack）] ポップアップウィンドウが表示されます。

手順 3 [プライマリ（Primary）] ドロップダウンリストから、プライマリデバイスとして運用するために配線したデバイスを選択します。

（注）プライマリデバイスとして配線されていないデバイスを編集すると、以降の手順を実行できなくなります。

手順 4 [名前（Name）] フィールドに、スタックの名前を入力します。英数字と特殊文字を入力できます。ただし、+、(、)、{、}、#、&、\、<、>、?、‘、および “ の文字は無効です。

手順 5 [追加（Add）] をクリックして、スタックに含めるデバイスを選択します。

[セカンダリ接続の追加（Add Secondary Connection）] ポップアップウィンドウが表示されます。以下の図に、3D8140 のプライマリデバイスの正面図を示します。

手順 6 [プライマリデバイスのスロット（Slot on Primary Device）] ドロップダウンリストから、プライマリデバイスをセカンダリデバイスに接続するスタック構成ネットワークモジュールを選択します。

手順 7 [セカンダリデバイス（Secondary Device）] ドロップダウンリストから、セカンダリデバイスとして運用するために配線したデバイスを選択します。

（注）スタックに含まれるすべてのデバイスは、同じハードウェアモデルでなければなりません（たとえば、3D9900 と 3D9900、3D8140 と 3D8140 など）。82xx ファミリおよび 83xx ファミリでは、合計 4 つのデバイス（1 つのプライマリデバイスと最大 3 つのセカンダリデバイス）でスタックを構成できます。

手順 8 [セカンダリデバイスのスロット（Slot on Secondary Device）] ドロップダウンリストから、セカンダリデバイスをプライマリデバイスに接続するスタック構成ネットワークモジュールを選択します。

手順 9 [追加（Add）] をクリックします。

[スタックの追加（Add Stack）] ウィンドウが再表示されて、新しいセカンダリデバイスがリストされます。

手順 10 （任意）3D8250 の既存のスタック、3D8260、3D8270、3D8350 の既存のスタック、3D8360、3D8370、AMP8350 の既存のスタック、AMP8360、または AMP8370 にセカンダリデバイスを追加するには、ステップ 5 から 9 を繰り返します。

手順 11 [スタック（Stack）] をクリックします。

デバイススタックが確立されるか、セカンダリデバイスが追加されます。このプロセスではシステムデータの同期が行われるため、プロセスが完了するまでに数分かかることに注意してください。

デバイススタックの編集

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

デバイススタックを設定した後は、デバイスの設定を変更すると、通常はスタック全体の設定も変更されます。単一のデバイスの [デバイス（Device）] ページで設定を変更する場合と同じように、アプライアンスエディタの [スタック（Stack）] ページで、スタック設定に変更を加えることができます。

このページでは、スタックの表示名の変更、ライセンスの有効化と無効化、システムポリシーと正常性ポリシーの表示、自動アプリケーションバイパスの設定、高速パスルールの設定を行うことができます。

詳細については、次の各項を参照してください。

スタック構成の設定を編集するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 設定を編集する、スタック構成のデバイスの横にある編集アイコン（）をクリックします。

そのデバイスの [スタック（Stack）] ページが表示されます。

手順 3 [スタック（Stack）] ページのセクションを使用して、単一のデバイス設定を変更する場合と同じように、スタック構成の設定を変更します。

スタックに含まれる個々のデバイスの設定

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

デバイススタックを確立した後でも、スタック内の個々のデバイスに対して設定できる属性がいくつかあります。アプライアンスエディタの [デバイス（Devices）] ページで、単一デバイスの [デバイス（Device）] ページの場合と同じように、スタックに含まれる個々のデバイスに変更を加えることができます。

このページでは、デバイスの表示名の変更、システム設定の表示、デバイスのシャットダウンまたは再起動、ヘルス情報の表示、およびデバイス管理設定の編集を行うことができます。

詳細については、次の各項を参照してください。

スタックに含まれる個々のデバイスを設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 設定を編集する、スタック構成のデバイスの横にある編集アイコン（）をクリックします。

そのデバイスの [スタック（Stack）] ページが表示されます。

手順 3 [デバイス（Devices）] をクリックします。

[デバイス（Devices）] ページが表示されます。

手順 4 [選択されたデバイス（Selected Device）] ドロップダウンリストから、変更するデバイスを選択します。

手順 5 [デバイス（Devices）] ページのセクションを使用して、単一のデバイスに対して変更を加える場合と同じように、スタック構成の個々のデバイスに変更を加えます。

スタック構成のデバイスでのインターフェイスの設定

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

管理インターフェイスを除き、スタック構成のデバイスインターフェイスを設定するには、スタックのプライマリデバイスの [インターフェイス（Interfaces）] ページを使用します。管理インターフェイスを設定する場合は、スタックに含まれる任意のデバイスを選択できます。詳細については、管理インターフェイスの構成を参照してください。

シリーズ 3 のスタック構成のデバイスの [インターフェイス（Interfaces）] ページに、個々のデバイスのハードウェアおよびインターフェイスのビューがあります。3D9900 の [インターフェイス（Interfaces）] ページには、これらのビューは含まれていません。詳細については、センシングインターフェイスの設定を参照してください。

スタック構成のデバイスにインターフェイスを設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 インターフェイスを設定する、スタック構成のデバイスの横にある編集アイコン（）をクリックします。

そのデバイスの [スタック（Stack）] ページが表示されます。

手順 3 [インターフェイス（Interfaces）] をクリックします。

[インターフェイス（Interfaces）] ページが表示されます。

手順 4 [選択されたデバイス（Selected Device）] ドロップダウンリストから、変更するデバイスを選択します。

スタック構成のデバイスの分離

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

デバイスのスタック構成を使用する必要がなくなった場合、スタックを解除してデバイスを分離できます。

スタック構成のデバイスを分離するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 解除するデバイススタックの横にあるスタック解除アイコン（）をクリックします。

