各リリースの新機能

このドキュメントでは、各リリースの新機能と廃止された機能について説明します。また、アップグレードによる影響についても説明します。

アップグレードと展開により、システムでトラフィックが処理されるか、他の操作をしなくても異なる動作が発生する場合、機能がアップグレードに影響を与えます。これは特に、新しい脅威検出およびアプリケーション識別機能で一般的です。または、アップグレードプロセスに特別な要件がある場合もあります。たとえば、アップグレードの前後に非標準のタスクを実行する必要がある場合があります(特定のコンフィギュレーションの編集または削除、ヘルスポリシーの適用、Web インターフェイスでの FlexConfig コマンドのやり直しなど)。

新しい Management Center で古いデバイスを管理できますが、常に環境全体を更新することを推奨します。 新しいトラフィック処理機能では、通常は Management Center およびデバイスの両方で最新のリリースが必要です。 デバイスが明らかに関与していない機能(Web インターフェイスの外観の変更、クラウド統合)では、Management Center の最新バージョンのみを必須条件としているにもかかわらず、それが保証されない場合があります。

英語以外の言語で Web インターフェイスを使用している場合は、メンテナンスリリースやパッチで導入される機能が、次のメジャーリリースまで翻訳されない可能性があることに注意してください。

推奨リリース:バージョン 7.2.5.x

新しい機能と解決済みの問題を利用するには、対象となるすべてのアプライアンスを最新パッチを含む推奨リリース以上にアップグレードすることをお勧めします。シスコ サポートおよびダウンロード サイトでは、推奨リリースに金色の星が付いています。バージョン 7.2.6 以降または 7.4.1 以降では、新しい推奨リリースが使用可能になると Management Center から通知され、製品のアップグレードページに推奨リリースが表示されます。

古いアプライアンスの推奨リリース

アプライアンスが古すぎて推奨リリースを実行できず、ハードウェアを今すぐ更新しない場合は、メジャーバージョンを選択してから可能な限りパッチを適用します。一部のメジャーバージョンは長期または超長期に指定されているため、いずれかを検討してください。これらの用語の説明については、「Cisco NGFW 製品ラインのソフトウェアリリースおよび持続性に関する速報」を参照してください。

ハードウェアの更新に関心がある場合は、シスコの担当者またはパートナー担当者にお問い合わせください。

バージョン 7.4.1 の Management Center 機能

表 1. バージョン 7.4.1 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

再導入された機能

再導入された機能。

機能に依存

機能に依存

バージョン 7.4.1 では、奇数番号のバージョン(7.1.x、7.3.x)またはバージョン 7.4.0 のメンテナンスリリースに含まれなかったが、偶数番号のバージョン(7.0.x、7.2.x)のメンテナンスリリースには含まれていた機能、機能拡張および重要な修正が再度サポートされます。

再導入された機能は次のとおりです。

プラットフォーム(Platform)

Cisco Secure Firewall 3130 および 3140 向けのネットワークモジュール。

7.4.1

7.4.1

Cisco Secure Firewall 3130 および 3140 は次のネットワークモジュールをサポートするようになりました。

  • 2 ポート 100G QSFP+ ネットワークモジュール(FPR3K-XNM-2X100G)

参照: Cisco Secure Firewall 3110、3120、3130、3140 ハードウェア設置ガイド

Firepower 9300 ネットワークモジュール用の光トランシーバ。

7.4.1

7.4.1

Firepower 9300 は、次の光トランシーバをサポートするようになりました。

  • QSFP-40/100-SRBD

  • QSFP-100G-SR1.2

  • QSFP-100G-SM-SR

以下のネットワークモジュールでサポート:

  • FPR9K-NM-4X100G

  • FPR9K-NM-2X100G

  • FPR9K-DNM-2X100G

参照: Cisco Firepower 9300 ハードウェア設置ガイド

Cisco Secure Firewall 3100 のパフォーマンスプロファイルのサポート。

7.4.1

7.4.1

プラットフォーム設定ポリシーで使用可能なパフォーマンスプロファイル設定が、Cisco Secure Firewall 3100 に適用されるようになりました。以前は、この機能は Firepower 4100/9300、Cisco Secure Firewall 4200、および Threat Defense Virtual でサポートされていました。

[インターフェイス(Interfaces)]

Azure と GCP の Threat Defense Virtual で診断インターフェイスを使用しないで展開します。

7.4.1

7.4.1

Azure と GCP の Threat Defense Virtual で診断インターフェイスを使用しないで展開できるようになりました。以前は、1 つの管理インターフェイス、1 つの診断インターフェイス、および少なくとも 2 つのデータインターフェイスが必要でした。新しいインターフェイスの要件:

  • Azure:管理 1、データ 2(最大 8)

  • GCP:管理 1、データ 3(最大 8)

制約事項:この機能は、新規展開でのみサポートされます。アップグレードされたデバイスではサポートされていません。

参照: Cisco Secure Firewall Threat Defense Virtual スタートアップガイド

デバイス管理

ユーザー定義の VRF インターフェイスでサポートされるデバイス管理サービス。

7.4.1

いずれか

Threat Defense プラットフォーム設定(NetFlow、SSH アクセス、SNMP ホスト、syslog サーバー)で設定されたデバイス管理サービスが、ユーザー定義の Virtual Routing and Forwarding(VRF)インターフェイスでサポートされるようになりました。

プラットフォームの制限:コンテナインスタンスまたはクラスタ化されたデバイスではサポートされていません。

参照:「Platform Settings

高可用性/拡張性:Threat Defense

Cisco Secure Firewall 3100 のマルチインスタンスモード。

7.4.1

7.4.1

Secure Firewall 3100 は、単一のデバイス(アプライアンスモード)または複数のコンテナインスタンス(マルチインスタンスモード)として展開できます。マルチインスタンスモードでは、完全に独立したデバイスとして機能する複数のコンテナインスタンスを 1 つのシャーシに展開できます。マルチインスタンスモードでは、コンテナインスタンスのアップグレード(Threat Defense のアップグレード)とは別に、オペレーティングシステムとファームウェアがアップグレード対象(シャーシのアップグレード)になることに注意してください。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [追加(Add)] > [シャーシ(Chassis)]

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [Chassis Manager]

  • [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [新しいポリシー(New Policy)] > [シャーシプラットフォーム設定(Chassis Platform Settings)]

  • [デバイス(Devices)] > [シャーシのアップグレード(Chassis Upgrade)]

新規/変更された Threat Defense CLI コマンド:configure multi-instance network ipv4 configure multi-instance network ipv6

新規/変更された FXOS CLI コマンド:create device-manager set deploymode

プラットフォームの制限:Cisco Secure Firewall 3105 ではサポートされていません。

VMware および KVM 向け Threat Defense Virtual の 16 ノードクラスタ

7.4.1

7.4.1

VMware の仮想 Threat Defense と KVM の仮想 Threat Defense に 16 ノードクラスタを構成できるようになりました。

AWS のクラスタ化された Threat Defense Virtual デバイスのターゲットフェールオーバー。

7.4.1

7.4.1

AWS Gateway Load Balancer(GWLB)を使用して AWS のクラスタ化された Threat Defense Virtual デバイスのターゲットフェールオーバーを設定できるようになりました。

プラットフォームの制限:5 台および 10 台のデバイスライセンスでは使用できません。

Threat Defense 高可用性ペアの設定の不一致を検出します。

7.4.1

7.4.1

CLI を使用して、Threat Defense 高可用性ペアの設定の不一致を検出できるようになりました。

新規/変更された CLI コマンド:show failover config-sync error show failover config-sync stats

高可用性:Management Center

Management Center の高可用性同期の機能拡張。

7.4.1

いずれか

Management Center の高可用性(HA)には、次の同期機能拡張が含まれています。

  • 設定履歴ファイルが大きいと、遅延の大きいネットワークで同期が失敗する可能性があります。これを防ぐために、デバイス設定履歴ファイルは他の設定データと並行して同期されるようになりました。この機能拡張により、同期時間も短縮されます。

  • Management Center は、設定履歴ファイルの同期プロセスをモニターし、同期がタイムアウトした場合に正常性アラートを表示するようになりました。

新規/変更された画面:次の画面でこれらのアラートを確認できます。

  • [通知(Notifications)] > [メッセージセンター(Message Center)] > [正常性(Health)]

  • [統合(Integration)] > [その他の統合(Other Integrations)] > [高可用性(High Availability)] > [ステータス (Status)]([概要(Summary)] の下)

参照:「Viewing Management Center High Availability Status

SD-WAN

[Cisco SD-WANサマリー(SD-WAN Summary)] ダッシュボードのアプリケーション モニタリング。

7.4.1

7.4.1

[Cisco SD-WANサマリー(SD-WAN Summary)] ダッシュボードで WAN インターフェイス アプリケーションのパフォーマンスをモニターできるようになりました。

新規/変更された画面:[概要(Overview)] > [Cisco SD-WANサマリー(SD-WAN Summary)] > [アプリケーション モニタリング(Application Monitoring)]

参照:「WAN Summary Dashboard

VPN

Cisco Secure Firewall 3100 向け VTI ループバック インターフェイスの IPSec フローのオフロード。

7.4.1

7.4.1

アップグレードの影響。 条件を満たす接続のオフロードが開始されます。

Cisco Secure Firewall 3100 では、VTI ループバック インターフェイスを介した適格な IPsec 接続がデフォルトでオフロードされるようになりました。以前は、この機能は物理インターフェイスでのみサポートされていました。 この機能はアップグレードにより自動的に有効になります。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

参照:「IPSec Flow Offload

Cisco Secure Firewall 4100/9300 の暗号デバッグの機能拡張。

7.4.1

7.4.1

バージョン 7.4.0 で導入された暗号デバッグの機能拡張は、Cisco Secure Firewall 3100 および Firepower 4100/9300 に適用されるようになりました。以前は、Cisco Secure Firewall 4200 でのみサポートされていました。

