Encrypted Visibility Engine（EVE）は、復号を必要とせずに暗号化セッションの可視性を高めるために使用されます。暗号化されたセッションに関する洞察は、シスコの脆弱性データベース（VDB）にパッケージ化されているシスコのオープンソースライブラリによって取得されます。ライブラリは、着信暗号化セッションをフィンガープリントして分析し、一連の既知のフィンガープリントと照合します。この既知のフィンガープリントのデータベースも、Cisco VDB で利用できます。

（注）	Encrypted Visibility Engine の機能は、Snort 3 を実行している Firewall Management Center の管理対象デバイスでのみサポートされます。この機能は、Snort 2 デバイスおよび Firewall Device Manager 管理対象デバイスではサポートされていません。

EVE の重要な機能の一部を次に示します。

• EVE から取得した情報を使用して、トラフィックに対してアクセス コントロール ポリシー アクションを実行できます。

• Cisco Secure Firewall に含まれる VDB には、EVE によって高い信頼値で検出された一部のプロセスにアプリケーションを割り当てる機能があります。または、次の目的でカスタム アプリケーション ディテクタを作成できます。

  • EVE で検出されたプロセスを新しいユーザー定義アプリケーションにマッピングする。

  • EVE で検出されたプロセスにアプリケーションを割り当てるために使用されるプロセス確実性の組み込み値を上書きする。

    『Cisco Secure Firewall Management Center デバイス設定ガイド』の「アプリケーションの検出」の章にある項「カスタム アプリケーション ディテクタの設定」と「EVE のプロセス割り当ての指定」を参照してください。

• EVE は、暗号化されたトラフィックで Client Hello パケットを作成したクライアントのオペレーティングシステムのタイプとバージョンを検出できます。

• EVE は、Quick UDP Internet Connections（QUIC）トラフィックのフィンガープリントと分析もサポートします。Client Hello パケットからのサーバー名は、[接続イベント（Connection Events）] ページの [URL] フィールドに表示されます。

注目	Firewall Management Center で EVE を使用するには、デバイスに有効な IPS ライセンスが必要です。IPSライセンスがない場合、ポリシーによって警告が表示され、展開は許可されません。

（注）

EVE は SSL セッションのオペレーティングシステムのタイプとバージョンを検出できます。アプリケーションやパッケージ管理ソフトウェアの実行など、オペレーティングシステムの通常の使用により、OS 検出がトリガーされる可能性があります。クライアント OS 検出を表示するには、EVE トグルボタンを有効にすることに加えて、[ポリシー（Policies）] > [ネットワークの検出（Network Discovery）]で [ホスト（Hosts）] を有効にする必要があります。ホスト IP アドレスで使用可能なオペレーティングシステムのリストを表示するには、[分析（Analysis）] > [ホスト（Hosts）] > [ネットワークマップ（Network Map）]をクリックし、該当するホストを選択します。 EVE では、カプセル化されたトラフィックの可視性やインサイトは提供されません。

関連リンク

EVE の設定

Encrypted Visibility Engine（EVE）は、TLS ハンドシェイクの Client Hello 部分を検査して、クライアントプロセスを識別します。Client Hello は、サーバーに送信される最初のデータパケットです。これにより、ホスト上のクライアントプロセスがよくわかります。このフィンガープリントと、宛先 IP アドレスなどの他のデータが組み合わされて、EVE のアプリケーション識別の基礎となります。TLS セッションの確立で特定のアプリケーション フィンガープリントを識別することで、システムはクライアントプロセスを識別し、適切なアクション（許可/ブロック）を実行することができます。

EVE は、5,000 を超えるクライアントプロセスを識別できます。システムは、アクセス制御ルールの基準として使用するために、多数のこれらのプロセスをクライアント アプリケーションにマッピングします。これにより、システムは TLS 復号を有効にすることなく、これらのアプリケーションを識別して制御することができます。既知の悪意のあるプロセスのフィンガープリントを使用することで、EVE テクノロジーを使用して、アウトバウンド復号を使用せずに暗号化された悪意のあるトラフィックを識別してブロックすることもできます。

機械学習（ML）テクノロジーにより、シスコは 10 億を超える TLS フィンガープリントと 10,000 を超えるマルウェアサンプルを毎日処理し、EVE フィンガープリントを作成および更新しています。これらの更新は、その後、シスコの脆弱性データベース（VDB）パッケージを使用してお客様に配信されます。

EVE は、フィンガープリントを認識できない場合、クライアント アプリケーションを識別し、IP アドレス、ポート、サーバー名などの接続先の詳細情報を使用して最初のフローの脅威スコアを推定します。この時点で、フィンガープリントのステータスはランダム化され、デバッグログで確認できます。同じフィンガープリントを持つ後続のフローの場合、EVE は再分析をスキップし、フィンガープリントのステータスをラベルなしとしてマークします。EVE の低い、または非常に低いスコアしきい値に基づいてトラフィックをブロックする場合、最初のフローはブロックされます。ただし、アプリケーションのフィンガープリントがキャッシュされると、その後のフローは許可されます。

ホストの Encrypted Visibility Engine 検出の侵害の兆候（IoC）イベントにより、非常に高いマルウェアの確実性レベルで、EVE によって報告された接続イベントをチェックできます。IoC イベントは、悪意のあるクライアントを使用してホストから生成された暗号化セッションに対してトリガーされます。悪意のあるホストの IP アドレス、MAC アドレス、OS 情報などの情報と、不審なアクティビティのタイムスタンプを表示できます。

接続イベントで示される、暗号化された可視性脅威の確実性スコアが「非常に高い」となっているセッションは、IoC イベントを生成します。[ポリシー（Policies）] > [ネットワーク検出（Network Discovery）]　から [ホスト（Hosts）] を有効にする必要があります。 Firewall Management Center では、次の場所から IoC イベントの存在を表示できます。

• [分析（Analysis）] > [侵害の兆候（Indications of Compromise）]

• [分析（Analysis）] > [ネットワークマップ（Network Map）] > [侵害の兆候（Indications of Compromise）] > チェックする必要があるホストを選択します。

  [接続イベント（Connection Events）] ページでは、IoC が生成されるセッションのプロセス情報を表示できます。[分析（Analysis）] > 、[接続ヘッダー（Connections Header）]、 > [イベント（Events）] の順に選択し、[接続イベント（Connection Events）] ページにアクセスします。[接続イベントのテーブルビュー（Table View of Connection Events）] タブで、[Encrypted Visibility] と [IoC] フィールドを手動で選択する必要があることに注意してください。

Snort は、EVE に基づいて Quick UDP Internet Connections（QUIC セッション）内のクライアント アプリケーションを識別できます。QUIC フィンガープリントでは次を実行できます。

• 復号を有効にせずに QUIC でアプリケーションを検出する。

• 復号を有効にせずにマルウェアを特定する。

• サービスアプリケーションを検出する。QUIC プロトコルで検出されたサービスに基づいて、アクセスコントロールルールを割り当てることができます。