[解除の確認（Confirm Break）] ポップアップウィンドウが表示されます。

ヒント スタックを解除せずに、3 つ以上の 3D8250 デバイスで構成されるスタックからセカンダリデバイスを削除するには、スタックから削除アイコン（）をクリックします。セカンダリデバイスを削除すると、システムがそのデバイス抜きで動作するスタックを再設定する間、トラフィックインスペクション、トラフィックフロー、またはリンクステートが短時間中断されます。

手順 3 [Yes] をクリックします。

デバイススタックが解除されます。

スタック内のデバイスの交換

ライセンス： 任意（Any）

サポートされるデバイス： 3D8140、3D8200 ファミリ、3D8300 ファミリ、AMP8300 ファミリ、3D9900

スタック構成のデバイスを交換するには、スタックを解除する必要があります。

警告防御センターがデバイスと通信できない場合に、スタックを分離して防御センターのデバイスの登録を解除するには、デバイスに接続して CLI コマンドを使用する必要があります。詳細については、コンフィギュレーションコマンドの stacking disable CLI コマンドおよび delete CLI コマンドを参照してください。

デバイススタック内のデバイスを交換するには、以下を行います。

手順 1 デバイスを含むスタックを選択し、そのスタックを交換して解除します。詳細については、スタック構成のデバイスの分離を参照してください。

手順 2 防御センターからデバイスを登録解除します。詳細については、ハイアベイラビリティの無効化とデバイスの登録解除を参照してください。

手順 3 交換デバイスを防御センターに登録します。詳細については、防御センターへのデバイスの追加を参照してください。

手順 4 交換デバイスを含むデバイススタックを作成します。詳細については、デバイススタックの確立を参照してください。

デバイス設定の編集

ライセンス： 任意（Any）

アプライアンスエディタの [デバイス（Device）] ページには、詳細なデバイス設定および情報が表示されます。また、デバイス設定の一部（ライセンスの有効化と無効化、デバイスのシャットダウンと再起動、管理の変更、高速パスルールの設定など）を変更することもできます。

詳細については、次の各項を参照してください。

一般的なデバイス設定の編集

ライセンス： 任意（Any）

[デバイス（Device）] タブの [一般（General）] セクションには、以下の変更可能な管理対象デバイスの設定が表示されます。

[名前（Name）]

管理対象デバイスに割り当てる名前。

パケット転送（Transfer Packets）

パケットデータを防御センターに転送してイベントと共に保存するかどうかを指定します。

一般的なデバイス設定の編集方法：

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 割り当てられた名前を編集するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] ページが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Device）] ページが表示されます。

ヒント スタック構成のデバイスの場合、アプライアンスエディタの [スタック（Stack）] ページで、スタックでデバイスに割り当てられている名前を編集します。アプライアンスエディタの [デバイス（Devices）] ページでは、個々のデバイスに割り当てられているデバイス名を編集できます。

手順 4 [一般（General）] セクションの横にある編集アイコン（）をクリックします。

[一般（General）] ポップアップウィンドウが表示されます。

手順 5 [名前（Name）] フィールドに、デバイスに割り当てる新しい名前を入力します。英数字と特殊文字を入力できます。ただし、+、(、)、{、}、#、&、\、<、>、?、‘、および “ の文字は無効です。

手順 6 パケットデータをイベントと一緒に防御センターに保存できるようにするには、[パケットの転送（Transfer Packets）] チェックボックスをオンにします。管理対象デバイスがイベントと一緒にパケットデータを送信できないようにするには、このチェックボックスをオフにします。

手順 7 [保存（Save）] をクリックします。

これにより、変更内容が保存されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

デバイスライセンスの有効化と無効化

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3、仮想、X-シリーズ、ASA FirePOWER

防御センターで使用可能なライセンスがある場合、デバイスでそのライセンスを有効にすることができます。次の点に注意してください。

Control、Malware、および URL フィルタリング（URL Filtering）ライセンスには、Protection ライセンスが必要です。
VPN ライセンスは、仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、または ASA FirePOWER デバイスで有効にすることはできません。
Control ライセンスを仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、または ASA FirePOWER デバイスで有効にすることはできますが、これらのデバイスでは、高速パスルール、スイッチング、ルーティング、スタック構成、クラスタリングを サポートしていません 。Blue Coat X-Series 向け Cisco NGIPS は、アプリケーションやユーザの制御もサポートしていません。
クラスタを構成するデバイスでのライセンス設定を変更することはできません。
シリーズ 2 デバイスには、セキュリティインテリジェンスフィルタリングを除く Protection 機能が自動的に有効になるため、これらの機能を無効にすることも、シリーズ 2 デバイスに他のライセンスを適用することもできません。

詳細については、FireSIGHT システムのライセンスを参照してください。

デバイスライセンスを有効または無効にするには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 ライセンスを有効または無効にするデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

ヒント スタック構成のデバイスの場合、アプライアンスエディタの [スタック（Stack）] ページで、スタックに対してラインセンスを有効または無効にします。

手順 4 [ライセンス（License）] セクションの横にある編集アイコン（）をクリックします。

[ライセンス（License）] ポップアップウィンドウが表示されます。

手順 5 次の選択肢があります。

ライセンスを有効にする場合は、ライセンス名の横にあるチェックボックスをオンにします。
ライセンスを無効にする場合は、ライセンス名の横にあるチェックボックスをオフにします。

手順 6 [保存（Save）] をクリックします。

デバイスシステム設定の編集

ライセンス： 任意（Any）

[デバイス（Device）] タブの [システム（System）] セクションには、次の表に示すように、システム情報の読み取り専用テーブルが表示されます。

表 4-2 [システム（System）] セクションテーブルのフィールド
フィールド	説明
モデル（Model）	管理対象デバイスのモデル名と番号。
シリアル（Serial）	管理対象デバイスのシャーシのシリアル番号。
時刻（Time）	デバイスの現在のシステム時刻。
バージョン（Version）	管理対象デバイスに現在インストールされているソフトウェアのバージョン。
ポリシー（Policy）	管理対象デバイスに現在適用されているシステムポリシーへのリンク。