ルートベース VPN の VTI の詳細を表示します。

7.4.1

いずれか

管理対象デバイスのルートベース VPN の仮想トンネルインターフェイス(VTI)の詳細を表示できるようになりました。ダイナミック VTI の動的に作成されたすべての仮想アクセスインターフェイスの詳細も表示できます。

新規/変更された画面:[デバイス(Device)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit a device)] > [インターフェイス(Interfaces)] > [仮想トンネル(Virtual Tunnels)] タブ。

ルーティング

FlexConfig を使用して、IS-IS インターフェイスで BFD ルーティングを設定します。

7.4.1

7.4.1

FlexConfig を使用して、物理、サブインターフェイス、および EtherChannel IS-IS インターフェイスで Bidirectional Forwarding Detection(BFD)ルーティングを設定できるようになりました。

アクセス制御:脅威の検出とアプリケーションの識別

Zero Trust アクセスの機能拡張

7.4.1

7.4.1(Snort 3)

Management Center には、次の Zero Trust アクセスの機能拡張が含まれています。

  • アプリケーションの送信元 NAT を設定できます。設定されたネットワークオブジェクトまたはオブジェクトグループは、着信要求のパブリックネットワークの送信元 IP アドレスを、アプリケーション ネットワーク内のルーティング可能な IP アドレスに変換します。

  • 診断ツールを使用して、Zero Trust 設定の問題をトラブルシューティングできます。

  • エクスペリエンスを向上させるために、Zero Trust アプリケーションポリシーのテレメトリデータを収集するようになりました。

新規/変更された画面:[ポリシー(Policies)] > [アクセス制御(Access Control)] > [Zero Trustアプリケーション(Zero Trust Application)]

新規/変更された CLI コマンド:show running-config zero-trust show zero-trust statistics

参照:

CIP 検出。

7.4.1

7.4.1(Snort 3)

セキュリティポリシーで CIP およびイーサネット/IP(ENIP)アプリケーション条件を使用することで、Common Industrial Protocol(CIP)を検出して処理できるようになりました。

CIP 安全検出。

7.4.1

7.4.1(Snort 3)

CIP Safety は、産業自動化アプリケーションの安全な動作を可能にする CIP 拡張機能です。CIP インスペクタは、CIP トラフィック内の CIP Safety セグメントを検出できるようになりました。CIP Safety セグメントを検出してアクションを実行するには、Management Center のネットワーク分析ポリシーで CIP インスペクタを有効にし、アクセス コントロール ポリシーに割り当てます。

新規/変更された画面:[ポリシー(Policies)] > [アクセス制御(Access Control)] > [ポリシーの編集(Edit a policy)] > [ルールの追加(Add Rule)] > [アプリケーション(Applications)] タブの順に選択し、検索ボックスで CIP Safety を検索します。

参照:Cisco Secure Firewall Management Center Snort 3 コンフィギュレーション ガイド [英語]

アクセス制御:アイデンティティ

複数の Active Directory レルム(レルムシーケンス)のキャプティブ ポータル サポート。

7.4.1

7.4.1

アップグレードの影響。カスタム認証フォームの更新。

LDAP レルム、Microsoft Active Directory レルム、またはレルムシーケンスに対してアクティブ認証を設定できます。さらに、レルムまたはレルムシーケンスを使用してアクティブ認証にフォールバックするパッシブ認証ルールを設定できます。必要に応じて、アクセス制御ルールで同じ ID ポリシーを共有する管理対象デバイス間でセッションを共有できます。

さらに、以前にアクセスしたデバイスとは別の管理対象デバイスを使用してシステムにアクセスするときに、ユーザーに再認証を要求するオプションがあります。

HTTP 応答ページ認証タイプを使用する場合は、Threat Defense をアップグレードした後、カスタム認証フォームに <select name="realm" id="realm"></select> を追加する必要があります。これにより、ユーザーはレルムを選択できます。

制限事項:Microsoft Azure Active Directory ではサポートされていません。

新規/変更された画面:

  • [ポリシー(Policies)] > [アイデンティティ(Identity)] > (ポリシーの編集) > [アクティブ認証(Active Authentication)] > [ファイアウォール全体でアクティブ認証セッションを共有(Share active authentication sessions across firewalls)]

  • [IDポリシー(Identity policy)] > (編集) > [ルールの追加(Add Rule)] > [パッシブ認証(Passive Authentication)] > [レルムと設定(Realms & Settings)] > [パッシブ/VPNアイデンティティを確立できない場合にアクティブ認証を使用(Use active authentication if passive or VPN identity cannot be established)]

  • [IDポリシー(Identity policy)] > (編集) > [ルールの追加(Add Rule)] > [アクティブ認証(Active Authentication)] > [レルムと設定(Realms & Settings)] > [パッシブ/VPNアイデンティティを確立できない場合にアクティブ認証を使用(Use active authentication if passive or VPN identity cannot be established)]

ファイアウォール全体でキャプティブ ポータル アクティブ認証セッションを共有します。

7.4.1

7.4.1

以前に接続していたデバイスとは異なる管理対象デバイスに認証セッションが送信されたときに、ユーザーの認証が必要かどうかを決定します。ユーザーがロケーションまたはサイトを変更するたびに認証する必要がある組織の場合は、このオプションを無効にする必要があります。

  • (デフォルト) 有効にすると、ユーザーはアクティブな認証アイデンティティルールに関連付けられた管理対象デバイスで認証できます。

  • アクティブな認証ルールが展開されている別の管理対象デバイスでユーザーがすでに認証されている場合でも、別の管理対象デバイスでの認証をユーザーに要求する場合は無効にします。

新規/変更された画面:[ポリシー(Policies)] > [アイデンティティ(Identity)] > (ポリシーの編集) > [アクティブ認証(Active Authentication)] > [ファイアウォール全体でアクティブ認証セッションを共有(Share active authentication sessions across firewalls)]

Management Center の Web インターフェイスを使用して、ダウンロード可能なアクセス制御リストを RADIUS アイデンティティソースのシスコ属性値ペア ACL とマージします。

7.4.1

いずれか

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [AAAサーバー(AAA Server)] > [RADIUSサーバーグループ(RADIUS Server Group)] > [RADIUSサーバーグループの追加(Add RADIUS Server Group)] > [ダウンロード可能ACLとシスコAVペアACLの結合(Merge Downloadable ACL with Cisco AV Pair ACL)]

新しい CLI コマンド:

  • sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl after-avpair

  • sh run aaa-server aaa-server ISE-Server protocol radius merge-dacl before-avpair

ヘルス モニタリング

Firepower 4100/9300 のシャーシレベルのヘルスアラート。

7.4.1

FXOS 2.14.1 を搭載したすべて

アップグレードの影響。新しい正常性モジュールを有効にし、アップグレード後にデバイス正常性ポリシーを適用します。

シャーシを読み取り専用デバイスとして Management Center に登録することで、Firepower 4100/9300 のシャーシレベルのヘルスアラートを表示できるようになりました。また、Firewall Threat Defense プラットフォーム障害のヘルスモジュールを有効にして、ヘルスポリシーを適用する必要があります。アラートは、メッセージセンター、ヘルスモニター(左側のペインの [デバイス(Devices)] でシャーシを選択)、およびヘルスイベントビューに表示されます。

マルチインスタンスモードで Cisco Secure Firewall 3100 のシャーシを追加し、正常性アラートを表示することもできます。これらのデバイスの場合は、Management Center を使用してシャーシを管理します。ただし、Firepower 4100/9300 シャーシの場合は、シャーシマネージャまたは FXOS CLI を使用する必要があります。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [追加(Add)] > [シャーシ(Chassis)]

参照:「Add a Chassis to the Management Center

Management Center のメモリ使用率の計算、アラート、およびスワップメモリのモニタリングが改善されました。

7.4.1

いずれか

アップグレードの影響。メモリ使用量アラートのしきい値が引き下げられる可能性があります。

Management Center のメモリ使用量の精度が向上し、デフォルトのアラートしきい値が警告は 88%、重大は 90% に引き下げられました。しきい値が新しいデフォルト値よりも高かった場合、アップグレードによって自動的に下げられます。この変更を有効にするために正常性ポリシーを適用する必要はありません。高メモリプロセスを終了できない場合、システムメモリが極めて少ない状態で Management Center が再起動する可能性があることに注意してください。

新規または既存の Management Center の正常性ダッシュボードに新しいスワップメモリ使用状況メトリックを追加することもできます。[メモリ(Memory)] メトリックグループを選択していることを確認します。

新規/変更された画面:

  • システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタリング(Monitoring)] > [Firewall Management Center][ダッシュボードの追加/編集(Add/Edit Dashboard)][メモリ(Memory)]

  • システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [ポリシー(Policy)] > [Management Center正常性ポリシー(Management Center Health Policy)] > [メモリ(Memory)]

展開とポリシー管理

変更管理。

7.4.1

いずれか

変更を展開する前の監査追跡や正式な承認など、設定変更に関してより正式なプロセスを実装する必要がある組織の場合は、変更管理を有効にできます。

この機能を有効にするための システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [変更管理(Change Management)] ページが追加されました。有効にすると、システム[システム歯車(system gear}] アイコン > 変更管理のワークフロー ページが表示され、メニューに新しい [チケット(Ticket)][チケット(Ticket)] アイコン クイックアクセスアイコンが表示されます。

参照:「Change Management

アップグレード

FXOS アップグレードに含まれるファームウェアのアップグレード。

7.4.1

いずれか

シャーシ/FXOS アップグレードの影響。ファームウェアのアップグレードにより、余分な再起動が発生します。

Firepower 4100/9300 の場合、バージョン 2.14.1 への FXOS アップグレードにファームウェアのアップグレードが含まれるようになりました。デバイス上のいずれかのファームウェア コンポーネントが FXOS バンドルに含まれているコンポーネントよりも古い場合、FXOS アップグレードによってファームウェアも更新されます。ファームウェアがアップグレードされると、デバイスは 2 回リブートします。1 回は FXOS 用、1 回はファームウェア用です。

ソフトウェアおよびオペレーティングシステムのアップグレードと同様に、ファームウェアのアップグレード中に設定変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、ファームウェアのアップグレード中は手動で再起動またはシャットダウンしないでください。