デバイスをシャットダウンまたは再起動することもできます。

（注） FireSIGHT システムユーザインターフェイスが設定されている X-シリーズまたは ASA FirePOWER デバイスをシャットダウンしたり、再起動したりすることはできません。それぞれのデバイスをシャットダウンする方法の詳細については、『Blue Coat X-Series 向け Cisco NGIPS Installation Guide』または ASA のドキュメンテーションを参照してください。

管理対象デバイスをシャットダウンおよび再起動するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 再起動するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

ヒント スタック構成のデバイスの場合、アプライアンスエディタの [デバイス（Devices）] ページで、個々のデバイスをシャットダウンまたは再起動します。

手順 4 デバイスをシャットダウンするには、デバイスのシャットダウンアイコン（）をクリックします。

手順 5 プロンプトが表示されたら、デバイスをシャットダウンすることを確認します。

[デバイス管理（Device Management）] ページに戻ります。

手順 6 デバイスを再起動するには、デバイスの再起動アイコン（）をクリックします。

手順 7 プロンプトが表示されたら、デバイスを再起動することを確認します。

デバイスが再起動されます。

デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

デバイスのヘルスの確認

ライセンス： 任意（Any）

[デバイス（Device）] タブの [状況（Health）] セクションには、ヘルス関連の情報が表示されます。管理対象デバイスの現在のヘルスステータスを示すアイコンを確認できます。また、アイコンをクリックして、そのデバイスの [ヘルスモニタ（Health Monitor）] ページに移動することもできます。詳細については、ヘルスモニタステータスの解釈を参照してください。

[ポリシー（Policy）] リンクをクリックすると、現在適用されている正常性ポリシーの読み取り専用バージョンが表示されます。詳細については、正常性ポリシーの編集を参照してください。

また、[ブラックリスト（Blacklist）] リンクをクリックすると、[動作状況ブラックリスト（Health Blacklist）] ページが表示されます。このページで、ヘルスブラックリストモジュールを有効または無効にすることができます。詳細については、個別の正常性ポリシーモジュールのブラックリストへの登録を参照してください。

デバイス管理設定の編集

ライセンス： 任意（Any）

[デバイス（Device）] タブの [管理（Management）] セクションには、以下のリモート管理情報が表示されます。

ホスト

デバイスの現在の管理ホスト名または IP アドレス。この設定を使用して、管理ホスト名を指定したり、仮想 IP アドレスを再生成したりすることができます。

（注）場合によっては、（デバイスの LCD パネルまたは CLI などを使用して）別の方法でデバイスのホスト名や IP アドレスを編集する場合、次の手順を実行して、管理用の防御センターでホスト名や IP アドレスを手動で更新する必要があります。

ステータス（Status）

防御センターと管理対象デバイス間の通信チャネルのステータスを指定します。

デバイス管理オプションを変更する方法：

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 管理オプションを変更するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

ヒント スタック構成のデバイスの場合、アプライアンスエディタの [デバイス（Devices）] ページで、個々のデバイスの管理オプションを変更します。

手順 4 [管理（Management）] セクションの横にある編集アイコン（）をクリックします。

[管理（Management）] ポップアップウィンドウが表示されます。

手順 5 [ホスト（Host）] フィールドに、管理ホストの名前または IP アドレスを入力します。

手順 6 [保存（Save）] をクリックします。

高度なデバイス設定について

ライセンス： 任意（Any）

サポートされるデバイス： 機能に応じて異なる

[デバイス（Device）] タブの [詳細設定（Advanced）] セクションには、次の表に示すように、構成時の詳細設定が表示されます。

表 4-3 [詳細設定（Advanced）] セクションテーブルのフィールド
フィールド	説明	サポートされるデバイス
アプリケーションバイパス（Application Bypass）	デバイスでの自動アプリケーションバイパスの状態。	シリーズ 2、シリーズ 3、仮想
バイパスしきい値（Bypass Threshold）	自動アプリケーションバイパスのしきい値（ミリ秒）。	シリーズ 2、シリーズ 3、仮想
ローカルルータトラフィックの検査（Inspect Local Router Traffic）	デバイスで、ルーテッドインターフェイスで受信した自己を宛先とするトラフィック（ICMP、DHCP、および OSPF トラフィックなど）を検査するかどうかを示します。	シリーズ 3
高速パスルール（Fast-Path Rules）	デバイス上に作成されている高速パスルールの数。	8000 シリーズ、3D9900

上記の設定は、いずれも [詳細設定（Advanced）] セクションを使用して編集できます。詳細については、次の各項を参照してください。

自動アプリケーションバイパス

ライセンス： 任意（Any）

自動アプリケーションバイパス（AAB）機能は、インターフェイスでのパケット処理時間に制限を設け、この時間を超過した場合、パケットに検出のバイパスを許可します。この機能は任意の展開で使用できますが、インライン展開ではとりわけ価値があります。

パケット処理の遅延は、ネットワークで許容できるパケットレイテンシとバランスを取って調整します。Snort 内での不具合やデバイスの誤った設定が原因で、トラフィックの処理時間が指定のしきい値を超えると、AAB により、その障害発生から 10 分以内に Snort が再起動され、トラブルシューティングデータが生成されます。このデータを分析することで、過剰な処理時間の原因を調査できます。

バージョン 5.4.1 以降での AAB オプションのデフォルト動作は、デバイスによって以下のように異なります。

シリーズ 3：off
シリーズ 2 および仮想：オン
ASA FirePOWER：未サポート
X-シリーズ：未サポート

5.3 より前のバージョンからアップグレードする場合は、既存の設定が保持されます。このオプションが選択されている場合は、バイパスしきい値を変更できます。デフォルト設定は 3000 ミリ秒（ms）です。有効な範囲は 250 ms ～ 60,000 ms です。

一般に、レイテンシしきい値を超えた後は、高速パスパケットに対して侵入ポリシーのルール遅延しきい値（Rule Latency Thresholding）を使用します。ルール遅延しきい値（Rule Latency Thresholding）により、エンジンがシャットダウンされたり、トラブルシュートデータが生成されたりすることはありません。詳細については、パケットおよび侵入ルール遅延しきい値の設定を参照してください。