参照:Cisco Firepower 4100/9300 FXOS Firmware Upgrade Guide

Management Center のアップグレード後に設定変更レポートを自動的に生成します。

7.4.1

いずれか

Management Center のメジャーおよびメンテナンスアップグレード後に、設定変更に関するレポートを自動的に生成できます。このレポートは、展開しようとしている変更を理解するのに役立ちます。レポートが生成されたら、メッセージセンターの [タスク(Tasks)] タブからレポートをダウンロードできます。

その他のバージョンの制限:バージョン 7.4.1 以降の Management Center のアップグレードでのみサポートされます。バージョン 7.4.1 以前のバージョンへのアップグレードはサポートされていません。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [設定のアップグレード(Upgrade Configuration)] > [アップグレード後のレポートの有効化(Enable Post-Upgrade Report)]

参照:「Upgrade Configuration

管理(Administration)

Management Center ハードウェアのハードドライブを消去します。

7.4.1

いずれか

Management Center CLI を使用してリブートし、ハードドライブデータを完全に消去できます。消去が完了したら、新しいソフトウェアイメージをインストールできます。

新規/変更された CLI コマンド: secure erase

参照:「Secure Firewall Management Center Command Line Reference

ユーザビリティ、パフォーマンス、およびトラブルシューティング

トラブルシューティング ファイルの生成とダウンロードは、[デバイス(Device)] および [クラスタ(Cluster)] ページから実行できます。

7.4.1

7.4.1

[デバイス(Device)] ページの各デバイス、および [クラスタ(Cluster)] ページのすべてのクラスタノードのトラブルシューティング ファイルを生成およびダウンロードできます。クラスタの場合、すべてのファイルを単一の圧縮ファイルとしてダウンロードできます。クラスタノードのクラスタのクラスタログを含めることもできます。または、[デバイス(Devices)] > [デバイス管理(Device Management)] > その他[その他(More)] アイコン > [トラブルシューティング ファイル(Troubleshoot Files)] メニューからファイル生成をトリガーできます。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [全般(General)]

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [クラスタ(Cluster)] > [全般(General)]

クラスタへの参加に失敗した場合のノードでのトラブルシューティング ファイルの自動生成。

7.4.1

7.4.1

ノードがクラスタに参加できない場合、そのノードのトラブルシューティング ファイルが自動的に生成されます。[タスク(Tasks)] または [クラスタ(Cluster)] ページからファイルをダウンロードできます。

デバイスまたはデバイスクラスタの CLI 出力を表示します。

7.4.1

いずれか

デバイスまたはクラスタのトラブルシューティングに役立つ一連の定義済み CLI 出力を表示できます。また、任意の show コマンドを入力して、出力を確認できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [クラスタ(Cluster)] > [全般(General)]

参照:「View CLI Output

データプレーン障害後の迅速なリカバリ。

7.4.1

7.4.1

データプレーンプロセスがクラッシュした場合、デバイスをリブートする代わりに、データプレーンプロセスのみリロードするようになりました。データプレーンプロセスのリロードに加えて、Snort および他のいくつかのプロセスもリロードされます。

ただし、ブートアップ中にデータプレーンプロセスがクラッシュした場合、デバイスは通常のリロード/リブートシーケンスに従うため、リロードプロセスループの発生を回避できます。

この機能は、新しいデバイスとアップグレードされたデバイスの両方でデフォルトで有効になっています。無効にするには、FlexConfig を使用します。

新規/変更された CLI コマンド:data-plane quick-reload show data-plane quick-reload status

サポートされているプラットフォーム:Firepower 1000/2100、Firepower 4100/9300

プラットフォームの制限:マルチインスタンスモードではサポートされていません。

参照:Cisco Secure Firewall Threat Defense コマンドリファレンス および『Cisco Secure Firewall ASA シリーズ コマンド リファレンス

廃止された機能

廃止:イベント正常性アラートの頻繁なドレイン

7.4.1

7.4.1

[ディスク使用量(Disk Usage)] 正常性モジュールは、イベントの頻繁なドレインでアラートを生成しなくなりました。Management Center のアップグレード後も、正常性ポリシーを管理対象デバイスに展開する(アラートの表示を停止する)か、デバイスをバージョン 7.4.1 以降にアップグレードする(アラートの送信を停止する)まで、アラートが表示され続ける場合があります。

廃止:VPN トンネルステータス正常性モジュール

7.4.1

いずれか

VPN トンネルステータス正常性モジュールは廃止されました。代わりに VPN ダッシュボードを使用します。

廃止:ダウンロード可能なアクセス制御リストと、FlexConfig を使用した RADIUS アイデンティティソースのシスコ属性値ペア ACL のマージ。

7.4.1

いずれか

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

この機能は、Management Center の Web インターフェイスでサポートされるようになりました。

バージョン 7.4.0 の Management Center 機能


(注)  


バージョン 7.4.0 は、Cisco Secure Firewall Management Center および Cisco Secure Firewall 4200 でのみ使用できます。バージョン 7.4.0 Management Center は他のデバイスモデルの古いバージョンを管理できますが、Threat Defense 7.4.0 を必要とする機能には Cisco Secure Firewall 4200 を使用する必要があります。他のすべてのデバイスプラットフォームのサポートは、バージョン 7.4.1 で再開されます。


表 2. バージョン 7.4.0 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

再導入された機能

再導入された機能。

7.4.0

機能に依存

バージョン 7.4.0 では、奇数番号のバージョン(7.1.x、 7.3.x)のメンテナンスリリースに含まれなかったが、偶数番号のバージョン(7.0.x、7.2.x)のメンテナンスリリースに含まれていた機能、機能拡張および重要な修正が再度サポートされます。

再導入された機能は次のとおりです。

プラットフォーム

Management Center 1700、2700、4700。

7.4.0

いずれか

最大 300 台のデバイス管理が可能な Cisco Secure Firewall Management Center 1700、2700、および 4700 が導入されました。Management Center の高可用性がサポートされています。

参照: Cisco Secure Firewall Management Center 1700, 2700, and 4700 Getting Started Guide

Microsoft Hyper-V 向けの Management Center Virtual。

7.4.0

いずれか

最大 25 台のデバイスを管理できる Microsoft Hyper-V 向けの Cisco Secure Firewall Management Center Virtual を導入しました。Management Center の高可用性がサポートされています。

参照: Cisco Secure Firewall Management Center Virtual 入門ガイド

Cisco Secure Firewall 4200。

7.4.0

7.4.0

Cisco Secure Firewall 4215、4225、および 4245 を導入しました。

これらのデバイスは、以下の新しいネットワークモジュールをサポートしています。

  • 2 ポート 100G QSFP+ ネットワークモジュール(FPR4K-XNM-2X100G)

  • 4 ポート 200G QSFP+ ネットワークモジュール(FPR4K-XNM-4X200G)

参照: Cisco Secure Firewall 4215、4225、4245 ハードウェア設置ガイド

Cisco Secure Firewall 4200 のパフォーマンスプロファイルのサポート。

7.4.0

7.4.0

プラットフォーム設定ポリシーで使用可能なパフォーマンスプロファイル設定が、Cisco Secure Firewall 4200 に適用されるようになりました。以前は、この機能は Firepower 4100/9300 および Threat Defense Virtual でのみサポートされていました。

参照:「Configure the Performance Profile

プラットフォームの移行

Firepower 1000/2100 から Cisco Secure Firewall 3100 への移行。

7.4.0

いずれか

Firepower 1000/2100 から Cisco Secure Firewall 3100 に設定を簡単に移行できるようになりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [移行(Migrate)]

プラットフォームの制限:Firepower 1010 または 1010E からの移行はサポートされていません。

参照:「About Secure Firewall Threat Defense Model Migration

Firepower Management Center 4600 から Cisco Secure Firewall Management Center for AWS への移行。

7.4.0

いずれか

Firepower Management Center 4600 から Cisco Secure Firewall Management Center for AWS(300 台のデバイスライセンスあり)への移行。

参照: Cisco Secure Firewall Management Center モデル移行ガイド

Firepower Management Center 1600/2600/4600 から Cisco Secure Firewall Management Center 1700/2700/4700 への移行。

7.4.0

いずれか

Firepower Management Center 1600/2600/4600 を Cisco Secure Firewall Management Center 1700/2700/4700 に移行できます。

参照: Cisco Secure Firewall Management Center モデル移行ガイド

Firepower Management Center 1000/2500/4500 から Cisco Secure Firewall Management Center 1700/2700/4700 への移行

7.4.0 のみ

7.0.0

Firepower Management Center 1000/2500/4500 を Cisco Secure Firewall Management Center 1700/2700/4700 に移行できます。移行するには、古い Management Center をバージョン 7.0 からバージョン 7.4.0 に一時的にアップグレードする必要があります。

重要

 

バージョン 7.4.0 は、移行プロセス中に 1000/2500/4500 でのみサポートされます。Management Center のアップグレードとデバイスの移行までの間隔は最小限に抑える必要があります。

移行プロセスを要約すると、次のようになります。

  1. アップグレードと移行の準備をします。リリースノート、アップグレードガイド、および移行ガイドに記載されているすべての前提条件を読み、理解し、条件を満たしてください。

    アップグレードする前に、古い Management Center の「移行準備ができている」こと、つまり、新たに展開されていて、完全にバックアップされていること、すべてのアプライアンスが正常な状態であることなどが特に重要です。新しい Management Center も設定する必要があります。

  2. 古い Management Center とそのすべての管理対象デバイスを少なくともバージョン 7.0.0 にアップグレードします(バージョン 7.0.5 を推奨)。

    すでに最小バージョンを実行している場合は、この手順をスキップできます。

  3. 古い Management Center をバージョン 7.4.0 にアップグレードします。

    アップグレードパッケージを解凍し(ただし、展開はしない)、Management Center にアップロードします。Special Release からダウンロードします。

  4. モデル移行ガイドの説明に従って、Management Center を移行します。

  5. 移行が成功したことを確認します。

    移行しても期待どおりに機能せず、元に戻す場合、1000/2500/4500 の一般的な操作ではバージョン 7.4.0 がサポートされていないことに注意してください。古い Management Center をサポートされているバージョンに戻すには、バージョン 7.0 に再イメージ化し、バックアップから復元して、デバイスを再登録する必要があります。

参照:

移行プロセスの任意の時点で質問がある場合、またはサポートが必要な場合は、Cisco TAC にお問い合わせください。

Firepower Management Center 1000/2500/4500 から クラウド提供型 Firewall Management Center へのデバイスの移行。

7.4.0 のみ

7.0.3

Firepower Management Center 1000/2500/4500 から クラウド提供型 Firewall Management Centerにデバイスを移行できます。

デバイスを移行するには、オンプレミス Management Center をバージョン 7.0.3(7.0.5 を推奨)からバージョン 7.4.0 に一時的にアップグレードする必要があります。バージョン 7.0 の Management Center ではクラウドへのデバイスの移行がサポートされていないため、この一時的なアップグレードが必要です。さらに、バージョン 7.0.3 以降(7.0.5 を推奨)を実行しているスタンドアロンおよび高可用性 Threat Defense デバイスのみが移行の対象となります。クラスタの移行は現時点ではサポートされていません。

重要

 

バージョン 7.4.0 は、移行プロセス中に 1000/2500/4500 でのみサポートされます。Management Center のアップグレードとデバイスの移行までの間隔は最小限に抑える必要があります。

移行プロセスを要約すると、次のようになります。

  1. アップグレードと移行の準備をします。リリースノート、アップグレードガイド、および移行ガイドに記載されているすべての前提条件を読み、理解し、条件を満たしてください。

    アップグレードする前に、古い Management Center の「移行準備ができている」こと、つまり、移行するデバイスのみ管理していること、設定の影響(VPN の影響など)を評価していること、新たに展開されていて、完全にバックアップされていること、すべてのアプライアンスが正常な状態であることなどが特に重要です。

    また、クラウドテナントのプロビジョニング、ライセンス付与、および準備もする必要があります。これには、セキュリティ イベント ロギングの方法を含める必要があります。サポートされていないバージョンが実行されるため、分析のためにオンプレミス Management Center を保持することはできません。

  2. オンプレミス Management Center とそのすべての管理対象デバイスを少なくともバージョン 7.0.3 にアップグレードします(バージョン 7.0.5 を推奨)。

    すでに最小バージョンを実行している場合は、この手順をスキップできます。

  3. オンプレミス Management Center をバージョン 7.4.0 にアップグレードします。

    アップグレードパッケージを解凍し(ただし、展開はしない)、Management Center にアップロードします。Special Release からダウンロードします。

  4. オンプレミス Management Center を CDO にオンボードします。

  5. 移行ガイドの説明に従って、すべてのデバイスをオンプレミス Management Center から クラウド提供型 Firewall Management Center に移行します。

    移行するデバイスを選択する場合は、[オンプレミスFMCからFTDを削除する(Delete FTD from On-Prem FMC)] を選択してください。変更をコミットするか、14 日が経過するまで、デバイスは完全には削除されないことに注意してください。

  6. 移行が成功したことを確認します。

    移行しても期待どおりに機能しない場合は、14 日以内に戻すことができます。戻さない場合は自動的にコミットされます。ただし、バージョン 7.4.0 は一般的な操作ではサポートされていないことに注意してください。オンプレミス Management Center をサポートされているバージョンに戻すには、再移行したデバイスを削除し、バージョン 7.0.x に再イメージ化し、バックアップから復元して、デバイスを再登録する必要があります。

参照:

移行プロセスの任意の時点で質問がある場合、またはサポートが必要な場合は、Cisco TAC にお問い合わせください。

デバイス管理

シリアル番号を使用して Firepower 1000/2100 および Cisco Secure Firewall 3100を Management Center に登録するロータッチプロビジョニング。

7.4.0

Management Center がパブリックに到達可能:7.2.0

Management Center がパブリックに到達できない:7.2.4

ロータッチプロビジョニングを使用すると、Firepower 1000/2100 および Cisco Secure Firewall 3100 デバイスで初期セットアップを実行することなく、シリアル番号でデバイスを Management Center に登録できます。Management Center は、この機能のために SecureX および Cisco Defense Orchestrator と統合されています。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [追加(Add)] > [デバイス(Device)] > [シリアル番号(Serial Number)]

その他のバージョンの制限:この機能は、Management Center がパブリックに到達できない場合、バージョン 7.3.x または 7.4.0 Threat Defense デバイスではサポートされません。サポートは、バージョン 7.4.1 で再開されています。

参照:「Add a Device to the Management Center Using the Serial Number (Low-Touch Provisioning)

[インターフェイス(Interfaces)]

マージされた管理インターフェイスと診断インターフェイス。

7.4.0

7.4.0

アップグレードの影響。 アップグレード後にインターフェイスをマージします。

7.4 以降を使用している新しいデバイスの場合、レガシー診断インターフェイスは使用できません。マージされた管理インターフェイスのみを使用できます。

7.4 以降にアップグレードした場合:

  • 診断インターフェイスの設定がない場合は、インターフェイスが自動的にマージされます。

  • 診断インターフェイスの設定がある場合は、インターフェイスを手動でマージすることも、診断インターフェイスを引き続き個別に使用することもできます。ただし、診断インターフェイスのサポートは今後のリリースで廃止されるため、できるだけ早くインターフェイスをマージしてください。

マージモードでは、デフォルトでデータルーティングテーブルを使用するように AAA トラフィックの動作も変更されます。管理専用ルーティングテーブルは、設定で管理専用インターフェイス(管理を含む)を指定した場合にのみ使用できるようになりました。

プラットフォーム設定の場合、これは次のことを意味します。

  • 診断インターフェイスで、HTTP、ICMP、または SMTP を有効にすることはできなくなりました。

  • SNMP については、診断インターフェイスではなく管理インターフェイスでホストを許可できます。

  • Syslog サーバーについては、診断インターフェイスではなく管理インターフェイスでアクセスできます。

  • Syslog サーバーまたは SNMP ホストのプラットフォーム設定で診断インターフェイスが名前で指定されている場合、マージされたデバイスとマージされていないデバイスに別々のプラットフォーム設定ポリシーを使用する必要があります。

  • インターフェイスを指定しない場合、DNS ルックアップは管理専用ルーティングテーブルにフォールバックしなくなりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)]

新規/変更されたコマンド: show management-interface convergence

参照:「Merge the Management and Diagnostic Interfaces

VXLAN VTEP IPv6 のサポート。

7.4.0

7.4.0

VXLAN VTEP インターフェイスに IPv6 アドレスを指定できるようになりました。IPv6 は、Threat Defense Virtual クラスタ制御リンクまたは Geneve カプセル化ではサポートされていません。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [VTEP] > [VTEPの追加(Add VTEP)]

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Devices)] > [インターフェイス(Interfaces)] > [インターフェイスの追加(Add Interfaces)] > [VNIインターフェイス(VNI Interface)]

参照:「Configure Geneve Interfaces

BGP および管理トラフィックのループバック インターフェイスのサポート。

7.4.0

7.4.0

AAA、BGP、DNS、HTTP、ICMP、IPsec フローオフロード、NetFlow、SNMP、SSH、および syslog にループバック インターフェイスを使用できるようになりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [インターフェイス(Interfaces)] > [インターフェイスの追加(Add Interfaces)] > [ループバック インターフェイス(Loopback Interface)]

参照:「Configure Loopback Interfaces

ループバックおよび管理タイプのインターフェイス グループ オブジェクト。

7.4.0

7.4.0

管理専用インターフェイスまたはループバック インターフェイスのみを含むインターフェイス グループ オブジェクトを作成でき、作成したグループを DNS サーバー、HTTP アクセス、SSH などの管理機能に使用できます。ループバックグループは、ループバック インターフェイスを利用できるすべての機能で使用できますが、DNS では管理インターフェイスはサポートされていない点に注意してください。

新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [インターフェイス(Interface)] > [追加(Add)] > [インターフェイスグループ(Interface Group)]

参照:「Interface

高可用性/拡張性

データインターフェイスを使用して、Threat Defense ハイアベイラビリティペアを管理します。

7.4.0

7.4.0

Threat Defense ハイアベイラビリティでは、Management Center との通信に通常のデータインターフェイスを使用できるようになりました。以前は、スタンドアロンデバイスのみがこの機能をサポートしていました。

参照:「Using the Threat Defense Data Interface for Management

SD-WAN

WAN サマリーダッシュボード。

7.4.0

7.2.0

WAN サマリーダッシュボードには、WAN デバイスとデバイスのインターフェイスのスナップショットが表示されます。また、WAN ネットワーク、デバイス正常性に関する情報、インターフェイス接続、アプリケーション スループット、および VPN 接続に関するインサイトが表示されます。WAN リンクを監視し、予防的かつ迅速な回復措置を実行できます。

新規/変更された画面:[概要(Overview)] > [WANサマリー(WAN Summary)]

参照:「WAN Summary Dashboard

HTTP パスのモニタリングを使用したポリシーベースのルーティング。

7.4.0

7.2.0

ポリシーベースルーティング(PBR)は、特定の宛先 IP のメトリックではなく、アプリケーションドメインの HTTP クライアントを介したパスモニタリングによって収集された評価指標(RTT、ジッター、パケット損失、および MOS)を使用できるようになりました。インターフェイスの HTTP ベースのアプリケーション モニタリング オプションは、デフォルトで有効になっています。モニタリング対象のアプリケーションが搭載され、パスを決定するためのインターフェイスの順序付けを行う一致 ACL を使用して、PBR ポリシーを設定できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [インターフェイスの編集(Edit interface)] > [パスモニタリング(Path Monitoring)] > [HTTPベースのアプリケーション モニタリングの有効化(Enable HTTP based Application Monitoring)] チェックボックス。