（注） AAB がアクティブ化されるのは、単一パケットに過剰な処理時間がかかっている場合のみです。AAB により Snort プロセスが再起動された場合は、一時的にトラフィックインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort の再開によるトラフィックへの影響を参照してください。

検出がバイパスされると、デバイスがヘルスモニタリングアラートを生成します。このヘルスモニタリングアラートの詳細については、ヘルスモニタの使用を参照してください。

自動アプリケーションバイパスを有効にしてバイパスしきい値を設定する方法の詳細については、詳細なデバイス設定の編集を参照してください。

詳細なデバイス設定の編集

ライセンス： 任意（Any）

サポートされるデバイス： 機能に応じて異なる

[デバイス（Devices）] タブの [詳細設定（Advanced）] セクションを使用して、[自動アプリケーションバイパス（Automatic Application Bypass）] および [ローカルルータトラフィックの検査（Inspect Local Router Traffic）] の設定を変更できます。また、高速パスルールの設定で説明する手順に従って、高速パスルールを設定することもできます。

次の点に注意してください。

高速パスルールを設定できるのは、8000 シリーズおよび 3D9900 デバイスのみです。
[ローカルルータトラフィックの検査（Inspect Local Router Traffic）] を設定できるのは、シリーズ 3 デバイスのみです。

詳細なデバイス設定を変更するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 高度なデバイス設定を編集するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

ヒント スタックに含まれるデバイスの場合、アプライアンスエディタの [スタック（Stack）] ページで、スタックの高度なデバイス設定を編集します。

手順 4 [詳細設定（Advanced）] セクションの横にある編集アイコン（）をクリックします。

[詳細設定（Advanced）] ポップアップウィンドウが表示されます。

手順 5 ネットワークがレイテンシの影響を受けやすい場合は、必要に応じて、[自動アプリケーションバイパス（Automatic Application Bypass）] を選択します。自動アプリケーションバイパスは、インライン展開でとりわけ役立ちます。詳細については、自動アプリケーションバイパスを参照してください。

手順 6 [自動アプリケーションバイパス（Automatic Application Bypass）] オプションを選択すると、[バイパスしきい値（Bypass Threshold）] にバイパスしきい値（ミリ秒）を入力できるようになります。デフォルト設定は 3000 ms です。有効な範囲は 250 ms ～ 60,000 ms です。

手順 7 ルータとして展開されている場合は、必要に応じて [ローカルルータトラフィックの検査（Inspect Local Router Traffic）] チェックボックスをオンにして例外トラフィックを検査します。

手順 8 （任意）高速パスルールを設定します。詳細については、高速パスルールの設定を参照してください。

手順 9 [保存（Save）] をクリックします。

高速パスルールの設定

ライセンス： 任意（Any）

サポートされるデバイス： 8000 シリーズ、3D9900

高速パスルールを作成すると、さらに検査することなく、デバイスを介して直接トラフィックを送信できます。高速パスルールは、分析する必要のないトラフィックを転送してデバイスをバイパスさせます。高速パスルールは、トラフィックを（インターフェイス外の）高速パスに送信するか、あるいは引き続きデバイスに送信してさらに分析を行えるようにします。これを使用する利点は、トラフィックに適切なパスを判断する速度にあります。高速パスルールはハードウェアレベルで機能するため、パケットに関する限られた情報だけを確認します。

詳細については、次の各項を参照してください。

IPv4 高速パスルールの追加

ライセンス： 任意（Any）

サポートされるデバイス： 8000 シリーズ、3D9900

高速パスルールは、トラフィックを（インターフェイス外の）高速パスに送信するか、あるいはデバイスに送信してさらに分析を行えるようにします。高速パスに転送して検査を行わない IPv4 トラフィックを、以下の基準を使用して選択できます。

発信側または応答側の IP アドレスまたは CIDR ブロック
プロトコル
発信側または応答側ポート（TCP または UDP プロトコルの場合）
VLAN ID（Admin. VLAN ID）
双方向オプション

高速パスルールには、最も外側の ID が使用されるので注意してください。

ヒント 既存の高速パスルールを編集するには、ルールの横にある編集アイコン（）をクリックします。

IPv4 高速パスルールの作成または編集方法：

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 高速パスルールを追加するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

手順 4 [詳細設定（Advanced）] セクションの横にある編集アイコン（）をクリックします。

[詳細設定（Advanced）] ポップアップウィンドウが表示されます。

手順 5 高速パスルールを追加するには、[新しい IPv4 ルール（New IPv4 Rule）] をクリックします。

[新しい IPv4 ルール（New IPv4 Rule）] ポップアップウィンドウが表示されます。

手順 6 [ドメイン（Domain）] ドロップダウンリストから、インラインセットまたはパッシブセキュリティゾーンを選択します。詳細については、IPS デバイスの設定を参照してください。

手順 7 [イニシエータ（Initiator）] および [応答者（Responder）] フィールドに、パケットが以後の分析をバイパスする発信側または応答側の IP アドレスを、CIDR 表記を使用して指定します。

指定された発信側からのパケット、または指定された応答側へのパケットが、ルールと照合されます。FireSIGHT システムでの CIDR 表記の使用法の詳細については、IP アドレスの表記規則を参照してください。

手順 8 （任意）[プロトコル（Protocol）] ドロップダウンリストから、ルールの対象となるプロトコルを選択するか、[すべて（All）] を選択してリストのあらゆるプロトコルのトラフィックを照合するようにします。

手順 9 ステップ 8 で TCP または UDP プロトコルを選択した場合は、必要に応じて、[イニシエータポート（Initiator Port）] および [応答側ポート（Responder Port）] フィールドに発信側と応答側のポートを入力して、対象とするポートを指定します。

ヒント ルールごとに、カンマで区切ったポート番号のリストを入力できます。IPv4 高速パスルールでは、ポート範囲を使用できません。空白のポート値は、[任意（Any）] として扱われることに注意してください。