プラットフォームの制限:クラスタ化されたデバイスではサポートされていません。

参照:「Configure Path Monitoring Settings

ユーザー ID と SGT を使用したポリシーベースのルーティング。

7.4.0

7.4.0

ユーザーとユーザーグループ、および PBR ポリシーの SGT に基づいてネットワークトラフィックを分類できるようになりました。PBR ポリシーの拡張 ACL を定義するときに、ID および SGT オブジェクトを選択できます。

新規/変更された画面:[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [アクセスリスト(Access List)] > [拡張(Extended)] > [拡張アクセスリストの追加/編集(Add/Edit Extended Access List)] > [拡張アクセスリストエントリの追加/編集(Add/Edit Extended Access List Entry)] > [ユーザー(Users)] および [セキュリティグループタグ(Security Group Tag)]

参照:「Configure Extended ACL Objects

VPN

Cisco Secure Firewall 4200 向け VTI ループバック インターフェイスの IPSec フローのオフロード。

7.4.0

7.4.0

Cisco Secure Firewall 4200 では、VTI ループバックインターフェイスを介した適格な IPsec 接続がデフォルトでオフロードされます。以前は、この機能は Secure Firewall 3100 の物理インターフェイスでサポートされていました。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

その他の要件:FPGA ファームウェア 6.2 以降

参照:「IPSec Flow Offload

Cisco Secure Firewall 4200 の暗号デバッグの機能拡張。

7.4.0

7.4.0

暗号デバッグの機能拡張は次のとおりです。

  • 暗号アーカイブは、テキスト形式とバイナリ形式で使用できるようになりました。

  • 追加の SSL カウンタをデバッグに使用できます。

  • スタックした暗号化ルールは、デバイスを再起動せずに ASP テーブルから削除できます。

新規/変更された CLI コマンド: show counters

VPN:リモートアクセス

Secure Client のメッセージ、アイコン、画像、接続/切断スクリプトをカスタマイズします。

7.4.0

7.1.0

Secure Client をカスタマイズして、それらのカスタマイズを VPN ヘッドエンドに展開できるようになりました。サポートされている Secure Client のカスタマイズは次のとおりです。

  • GUI テキストとメッセージ

  • アイコンとイメージ

  • スクリプト

  • バイナリ

  • Customized Installer Transforms

  • Localized Installer Transforms

エンドユーザーが Secure Client から接続すると、Threat Defense によりそれらのカスタマイズがエンドポイントに配布されます。

新規/変更された画面:

  • [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [VPN] > [Secure Clientのカスタマイズ(Secure Client Customization)]

  • [デバイス(Device)] > [リモートアクセス(Remote Access)] > [VPNポリシーの編集(Edit VPN policy)] > [詳細設定(Advanced)] > [Secure Clientのカスタマイズ(Secure Client Customization)]

参照:「Customize Cisco Secure Client

VPN:サイト間

VPN ノードの IKE および IPsec セッションの詳細を簡単に表示できます。

7.4.0

いずれか

サイト間 VPN ダッシュボードで、VPN ノードの IKE および IPsec セッションの詳細を使いやすい形式で表示できます。

新規/変更された画面:[概要(Overview )] > [サイト間VPN(Site to Site VPN)] の順に選択し、[トンネルステータス(Tunnel Status)] ウィジェットの下で、トポロジにカーソルを合わせて [表示(View)] をクリックし、[CLIの詳細(CLI Details)] タブをクリックします。

参照:「Monitoring the Site-to-Site VPNs

接続イベントのサイト間 VPN 情報

7.4.0

7.4.0(Snort 3)

接続イベントに、[ピアの暗号化(Encrypt Peer)]、[ピアの復号(Decrypt Peer)]、[VPNアクション(VPN Action)] の 3 つの新しいフィールドが含まれるようになりました。ポリシーベースおよびルートベースのサイト間 VPN トラフィックの場合、これらのフィールドにより、接続が暗号化または復号化 (またはその両方)されたかどうか、および実行ユーザーが示されます。

新規/変更された画面:[分析(Analysis)] > [接続(Connections)] > [イベント(Events)] > [イベントのテーブルビュー(Table View of Events)]

参照:「Site to Site VPN Connection Event Monitoring

NAT 変換からサイト間 VPN トラフィックを簡単に免除します。

7.4.0

いずれか

サイト間 VPN トラフィックを NAT 変換から簡単に免除できるようになりました。

新規/変更された画面:

  • エンドポイントの NAT 免除の有効化:[デバイス(Devices)] > [VPN] > [サイト間(Site To Site)] > [サイト間VPNの追加/編集(Add/Edit Site to Site VPN)] > [エンドポイントの追加/編集(Add/Edit Endpoint)] > [ネットワークアドレス変換からVPNトラフィックを免除する(Exempt VPN traffic from network address translation)]

  • NAT ポリシーのないデバイスの NAT 免除ルールの表示:[デバイス(Devices)] > [NAT] > [NAT免除(NAT Exemptions)]

  • 単一デバイスの NAT 免除ルールの表示:[デバイス(Devices)] > [NAT] > [Threat Defense NATポリシー(Threat Defense NAT Policy)] > [NAT免除(NAT Exemptions)]

参照:「NAT Exemption

ルーティング

IPv6 ネットワークで BGP のグレースフルリスタートを構成します。

7.4.0

7.3.0

管理対象デバイスのバージョン 7.3 以降の IPv6 ネットワークに対しては、BGP グレースフルリスタートを設定できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)] > [BGP] > [IPv6] > [ネイバー(Neighbor)] > [ネイバーの追加/編集(Add/Edit Neighbor)]。

参照:「Configure BGP Neighbor Settings

動的 VTI による仮想ルーティング。

7.4.0

7.4.0

ルートベースのサイト間 VPN にダイナミック VTI を使用して仮想ルータを設定できるようになりました。

新規/変更された画面:[使用可能なインターフェイス(Available Interfaces)] の下の [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)] > [仮想ルータのプロパティ(Virtual Router Properties)] > [ダイナミックVTIインターフェイス(Dynamic VTI interfaces)]。

プラットフォームの制限:ネイティブモードのスタンドアロンまたは高可用性デバイスでのみサポートされます。コンテナインスタンスやクラスタ化されたデバイスではサポートされていません。

参照:「About Virtual Routers and Dynamic VTI

アクセス制御:脅威の検出とアプリケーションの識別

クライアントレスの Zero Trust アクセス。

7.4.0

7.4.0(Snort 3)

Zero Trust アクセスが導入され、外部の SAML ID プロバイダー(IdP)ポリシーを使用して、ネットワークの内部(オンプレミス)または外部(リモート)から保護された Web ベースのリソース、アプリケーション、またはデータへのアクセスを認証および承認できます。

設定では、ゼロトラスト アプリケーション ポリシー、アプリケーショングループ、およびアプリケーションを指定します。

新規/変更された画面:

  • [ポリシー(Policies)] > [Zero Trustアプリケーション(Zero Trust Application)]

  • [分析(Analysis)] > [接続(Connections)] > [イベント(Events)]

  • [概要(Overview)] > [ダッシュボード(Dashboard)] > [Zero Trust]

新規/変更された CLI コマンド:

  • show running-config zero-trust application

  • show running-config zero-trust application-group

  • show zero-trust sessions

  • show zero-trust statistics

  • show cluster zero-trust statistics

  • clear zero-trust sessions application

  • clear zero-trust sessions user

  • clear zero-trust statistics

参照:「Zero Trust Access

暗号化された可視性エンジン機能の拡張。

7.4.0

7.4.0(Snort 3)

暗号化された可視性エンジン(EVE)で、次のことができるようになりました。

  • 脅威スコアに基づいて暗号化トラフィック内の悪意のある通信をブロックする。

  • EVE で検出されたプロセスに基づいてクライアント アプリケーションを判断する。

  • 検出のために、フラグメント化された Client Hello パケットを再構成する。

新規/変更された画面:アクセス コントロール ポリシーの詳細設定を使用して EVE を有効にし、これらの設定を行います。

参照:「Encrypted Visibility Engine

特定のネットワークとポートをエレファントフローのバイパスまたはスロットリングから免除します。

7.4.0

7.4.0(Snort 3)

エレファントフローのバイパスまたはスロットリングから特定のネットワークとポートを免除できるようになりました。

新規/変更された画面:

  • アクセス コントロール ポリシーの詳細設定でエレファントフロー検出を構成するときに、[エレファントフローの修復(Elephant Flow Remediation)] オプションを有効にすると、[ルールの追加(Add Rule)] をクリックして、バイパスまたはスロットリングから免除するトラフィックを指定できるようになりました。

  • システムがバイパスまたはスロットリングから免除されているエレファントフローを検出すると、[エレファントフローが免除されました(Elephant Flow Exempted)] という理由でフロー中接続イベントを生成します。

プラットフォームの制限:Firepower 2100 シリーズではサポートされていません。

参照:「Elephant Flow Detection

カスタム アプリケーション ディテクタを使用した最初のパケットアプリケーションの識別。

7.4.0

7.4.0(Snort 3)

新しい Lua ディテクタ API が導入され、TCP セッションの最初のパケットの IP アドレス、ポート、およびプロトコルがアプリケーションプロトコル(サービス AppID)、クライアント アプリケーション(クライアント AppID)、および Web アプリケーション(ペイロード AppID)にマッピングされます。この新しい Lua API addHostFirstPktApp は、パフォーマンスの向上、再検査、およびトラフィック内の攻撃の早期検出に使用されます。この機能を使用するには、カスタム アプリケーション ディテクタの高度なディテクタで検出基準を指定して、Lua ディテクタをアップロードする必要があります。

参照:「Custom Application Detectors

機密データの検出とマスキング。

7.4.0

7.4.0(Snort 3)

アップグレードの影響。 デフォルトポリシーの新しいルールが有効になります。

社会保障番号、クレジットカード番号、E メールなどの機密データは、インターネットに意図的に、または誤って漏洩される可能性があります。機密データの検出は、機密データの漏洩の可能性を検出してイベントを生成するために使用され、大量の個人識別情報(PII)データが転送された場合にのみイベントを生成します。機密データの検出では、組み込みパターンを使用して、イベントの出力で PII をマスクできます。

データマスキングの無効化はサポートされていません。

参照:「Custom Rules in Snort 3

JavaScript インスペクションの改善。

7.4.0

7.4.0(Snort 3)

JavaScript を正規化し、正規化されたコンテンツに対してルールを照合することで実行される JavaScript インスペクションを改善しました。

参照:「HTTP Inspect Inspector」および Cisco Secure Firewall Management Center Snort 3 コンフィギュレーション ガイド [英語]

ファイルおよびマルウェアイベントに含まれる MITRE 情報。

7.4.0

7.4.0

ファイルおよびマルウェアイベントに MITRE 情報(ローカルマルウェア分析結果)が含まれるようになりました。以前は、この情報は侵入イベントについてのみ利用可能でした。MITRE 情報は、クラシックイベントビューと統合イベントビューの両方で表示できます。MITRE 列は、両方のイベントビューでデフォルトで非表示になっていることに注意してください。

参照:「Local Malware Analysis」および「File and Malware Event Fields

メモリが少ない Snort 2 デバイス用の小規模 VDB。

6.4.0.17

7.0.6

7.2.4

7.3.1.1

7.4.0

すべて(Snort 2)

アップグレードの影響。 メモリが少ないデバイスのアプリケーション ID が影響を受けます。

VDB 363 以降では、Snort 2 搭載のメモリが少ないデバイスに小規模 VDB(別称:VDB lite)がインストールされるようになりました。この小規模 VDB には同じアプリケーションが搭載されていますが、検出パターンは少なくなっています。小規模 VDB を使用しているデバイスでは、フルサイズの VDB を使用しているデバイスと比較して、一部のアプリケーションが識別されない場合があります。

メモリが少ないデバイス:ASA 5506-X シリーズ、ASA-5508-X、5512-X、5515-X、5516-X、5525-X、5545-X

バージョンの制限:小規模 VDB をインストールできるかどうかは、管理対象デバイスではなく Management Center のバージョンによって決まります。サポート対象のバージョンからサポート対象外のバージョンに Management Center をアップグレードする場合、導入環境内にメモリの少ないデバイスが 1 つでも含まれていると、VDB 363 以降をインストールできません。影響を受けるリリースのリストについては、CSCwd88641 を参照してください。

アクセス制御:アイデンティティ

Cisco Secure 動的属性コネクタによる動的オブジェクト管理の機能強化。

7.4.0

いずれか(Any)

次を使用した動的オブジェクト管理がサポートされるようになりました。

  • Management Center の Cisco Secure 動的属性コネクタ。アップグレード

  • スタンドアロン アプリケーションとしての Cisco Secure 動的属性コネクタ 2.1。

参照:「Cisco Secure Dynamic Attributes Connector」および Cisco Secure Dynamic Attributes Connector コンフィギュレーション ガイド、バージョン2.1 [英語]

ユーザー ID ソースとしての Microsoft Azure AD。

7.4.0

7.4.0

Microsoft Azure Active Directory(Azure AD)レルムと ISE を使用すると、ユーザーを認証したりユーザー制御のためにユーザーセッションを取得したりできます。

新規/変更された画面:

  • [統合(Integration)] > [その他の統合(Other Integrations)] > [レルム(Realms)] > [レルムを追加(Add Realm)] > [Azure AD(Azure AD)]

  • [統合(Integration)] > [その他の統合(Other Integrations)] > [レルム( Realms)] > [アクション(Actions)](ユーザーのダウンロード、コピー、編集、削除など)

サポートされている ISE バージョン:3.0 パッチ 5 以降、3.1(任意のパッチレベル)、3.2(任意のパッチレベル)

参照:「Create a Microsoft Azure Active Directory Realm

イベントロギングおよび分析

Management Center の Web インターフェイスから、Threat Defense デバイスを NetFlow エクスポータとして設定できます。

7.4.0

いずれか(Any)

アップグレードの影響。アップグレード後に、FlexConfig をやり直します。

NetFlow は、パケットフローの統計情報を提供するシスコアプリケーションの 1 つです。Management Center の Web インターフェイスを使用して、Threat Defense デバイスを NetFlow エクスポータとして設定できるようになりました。既存の NetFlow FlexConfig があり、Web インターフェイスで設定をやり直す場合は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [Threat Defense設定ポリシー(Threat Defense Settings policy)] > [NetFlow]

参照:「Configure NetFlow

ログに記録された暗号化接続での「不明な」SSL アクションに関する詳細。

7.4.0

7.4.0

イベントレポートおよび復号ルールマッチングの有用性が向上しました。

  • 暗号化された接続の SSL ハンドシェイクが完了していないかどうかを示す新しいSSL ステータス。ログに記録された接続の SSL ハンドシェイクが完了していない場合、接続イベントの [SSLステータス(SSL Status)] 列に「不明(不完全なハンドシェイク)(Unknown (Incomplete Handshake))」と表示されます。

  • 証明書のサブジェクト代替名(SAN)は、強化された復号ルールマッチングの認証局(CA)名を照合するときに使用されるようになりました。

新規/変更された画面:

  • [分析(Analysis)] > [接続(Connections)] > [イベント(Events)] > [SSLステータス(SSL Status)]

  • [分析(Analysis)] > [接続(Connections)] > [セキュリティ関連イベント(Security-Related Events)] > [SSLステータス(SSL Status)]

参照:「Connection and Security-Related Connection Event Fields

ヘルス モニタリング

OpenConfig を使用して、テレメトリを外部サーバーにストリーミング。

7.4.0

7.4.0

OpenConfig を使用して、メトリックとヘルスモニタリング情報を Threat Defense デバイスから外部サーバー(gNMI コレクタ)に送信できるようになりました。TLS により暗号化された接続を開始するように Threat Defense またはコレクタを設定できます。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [ヘルス(Health)] > [ポリシー(Policy)] > [Firewall Threat Defenseポリシー(Firewall Threat Defense Policies)] > [設定(Settings)] > [OpenConfigストリーミングテレメトリ(OpenConfig Streaming Telemetry)]

参照:「Send Vendor-Neutral Telemetry Streams Using OpenConfig

新しい ASP ドロップメトリック。

7.4.0

7.4.0

新規または既存のデバイス正常性ダッシュボードに、600 を超える新しい ASP(高速セキュリティパス)ドロップメトリックを追加できます。[ASPドロップ(ASP Drops)] メトリックグループを選択していることを確認します。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニター(Monitor)] > [デバイス(Device)]

参照:「show asp drop Command Usage

管理(Administration)

詳細な Management Center の監査ログを syslog に送信します。

7.4.0

いずれか

構成データの形式とホストを指定することにより、構成変更を監査ログデータの一部として syslog にストリーミングできます。Management Center は、監査構成ログのバックアップと復元をサポートしています。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [監査ログ(Audit Log)] > [設定変更の送信(Send Configuration Changes)]。

参照:「Stream Audit Logs to Syslog

アクセス コントロール ポリシーとルールを変更するための詳細なアクセス許可。

7.4.0

いずれか

カスタムユーザーロールを定義して、アクセス コントロール ポリシーおよびルールの侵入設定と、その他のアクセス コントロール ポリシーおよびルールを区別できます。これらのアクセス許可を使用すると、ネットワーク管理チームと侵入管理チームの責任を分離できます。

ユーザーロールを定義するときに、[ポリシー(Policies)] > [アクセス制御(Access Control)] > [アクセスコントロールポリシー(Access Control Policy)] > [アクセスコントロールポリシーの変更(Modify Access Control Policy)] > [脅威設定の変更(Modify Threat Configuration)]オプションを選択して、侵入ポリシー、変数セット、およびルール内のファイルポリシー、ネットワーク分析および侵入ポリシーの詳細オプションの設定、アクセス コントロール ポリシーのセキュリティ インテリジェンス ポリシーの構成、およびポリシーのデフォルトアクションの侵入アクションを選択できるようにします。[残りのアクセスコントロールポリシー設定の変更(Modify Remaining Access Control Policy Configuration)] を使用して、ポリシーの他のすべての側面を編集する機能を制御できます。アクセス コントロール ポリシーの変更権限を含む既存の事前定義されたユーザーロールは、引き続きすべてのサブ権限をサポートします。詳細な権限を適用する場合は、独自のカスタムロールを作成する必要があります。

参照:「Create Custom User Roles

証明書の失効を確認する際の IPv6 URL のサポート。

7.4.0

7.4.0

以前は、Threat Defense は IPv4 OCSP URL のみをサポートしていました。現在、Threat Defense は IPv4 と IPv6 の両方の OCSP URL をサポートしています。

参照:「Requiring Valid HTTPS Client Certificates」および「Certificate Enrollment Object Revocation Options

デフォルトの NTP サーバーが更新されました。

7.4.0

いずれか

新しい Management Center の展開では、デフォルトの NTP サーバーは、sourcefire.pool.ntp.org から time.cisco.com に変更されました。Management Center を使用して、独自のデバイスに時刻を提供することを推奨します。システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [時刻の同期(Time Synchronization)]で Management Center の NTP サーバーを更新できます。

参照:「Internet Access Requirements

ユーザビリティ、パフォーマンス、およびトラブルシューティング

ユーザービリティの拡張。

7.4.0

いずれか

次の作業に進んでください。

  • システム[システム歯車(system gear}] アイコン > [スマートライセンス(Smart Licenses)] から Threat Defense クラスタのスマートライセンスを管理します。以前は、[デバイス管理(Device Management)] ページを使用する必要がありました。

    参照:デバイスクラスタのライセンス

  • メッセージセンター通知のレポートをダウンロードします。メッセージセンターで、[通知を表示(Show Notifications)] スライダの横にある新しい [レポートのダウンロード(Download Report)] アイコンをクリックします。

    参照:システムメッセージの管理

  • すべての登録済みデバイスのレポートをダウンロードします。[デバイス(Devices)] > [デバイス管理(Device Management)]に移動し、ページの右上にある新しい [デバイスリストレポートのダウンロード(Download Device List Report)] リンクをクリックします。