[双方向（Bidirectional）] オプションも選択した場合は、発信側ポートからのパケットまたは応答側へのパケットにフィルタ条件が絞り込まれます。

手順 10 必要に応じて、[VLAN] フィールドに VLAN ID を入力します。

その VLAN のトラフィックのみがルールと照合されます。空白の VLAN 値は、[任意（Any）] として扱われることに注意してください。

手順 11 必要に応じて、指定した発信側 IP アドレスと応答側 IP アドレスの間で送受信されるすべてのトラフィックをフィルタリングするには、[双方向（Bidirectional）] オプションを選択します。指定した発信側 IP アドレスから指定した応答側 IP アドレスへのトラフィックのみをフィルタリングする場合は、このオプションをクリアします。

手順 12 [保存（Save）] をクリックします。

[詳細設定（Advanced）] ポップアップウィンドウの [高速パスルール（Fast-Path Rules）] にルールが追加されます。ルールが追加されても、[保存（Save）] をクリックしなければルールは保存されません。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

IPv6 高速パスルールの追加

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3、3D9900

高速パスルールは、トラフィックを（インターフェイス外の）高速パスに送信するか、あるいはデバイスに送信してさらに分析を行えるようにします。高速パスに転送して検査を行わない IPv6 トラフィックを、以下の基準を使用して選択できます。

発信側または応答側の IP アドレスまたはアドレスブロック
プロトコル
発信側または応答側ポート（TCP または UDP プロトコルの場合）
VLAN ID（Admin. VLAN ID）
双方向オプション

高速パスルールには、最も外側の VLAN ID が使用されるので注意してください。

ヒント 既存の高速パスルールを編集するには、ルールの横にある編集アイコン（）をクリックします。

IPv6 高速パスルールの追加方法：

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 高速パスルールを追加するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

手順 4 [詳細設定（Advanced）] セクションの横にある編集アイコンをクリックします。

[詳細設定（Advanced）] ポップアップウィンドウが表示されます。

手順 5 高速パスルールを追加するには、[新しい IPv6 ルール（New IPv6 Rule）] をクリックします。

[新しい IPv6 ルール（New IPv6 Rule）] ポップアップウィンドウが表示されます。発信側と応答側のフィールドは固定されていることに注意してください。これらのフィールドは、発信側または応答側の IPv6 パケットにフィルタが適用されることを示しています。

手順 7 パケットが以後の分析をバイパスする発信側または応答側の IP アドレスに関して、[イニシエータ（Initiator）] または [応答者（Responder）] フィールドに、IP アドレスを入力するか、または IPv6 プレフィックス長の表記を使用してアドレスブロックを指定します。

指定された発信側からのパケット、または指定された応答側へのパケットが、ルールと照合されます。FireSIGHT システムで IPv6 プレフィックス長の表記を使用する方法については、IP アドレスの表記規則を参照してください。

選択したプロトコルのパケットだけが高速パスルールと照合されます。

手順 9 ステップ 7 で TCP または UDP プロトコルを選択した場合は、必要に応じて、[イニシエータポート（Initiator Port）] および [応答側ポート（Responder Port）] フィールドに発信側と応答側のポートを入力して、対象とするポートを指定します。

ヒント ルールごとに、カンマで区切ったポート番号のリストを入力できます。IPv6 高速パスルールでは、ポート範囲を使用できません。空白のポート値は、[任意（Any）] として扱われることに注意してください。

手順 10 必要に応じて、[VLAN] フィールドに VLAN ID を入力します。

その VLAN のトラフィックのみがルールと照合されます。空白の VLAN 値は、[任意（Any）] として扱われることに注意してください。

手順 11 必要に応じて、[双方向（Bidirectional）] を選択して、指定した発信側と応答側のポート間で送受信されるすべてのトラフィックをフィルタリングします。発信側ポートからのパケットのみ、または応答側ポートへのパケットのみをルールと照合することを指定する場合は、このオプションをクリアします。

手順 12 [保存（Save）] をクリックします。

[詳細設定（Advanced）] ポップアップウィンドウの [高速パスルール（Fast-Path Rules）] にルールが追加されます。

手順 13 [詳細設定（Advanced）] ポップアップウィンドウで、[保存（Save）] をクリックします。

ルールが保存されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

高速パスルールの削除

ライセンス： 任意（Any）

サポートされるデバイス： 8000 シリーズ、3D9900

以下の手順では、IPv4 または IPv6 高速パスルールを削除する方法について説明します。

高速パスルールの削除方法：

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 高速パスルールを削除するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 [デバイス（Device）] をクリックします。

[デバイス（Devices）] タブが表示されます。

手順 4 [詳細設定（Advanced）] セクションの横にある編集アイコン（）をクリックします。

[詳細設定（Advanced）] ポップアップウィンドウが表示されます。

手順 5 削除する高速パスルールの横にある削除アイコン（）をクリックします。

手順 6 プロンプトが表示されたら、ルールを削除することを確認します。

ルールが [詳細設定（Advanced）] ポップアップウィンドウから削除されます。

手順 7 [保存（Save）] をクリックします。

センシングインターフェイスの設定

ライセンス： 任意（Any）

アプライアンスエディタの [インターフェイス（Interfaces）] ページで、FireSIGHT システムの展開に応じて、管理対象デバイスのセンシングインターフェイスを設定できます。

[インターフェイス（Interfaces）] ページの上部に、管理対象のシリーズ 3 デバイスの物理ハードウェアビューが表示されます。シリーズ 2、仮想デバイス、Blue Coat X-Series 向け Cisco NGIPS、および ASA FirePOWER デバイスには、物理ハードウェアのビューはありません。以下の図は、3D8250 のハードウェアビューを示しています。

以下の表では、物理ハードウェアビューの使用法について説明しています。

表 4-4 ハードウェアビューの使用法
目的	操作
ネットワークモジュールのタイプ、部品番号、およびシリアル番号を確認する	ネットワークモジュールの左下隅にある暗い円の上にマウスのカーソルを重ねます。
インターフェイステーブルビューでインターフェイスを選択する	インターフェイスをクリックします。
インターフェイスエディタを開く	インターフェイスをダブルクリックします。
インターフェイスの名前、タイプ、リンクの有無、速度設定、およびインターフェイスがバイパスモードになっているかを確認する	インターフェイスの上にマウスのカーソルを重ねます。
エラーまたは警告の詳細を参照する	ネットワークモジュールの該当するポートの上にマウスのカーソルを重ねます。

シリーズ 3 ハードウェアビューの下にあるインターフェイステーブルビューには、デバイスで使用可能なすべてのインターフェイスが一覧表示されます。テーブル内のナビゲーションツリーを展開すると、設定されているすべてのインターフェイスを表示できます。インターフェイスの横にある矢印アイコンをクリックして、インターフェイスを縮小または展開することで、サブコンポーネントの非表示/表示を切り替えることができます。このインターフェイステーブルビューには、各インターフェイスに関する以下の要約情報が表示されます。[MAC アドレス（MAC Address）] 列と [IP アドレス（IP Address）] 列が表示されるのは、8000 シリーズデバイスのみです。詳細については、以下の表を参照してください。

表 4-5 インターフェイステーブルビューのフィールド
フィールド	説明
名前（Name）	各インターフェイスタイプは、タイプとリンクステート（該当する場合）を示す固有のアイコンによって表されます。名前またはアイコンの上にマウスポインタを移動すると、インターフェイスタイプ、速度、デュプレックスモード（該当する場合）がツールチップに表示されます。インターフェイスアイコンについては、表 4-6を参照してください。アイコンでは、インターフェイスの現在のリンクステートを示す表示方法が使用されています。次の 3 つの状態のいずれかが表示されます。エラー（）障害（）利用不可（）論理インターフェイスのリンクステートは、親物理インターフェイスのリンクステートと同じです。Blue Coat X-Series 向け Cisco NGIPS および ASA FirePOWER デバイスには、リンクステートは表示されません。無効化されたインターフェイスは、半透明のアイコンで表されます。アイコンの右側に表示されるインターフェイス名は自動生成されます。ただし、ハイブリッドインターフェイスと ASA FirePOWER インターフェイスの名前はユーザによって定義されます。ASA FirePOWER インターフェイスについては、有効で、名前が付けられており、リンクを持つインターフェイスのみが表示されることに注意してください。物理インターフェイスでは、物理インターフェイスの名前が表示されます。論理インターフェイスでは、物理インターフェイスの名前と、割り当てられている VLAN タグが表示されます。 ASA FirePOWER インターフェイスでは、複数のセキュリティコンテキストがある場合は、セキュリティコンテキストの名前とインターフェイスの名前が表示されます。セキュリティコンテキストが 1 つしかない場合は、インターフェイスの名前のみが表示されます。
セキュリティゾーン（Security Zone）	インターフェイスが割り当てられているセキュリティゾーン。セキュリティゾーンを追加または編集するには、編集アイコン（）をクリックします。
使用者（Used by）	インターフェイスが割り当てられているインラインセット、仮想スイッチ、または仮想ルータ。ASA FirePOWER デバイスには、[使用者（Used by）] 列は表示されません。
MAC アドレス（MAC Address）	スイッチド機能およびルーテッド機能で有効にされているインターフェイスに対して表示される MAC アドレス。仮想デバイスの場合、表示された MAC アドレスにより、デバイス上に設定されたネットワークアダプタと、[インターフェイス（Interfaces）] ページに表示されるインターフェイスを照合できます。Blue Coat X-Series 向け Cisco NGIPS および ASA FirePOWER デバイスには、MAC アドレスは表示されません。
IP アドレス（IP Address）	インターフェイスに割り当てられた IP アドレス。マウスのポインタを IP アドレスの上に重ねると、その IP アドレスがアクティブであるか非アクティブであるかを確認できます。非アクティブな IP アドレスはグレー表示されます。ASA FirePOWER デバイスには、IP アドレスは表示されません。

表 4-6 インターフェイスアイコンのタイプと説明
アイコン	インターフェイスタイプ	詳細
	物理的：未設定の物理インターフェイス。	—
	パッシブ：パッシブ展開でトラフィックを分析するように設定されているセンシングインターフェイス。	パッシブインターフェイスの設定
	インライン：インライン展開でトラフィックを処理するように設定されているセンシングインターフェイス。	インラインインターフェイスの設定
	スイッチド：レイヤ 2 展開でトラフィックを切り替えるように設定されているインターフェイス。	スイッチドインターフェイスの設定
	ルーテッド：レイヤ 3 展開でトラフィックをルーティングするように設定されているインターフェイス。	ルーテッドインターフェイスの設定
	HA：デバイス間で冗長通信チャネルとして機能するように設定されている、デバイスのクラスタペアメンバー上のインターフェイスで、ハイアベイラビリティリンクインターフェイスとも呼ばれます。	HA リンクインターフェイスの設定
	集約：1 つの論理リンクとして設定されている複数の物理インターフェイス。	集約インターフェイスのセットアップ
	集約スイッチド：レイヤ 2 展開で 1 つの論理リンクとして設定されている複数の物理インターフェイス。	集約スイッチドインターフェイスの追加
	集約ルーテッド：レイヤ 3 展開で 1 つの論理リンクとして設定されている複数の物理インターフェイス。	集約ルーテッドインターフェイスの追加
	ハイブリッド：仮想ルータと仮想スイッチ間でトラフィックをブリッジするように設定されている論理インターフェイス。	論理ハイブリッドインターフェイスの追加
	ASA FirePOWER：ASA FirePOWER モジュールがインストールされた ASA デバイスに設定されているインターフェイス。	Cisco ASA with FirePOWER Servicesインターフェイスの管理

管理対象の FirePOWER デバイスには、合計 1024 個のインターフェイスを設定できることに注意してください。

（注）防御センターでは、ASA FirePOWER デバイスが SPAN ポートモードで展開されている場合、ASA インターフェイスを表示しません。

デバイスにインターフェイスを設定するさまざまな方法の詳細については、以下の項を参照してください。

HA リンクインターフェイスの 設定

ライセンス： 任意（Any）

サポートされるデバイス： シリーズ 3

デバイスクラスタを確立した後、物理インターフェイスをハイアベイラビリティ（HA）リンクインターフェイスとして設定できます。このリンクは、クラスタを構成するデバイス間でヘルス情報を共有するために使用する、冗長通信チャネルとして機能します。1 つのデバイスに HA リンクインターフェイスを設定すると、自動的に 2 番目のデバイスにインターフェイスが設定されます。同じブロードキャストドメインに、両方の HA リンクを設定する必要があります。詳細については、デバイスのクラスタリングを参照してください。