    参照:管理対象デバイスリストのダウンロード

  • ネットワークおよびポートオブジェクトを複製します。オブジェクトマネージャ([オブジェクト(Objects)] > [オブジェクト管理(Object Management)])で、ポートまたはネットワークオブジェクトの横にある新しい [クローン(Clone)] アイコン をクリックします。その後、新しいオブジェクトのプロパティを変更し、新しい名前で保存できます。

    参照:ネットワークオブジェクトの作成およびポートオブジェクトの作成

  • カスタム ヘルス モニタリング ダッシュボードを簡単に作成し、既存のダッシュボードを簡単に編集できます。

    参照:「Correlating Device Metrics

Secure Firewall 4200 のパケットキャプチャでキャプチャするトラフィックの方向を指定します。

7.4.0

7.4.0

Secure Firewall 4200 では、 コマンドで新しいdirection キーワードcapture を使用できます。

新規/変更された CLI コマンド:capturecapture_nameswitchinterfaceinterface_name[ direction{ both| egress| ingress} ]

参照: Cisco Secure Firewall Threat Defense コマンドリファレンス

Snort 3 が無応答になると再起動し、HA フェールオーバーがトリガーされる可能性があります。

7.4.0

7.4.0(Snort 3)

操作の継続性を向上させるために、応答しない Snort が高可用性フェールオーバーをトリガーできるようになりました。これは、プロセスが応答しなくなった場合に Snort 3 が再起動されるようになったために発生します。Snort プロセスを再起動すると、デバイスでのトラフィックフローと検査が一時的に中断され、高可用性展開ではフェールオーバーがトリガーされる可能性があります(スタンドアロン展開では、インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます)。

この機能は、デフォルトでイネーブルにされています。CLI を使用してフェールオーバーを無効にするか、Snort を再起動する条件として時間や無応答スレッド数を設定できます。

新規/変更された CLI コマンド: configure snort3-watchdog

参照: Cisco Secure Firewall Threat Defense コマンドリファレンス

Cisco Success Network テレメトリ。

7.4.0

いずれか

テレメトリの変更については、『Cisco Success Network Telemetry Data Collected from Cisco Secure Firewall Management Center, Version 7.4.x』を参照してください。

Management Center REST API

Management Center REST API。

7.4.0

いずれか

Management Center REST API の変更については、API クイックスタートガイドの「What's New in Version 7.4」を参照してください。

廃止された機能

一時的に廃止された機能。

7.4.0

いずれか

バージョン 7.4.0 へのアップグレードはサポートされていますが、現在のバージョンに含まれている重要な機能や修正、機能拡張が削除されます。代わりに、バージョン 7.4.1 以降にアップグレードしてください。

バージョン 7.2.5 ~ 7.2.x では、アップグレードにより以下が削除されます。

バージョン 7.2.6 ~ 7.2.x では、アップグレードにより以下が削除されます。

廃止:FlexConfig を使用した NetFlow。

7.4.0

いずれか

Management Center の Web インターフェイスから、Threat Defense デバイスを NetFlow エクスポータとして設定できるようになりました。この設定をすると、廃止された FlexConfig を削除するまで展開できません。

参照:「Configure NetFlow

バージョン 7.3.1 の Management Center 機能

表 3. バージョン 7.3.1.1 での Management Center の機能

機能

最小の Management Center

最小の Threat Defense

詳細

メモリが少ない Snort 2 デバイス用の小規模 VDB。

6.4.0.17

7.0.6

7.2.4

7.3.1.1

7.4.0

すべて(Snort 2)

アップグレードの影響。 メモリが少ないデバイスのアプリケーション ID が影響を受けます。

VDB 363 以降では、Snort 2 搭載のメモリが少ないデバイスに小規模 VDB(別称:VDB lite)がインストールされるようになりました。この小規模 VDB には同じアプリケーションが搭載されていますが、検出パターンは少なくなっています。小規模 VDB を使用しているデバイスでは、フルサイズの VDB を使用しているデバイスと比較して、一部のアプリケーションが識別されない場合があります。

メモリが少ないデバイス:ASA 5506-X シリーズ、ASA-5508-X、5512-X、5515-X、5516-X、5525-X、5545-X

バージョンの制限:小規模 VDB をインストールできるかどうかは、管理対象デバイスではなく Management Center のバージョンによって決まります。サポート対象のバージョンからサポート対象外のバージョンに Management Center をアップグレードする場合、導入環境内にメモリの少ないデバイスが 1 つでも含まれていると、VDB 363 以降をインストールできません。影響を受けるリリースのリストについては、CSCwd88641 を参照してください。

表 4. バージョン 7.3.1 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

Cisco Secure Firewall 3105。

7.3.1

7.3.1

Cisco Secure Firewall 3105 を導入しました。

バージョン 7.3.0 の Management Center 機能

表 5. バージョン 7.3.0 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

プラットフォーム

Management Center Virtual 300 for KVM。

7.3.0

いずれか

KVM に対応する FMCv300 が導入されました。FMCv300 は、最大 300 台のデバイスを管理できます。高可用性はサポートされていません。

Firewall 4100 のネットワークモジュール。

7.3.0

7.3.0

Firewall 4100 向けに次のネットワークモジュールが導入されました。

  • 2 ポート 100G ネットワークモジュール(FPR4K-NM-2X100G)

サポートされているプラットフォーム:Firepower 4112、4115、4125、4145

ISA 3000 システム LED によるシャットダウンのサポート。

7.3.0

7.0.5

7.3.0

この機能のサポートが再開されました。ISA 3000 をシャットダウンすると、システム LED が消灯します。その後、少なくとも 10 秒間待ってからデバイスの電源を切ってください。この機能はバージョン 7.0.5 で導入されましたが、バージョン 7.1 ~ 7.2 で一時的に廃止になりました。

Threat Defense Virtual 用の新しいコンピューティングシェイプと OCI 用の Management Center Virtual。

7.3.0

7.3.0

OCI 用の Threat Defense Virtual では、次のコンピューティングシェイプのサポートが追加されています。

  • インテル VM.DenseIO2.8

  • インテル VM.StandardB1.4

  • インテル VM.StandardB1.8

  • インテル VM.Standard1.4

  • インテル VM.Standard1.8

  • インテル VM.Standard3.Flex

  • インテル VM.Optimized3.Flex

  • AMD VM.Standard.E4.Flex

OCI 用の Management Center Virtual では、次のコンピューティングシェイプのサポートが追加されています。

  • インテル VM.StandardB1.4

  • インテル VM.Standard3.Flex

  • インテル VM.Optimized3.Flex

  • AMD VM.Standard.E4.Flex

VM.Standard2.4 および VM.Standard2.8 コンピューティングシェイプは、2022 年 2 月に注文可能期間が終了したことに注意してください。バージョン 7.3 以降を導入する場合は、別のコンピューティングシェイプにすることを推奨します。

互換性のあるコンピューティングシェイプの詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

インターフェイス

仮想アプライアンスの IPv6 サポート。

7.3.0

7.3.0

Threat Defense Virtual および Management Center Virtual は、次の環境で IPv6 をサポートするようになりました。

  • AWS

  • Azure

  • OCI

  • KVM

  • VMware

詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドおよびCisco Secure Firewall Management Center Virtual 入門ガイドを参照してください。

VTI のループバック インターフェイス サポート。

7.3.0

7.3.0

静的および動的 VTI VPN トンネルの冗長性のためにループバック インターフェイスを設定できるようになりました。ループバック インターフェイスは、物理インターフェイスをエミュレートするソフトウェア インターフェイスであり、IPv4 および IPv6 アドレスを持つ複数の物理インターフェイスを介して到達できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Devices)] > [インターフェイス(Interfaces)] > [インターフェイスの追加(Add Interfaces)] > [ループバックインターフェイスの追加(Add Loopback Interface)]

詳細については、デバイス コンフィギュレーション ガイドの「Configure Loopback Interfaces」を参照してください。

冗長マネージャ アクセス データ インターフェイス。

7.3.0

7.3.0

マネージャアクセスにデータインターフェイスを使用する場合、プライマリインターフェイスがダウンしたときに管理機能を引き継ぐよう、セカンダリインターフェイスを構成できます。デバイスは、SLA モニタリングを使用して、スタティックルートの実行可能性と、両方のインターフェイスを含む ECMP ゾーンを追跡し、管理トラフィックで両方のインターフェイスが使用できるようにします。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)]

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Devices)] > [インターフェイス(Interfaces)] > [マネージャアクセス(Manager Access)]

詳細については、デバイス コンフィギュレーション ガイドの「Configure a Redundant Manager Access Data Interface」を参照してください。

IPv6 DHCP。

7.3.0

7.3.0

IPv6 アドレッシングの次の機能がサポートされるようになりました。

  • DHCPv6 アドレスクライアント:Threat Defense は、DHCPv6 サーバーから IPv6 グローバルアドレスとオプションのデフォルトルートを取得します。

  • DHCPv6 プレフィックス委任クライアント:Threat Defense は DHCPv6 サーバーから委任プレフィックスを取得します。これらのプレフィックスを使用して他の Threat Defense インターフェイスのアドレスを設定し、ステートレスアドレス自動設定(SLAAC)クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

  • 委任プレフィックスの BGP ルータアドバタイズメント。

  • DHCPv6 ステートレスサーバー:SLAAC クライアントが Threat Defense に情報要求(IR)パケットを送信すると、Threat Defense はドメイン名などの他の情報を SLAAC クライアントに提供します。Threat Defense は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [インターフェイス(Interfaces)] > [インターフェイス(Interface)] > [IPv6] > [DHCP]

  • [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [DHCP IPv6プール(DHCP IPv6 Pool)]

新規/変更された CLI コマンド:show bgp ipv6 unicast show ipv6 dhcp show ipv6 general-prefix

詳細については、デバイス コンフィギュレーション ガイドの「Configure the IPv6 Prefix Delegation Client」、「BGP」および「Configure the DHCPv6 Stateless Server」を参照してください。