ダイナミック NAT は、他の IP アドレスとポートにマップする IP アドレスとポートの動的割り当てに依存します。HA リンクがなければ、これらのマッピングはフェールオーバーで失われます。その場合、変換されたすべての接続はクラスタ内で新しくアクティブになったデバイスを介してルーティングされることになるため、それらの接続は失敗します。

注意

センシングインターフェイスまたはインラインセットの MTU の任意の値（シリーズ 2）または最高値（シリーズ 3）を変更すると、変更を適用する際、変更したインターフェイスだけではなく、デバイス上のすべてのセンシングインターフェイスに対するトラフィックインスペクションが一時的に中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。 Snort の再開によるトラフィックへの影響を参照してください。

HA リンクインターフェイスを設定するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 HA リンクインターフェイスを設定する、クラスタを構成するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 HA リンクインターフェイスとして設定するインターフェイスの横にある編集アイコン（）をクリックします。

[インターフェイスの編集（Edit Interface）] ポップアップウィンドウが表示されます。

手順 4 [HA リンク（HA Link）] をクリックして HA リンクオプションを表示します。

手順 5 [有効（Enabled）] チェックボックスをオンにして、HA リンクインターフェイスがリンクを提供できるようにします。

このチェックボックスをオフにすると、インターフェイスは無効になり、管理上はダウンした状態になります。

手順 6 [モード（Mode）] ドロップダウンリストからリンクモードを指定するオプションを選択するか、[自動ネゴシエーション（Autonegotiation）] を選択して、速度とデュプレックスの設定を自動ネゴシエートするようにインターフェイスを設定します。

手順 7 [MDI/MDIX] ドロップダウンリストから、インターフェイスの設定対象として MDI（メディア依存型インターフェイス）、MDIX（メディア依存型インターフェイスクロスオーバー）、または Auto-MDIX のいずれかを指定するオプションを選択します。

通常、[MDI/MDIX] は [Auto-MDIX] に設定します。これにより、MDI と MDIX の間の切り替えが自動的に処理され、リンクが確立されます。

手順 8 [MTU] フィールドに最大伝送ユニット（MTU）を入力して、パケットの最大許容サイズを指定します。

設定可能な MTU の範囲は、FireSIGHT システムのデバイスモデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、管理対象デバイスの MTU の範囲を参照してください。

手順 9 [保存（Save）] をクリックします。

管理対象デバイスの MTU の範囲

ライセンス： 任意（Any）

注意

Blue Coat X-Series 向け Cisco NGIPS の場合は、Blue Coat X-Series 向け Cisco NGIPS CLI を使用してインターフェイス MTU を設定することに注意してください。詳細については、『 Blue Coat X-Series 向け Cisco NGIPS Installation Guide 』を参照してください。

（注）システムは、設定された MTU 値から自動的に 18 バイトを削減するため、IPv6 の場合、1298 未満の値は MTU の最小値である 1280 に準拠しません。IPv4 の場合は、594 未満の値は MTU の最小値 576 に準拠しません。たとえば、構成値 576 は自動的に 558 に削減されます。

次の表に、管理対象デバイスの MTU 設定範囲を示します。

表 4-7 デバイスごとの MTU 範囲
デバイスモデル	MTU 範囲
シリーズ 2（3D6500、3D9900 を除く）	576 ～ 1518（すべてのインターフェイス、インラインセット）
3D6500、3D9900、仮想	576 ～ 9018（すべてのインターフェイス、インラインセット）
シリーズ 3	576 ～ 9234（管理インターフェイス） 576 ～ 10172（インラインセット、パッシブインターフェイス） 576 ～ 9922（その他）

Cisco ASA with FirePOWER Servicesインターフェイスの管理

ライセンス： Protection

サポートされるデバイス： ASA FirePOWER

ASA FirePOWER インターフェイスを編集する際に、FireSIGHT 防御センターから設定できるのは、インターフェイスのセキュリティゾーンのみです。詳細については、セキュリティゾーンの操作を参照してください。

ASA FirePOWER インターフェイスを完全に設定するには、ASA 専用ソフトウェアおよび CLI を使用します。ASA FirePOWER デバイスを編集して、マルチコンテキストモードからシングルコンテキストモード（またはその逆）に切り替えると、デバイスはそのインターフェイスの名前をすべて変更します。更新されたASA FirePOWER のインターフェイス名を使用する、すべてのFireSIGHT システムセキュリティゾーン、相関ルール、および関連する設定の再設定が必要です。ASA FirePOWER インターフェイスの設定の詳細については、ASA のドキュメンテーションを参照してください。

（注） ASA FirePOWER インターフェイスのタイプは変更できません。また、FireSIGHT 防御センターからインターフェイスを無効にすることもできません。

ASA FirePOWER インターフェイスを編集するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 インターフェイスを編集するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 編集するインターフェイスの横にある編集アイコン（）をクリックします。

[インターフェイスの編集（Edit Interface）] ポップアップウィンドウが表示されます。

手順 4 [セキュリティゾーン（Security Zone）] ドロップダウンリストから、既存のセキュリティゾーンを選択するか、または [新規（New）] を選択して、新しいセキュリティゾーンを追加します。

手順 5 [保存（Save）] をクリックします。

セキュリティゾーンが設定されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください（詳しくはデバイスへの変更の適用を参照してください）。

インターフェイスの無効化

ライセンス： 任意（Any）

インターフェイスタイプを [なし（None）] に設定することで、インターフェイスを無効にすることができます。無効にされたインターフェイスは、インターフェイスリストでグレー表示されます。

（注） ASA FirePOWER インターフェイスのタイプは変更できません。また、FireSIGHT 防御センターからインターフェイスを無効にすることもできません。

インターフェイスを無効にするには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

手順 2 インターフェイスを無効にするデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 無効にするインターフェイスの横にある編集アイコン（）をクリックします。

[インターフェイスの編集（Edit Interface）] ポップアップウィンドウが表示されます。

手順 4 [なし（None）] をクリックします。

手順 5 [保存（Save）] をクリックします。

重複する接続ロギングの防止

ライセンス： 任意（Any）

セキュリティゾーンオブジェクトを更新すると、システムはそのオブジェクトの新しいリビジョンを保存します。その結果、同じセキュリティゾーン内の管理対象デバイスに、インターフェイスで設定されたセキュリティオブジェクトの異なるリビジョンがある場合、接続が重複しているようなログが記録される可能性があります。

接続の重複が報告されていることに気づいた場合、同じリビジョンのオブジェクトを使用するよう、すべての管理対象デバイスを更新できます。

デバイス全体でセキュリティゾーンオブジェクトのリビジョンを同期するには、以下を行います。

アクセス： Admin/Network Admin

手順 1 [デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

[デバイス管理（Device Management）] ページが表示されます。

注意

同期させるすべてのデバイスでインターフェイスのゾーン設定を編集するまでは、管理対象デバイスの変更を他のデバイスに再適用しないでください。

手順 2 セキュリティゾーンの選択を更新するデバイスの横にある編集アイコン（）をクリックします。

デバイスの [インターフェイス（Interfaces）] タブが表示されます。

手順 3 重複する接続のイベントを記録しているインターフェイスのそれぞれについて、[セキュリティゾーン（Security Zone）] を別のゾーンに変更して [保存（Save）] をクリックした後、目的のゾーンに再び設定し、もう一度 [保存（Save）] をクリックします。

手順 4 重複イベントを記録しているデバイスごとに、ステップ 2 から 3 を繰り返します。

手順 5 すべてのデバイスのすべてのインターフェイスを編集した後、デバイスの変更を同時にすべての管理対象デバイスに適用します。

FireSIGHT System バージョン 5.4.1 ユーザ ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： デバイスの管理

デバイスの管理

管理の概念

防御センター で管理できるデバイス

ポリシーとイベント以外の機能

冗長な 防御センター の使用

管理インターフェイスについて

1 つの管理インターフェイスの使用

複数の管理インターフェイスの使用

トラフィック チャネルの使用

ネットワーク ルートの使用

NAT 環境での作業

ハイ アベイラビリティの設定

ハイ アベイラビリティの使用

共有される設定

正常性ポリシーとシステム ポリシー

相関応答

ライセンス

URL フィルタリングおよびセキュリティ インテリジェンス

クラウド接続およびマルウェア情報

ユーザ エージェント

ハイ アベイラビリティを実装する際のガイドライン

ハイ アベイラビリティのセットアップ

ハイ アベイラビリティ ステータスのモニタリングおよび変更

ハイ アベイラビリティの無効化とデバイスの登録解除

ペアにされた 防御センター 間での通信の一時停止

ペアにされた 防御センター 間での通信の再開

デバイスの操作

[デバイス管理（Device Management）] ページについて

リモート管理の設定

リモート管理の編集

管理ポートの変更

防御センター へのデバイスの追加

デバイスへの変更の適用

デバイス管理のリビジョン比較レポートの使用

デバイスの削除

デバイス グループの管理

デバイス グループの追加

デバイス グループの編集

デバイス グループの削除

デバイスのクラスタリング

デバイス クラスタの設定

デバイス クラスタの編集

クラスタ内の個々のデバイスの設定

クラスタ内の個々のデバイス スタックの設定

クラスタを構成するデバイスでのインターフェイスの設定

クラスタ内のアクティブ ピアの切り替え

クラスタを構成するデバイスのメンテナンス モードの開始

クラスタを構成するスタック内のデバイスの交換

クラスタ状態共有の設定

クラスタ状態共有のトラブルシューティング

クラスタを構成するデバイスの分離

スタック構成のデバイスの管理

デバイス スタックの確立

デバイス スタックの編集

スタックに含まれる個々のデバイスの設定

スタック構成のデバイスでのインターフェイスの設定

スタック構成のデバイスの分離

スタック内のデバイスの交換

デバイス設定の編集

一般的なデバイス設定の編集

デバイス ライセンスの有効化と無効化

デバイス システム設定の編集

デバイスのヘルスの確認

デバイス管理設定の編集

高度なデバイス設定について

自動アプリケーション バイパス

詳細なデバイス設定の編集

高速パス ルールの設定

IPv4 高速パス ルールの追加

IPv6 高速パス ルールの追加

高速パス ルールの削除

センシング インターフェイスの設定

HA リンク インターフェイスの設定

管理対象デバイスの MTU の範囲

Cisco ASA with FirePOWER Servicesインターフェイスの管理

章のタイトル：デバイスの管理

防御センターで管理できるデバイス

冗長な防御センターの使用

トラフィックチャネルの使用

ネットワークルートの使用

ハイアベイラビリティの設定

ハイアベイラビリティの使用

正常性ポリシーとシステムポリシー

URL フィルタリングおよびセキュリティインテリジェンス

ユーザエージェント

ハイアベイラビリティを実装する際のガイドライン

ハイアベイラビリティのセットアップ

ハイアベイラビリティステータスのモニタリングおよび変更

ハイアベイラビリティの無効化とデバイスの登録解除

ペアにされた防御センター間での通信の一時停止

ペアにされた防御センター間での通信の再開

防御センターへのデバイスの追加

デバイスグループの管理

デバイスグループの追加

デバイスグループの編集

デバイスグループの削除

デバイスクラスタの設定

デバイスクラスタの編集

クラスタ内の個々のデバイススタックの設定

クラスタ内のアクティブピアの切り替え

クラスタを構成するデバイスのメンテナンスモードの開始

デバイススタックの確立

デバイススタックの編集

デバイスライセンスの有効化と無効化

デバイスシステム設定の編集

自動アプリケーションバイパス

高速パスルールの設定

IPv4 高速パスルールの追加

IPv6 高速パスルールの追加

高速パスルールの削除

センシングインターフェイスの設定

HA リンクインターフェイスの設定