Azure ゲートウェイロードバランサの Threat Defense Virtual のペアプロキシ VXLAN

7.3.0

7.3.0

Azure ゲートウェイロードバランサで使用するために、Azure の Threat Defense Virtual のペアプロキシモード VXLAN インターフェイスを構成できます。デバイスは、ペアリングされたプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Devices)] > [インターフェイス(Interfaces)] > [インターフェイスの追加(Add Interfaces)] > [VNIインターフェイス(VNI Interface)]

詳細については、デバイス コンフィギュレーション ガイドの「Configure VXLAN Interfaces」を参照してください。

高可用性/拡張性

KVM および Azure 向け Management Center Virtual の高可用性。

7.3.0

いずれか

KVM および Azure 向け Management Center Virtual の高可用性がサポートされるようになりました。

Threat Defense の展開では、同じようにライセンスされた 2 つの管理センターと、管理対象デバイスごとに 1 つの Threat Defense 権限が必要です。たとえば、FMCv10 高可用性ペアで 10 台のデバイスを管理するには、2 個の FMCv10 権限と 10 個の Threat Defense 権限が必要です。バージョン 7.0.x のクラシックデバイス(NGIPSv または ASA FirePOWER)のみを管理している場合は、FMCv 権限は必要ありません。

KVM でサポートされているプラットフォーム:FMCv10、FMCv25、FMCv300

Azure でサポートされているプラットフォーム:FMCv10、FMCv25

詳細については、Cisco Secure Firewall Management Center Virtual 入門ガイド、およびアドミニストレーション ガイドの「High Availability」を参照してください。

Azure 向け Threat Defense Virtual のクラスタリング。

7.3.0

7.3.0

Azure 向け Threat Defense Virtual を使用して、最大 16 ノードのクラスタリングを構成できるようになりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)]

詳細については、デバイス コンフィギュレーション ガイドの「Clustering for Threat Defense Virtual in a Public Cloud」を参照してください。

Azure ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケール。

7.3.0

7.3.0

Azure ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケールがサポートされるようになりました。詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

クラスタ化されたデバイスのバックアップと復元のサポート。

7.3.0

7.3.0

Management Center を使用してクラスタのバックアップを実行できるようになりました。クラスタノードを復元するには、デバイス CLI を使用する必要があります。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] > [管理対象デバイスのバックアップ(Managed Device Backup)]

新規/変更された CLI コマンド: restore remote-manager-backup

詳細については、アドミニストレーション ガイドの「Backup/Restore」を参照してください。

リモートアクセス VPN

RA VPN ダッシュボード。

7.3.0

いずれか

デバイス上のアクティブな RA VPN セッションからのリアルタイムデータを監視できるリモートアクセス VPN(RA VPN)ダッシュボードが導入されました。ユーザーセッションに関連する問題をすばやく特定し、ネットワークとユーザーの問題を軽減できるように、ダッシュボードには次の機能があります。

  • ロケーションに基づいたアクティブなユーザーセッションの可視化。

  • アクティブなユーザーセッションに関する詳細情報。

  • 必要に応じて、セッションを終了することによるユーザーセッションの問題の軽減。

  • デバイス、暗号化タイプ、Secure Client バージョン、オペレーティングシステム、および接続プロファイルごとのアクティブなユーザーセッションの分布。

  • デバイスのデバイス ID 証明書の有効期限の詳細。

新規/変更された画面:[概要(Overview)] > [ダッシュボード(Dashboards)] > [リモートアクセスVPN(Remote Access VPN)]

詳細については、アドミニストレーション ガイドの「Dashboards」を参照してください。

TLS 1.3 で RA VPN 接続を暗号化します。

7.3.0

7.3.0

TLS 1.3 を使用して、次の暗号で RA VPN 接続を暗号化できるようになりました。

  • TLS_AES_128_GCM_SHA256

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_256_GCM_SHA384

Threat Defense プラットフォーム設定を使用して TLS バージョンを設定します:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [Threat Defense設定ポリシーの追加/編集(Add/Edit Threat Defense Settings Policy)] > [SSL] > [TLSバージョン(TLS Version)]

この機能には、Cisco Secure Client、リリース 5(以前は AnyConnect セキュア モビリティ クライアントと呼ばれていました)が必要です。

詳細については、デバイス コンフィギュレーション ガイドの「Configure SSL Settings」を参照してください。

サイト間 VPN

サイト間 VPN ダッシュボードのパケットトレーサ。

7.3.0

いずれか

デバイス間の VPN トンネルのトラブルシューティングに役立つように、サイト間 VPN ダッシュボードにパケットトレーサ機能を追加しました。

[概要(Overview)] > [ダッシュボード(Dashboards)] > [サイト間VPN(Site to Site VPN)]を選択して、ダッシュボードを開きます。次に、調査するトンネルの横にある [表示(View)]([表示(View)] ボタン をクリックし、表示されるサイドペインで [パケットトレーサ(Packet Tracer)] をクリックします。

詳細については、デバイス コンフィギュレーション ガイドの「Monitoring the Site-to-Site VPNs」を参照してください。

サイト間 VPN を使用したダイナミック VTI のサポート。

7.3.0

7.3.0

ハブアンドスポークトポロジでルートベースのサイト間 VPN を構成する場合、動的仮想トンネルインターフェイス(VTI)がサポートされるようになりました。以前は、静的 VTI のみを使用できました。

これにより、大規模なハブアンドスポーク展開の構成が容易になります。ハブの複数のスタティック VTI 構成を単一の ダイナミック VTI に置き換えることができます。また、ハブの構成を変更せずに、新しいスポークをハブに追加できます。

新規/変更された画面:ルートベースのハブアンドスポークサイト間 VPN トポロジのハブノードエンドポイントを構成するときのオプションを更新しました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure Endpoints for a Hub and Spoke Topology」を参照してください。

Umbrella SIG 統合の改善。

7.3.0

7.3.0

Threat Defense デバイスと Umbrella セキュア インターネット ゲートウェイ(SIG)の間に IPsec IKEv2 トンネルを簡単に展開できるようになりました。これにより、インターネットに向かうすべてのトラフィックを検査とフィルタリングのために Umbrella に転送できます。

これらのトンネルを構成して展開するには、新しいタイプの静的 VTI ベースのサイト間 VPN トポロジである SASE トポロジを作成します:[デバイス(Devices)] > [VPN] > [サイト間(Site To Site)] > [SASEトポロジ(SASE Topology)]

詳細については、デバイス コンフィギュレーション ガイドの「Deploy a SASE Tunnel on Umbrella」を参照してください。

ルーティング

Management Center の Web インターフェイスから BGP の BFD を設定。

7.3.0

いずれか

アップグレードの影響。

Management Center の Web インターフェイスを使用して、BGP の Bidirectional Forwarding Detection(BFD)を設定できるようになりました。仮想ルータに属するインターフェイスでのみ BFD を有効にできることに注意してください。既存の BFD FlexConfig があり、Web インターフェイスで設定をやり直す場合は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [ルーティング(Routing)] > [BFD]

  • [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [BFDテンプレート(BFD Template)]

  • BGP ネイバー設定を構成するときに、[BFDフェールオーバー(BFD Failover)] チェックボックスが、BFD タイプ(シングルホップ、マルチホップ、自動検出、またはなし(無効))を選択するメニューに置き換えられました。アップグレードされた Management Center の場合、古い [BFDフェールオーバー(BFD Failover)] オプションが有効になっている場合は [自動検出ホップ(auto-detect hop)] が選択され、古いオプションが無効になっている場合は [なし(none)] が選択されます。

詳細については、デバイス コンフィギュレーション ガイドの「Bidirectional Forwarding Detection Routing」を参照してください。

VTI の IPv4 および IPv6 OSPF ルーティングのサポート。

7.3.0

7.3.0

VTI インターフェイスの IPv4 および IPv6 OSPF ルーティングがサポートされるようになりました。

新規/変更されたページ:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [ルーティング(Routing)] > [OSPF/OSFPv3]の OSPF ルーティングプロセスに VTI インターフェイスを追加できます。

詳細については、デバイス コンフィギュレーション ガイドの「OSPF」と「Additional Configurations for VTI」を参照してください。

VTI の IPv4 EIGRP ルーティングのサポート。

7.3.0

7.3.0

VTI インターフェイスの IPv4 EIGRP ルーティングがサポートされるようになりました。

新規/変更された画面:VTI を EIGRP ルーティングプロセスの静的ネイバーとして定義し、VTI のインターフェイス固有の EIGRP ルーティングプロパティを設定できます。[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [ルーティング(Routing)] > [EIGRP]で VTI のサマリアドレスをアドバタイズします。

詳細については、デバイス コンフィギュレーション ガイドの「EIGRP」と「Additional Configurations for VTI」を参照してください。

ポリシーベースルーティングのためのネットワーク サービス グループの追加。

7.3.0

7.3.0

最大 1024 のネットワーク サービス グループ(ポリシーベースルーティングで使用するための拡張 ACL 内のアプリケーショングループ)を設定できるようになりました。以前は、制限は 256 でした。

ポリシーベースのルーティング転送アクションを設定する際の複数のネクストホップのサポート。

7.3.0

7.1

ポリシーベースのルーティング転送アクションを設定する際に、複数のネクストホップを構成できるようになりました。トラフィックがルートの基準に一致すると、システムは、成功するまで、指定した順序でトラフィックを IP アドレスに転送しようとします。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [ルーティング(Routing)] > [ポリシーベースルーティング(Policy Based Routing)] > [ポリシーベースルートの追加(Add Policy Based Route)] > [一致基準と出力インターフェイスの追加(Add Match Criteria and Egress Interface)]の [送信先(Send To)] メニューから [IPアドレス(IP Address)] を選択するときに、いくつかのオプションが追加されました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure Policy-Based Routing Policy」を参照してください。

アップグレード

シスコからアップグレードパッケージを選択して、Management Center に直接ダウンロードします。

7.3..x のみ

いずれか

Management Center に直接ダウンロードする Threat Defense アップグレードパッケージを選択できるようになりました。 > [更新(Updates)] > [製品の更新(Product Updates)]の新しい [の更新のダウンロード(Download Threat Defense Updates)] サブタブを使用します。

その他のバージョンの制限:バージョン 7.2.6/7.4.1 では、この機能は改善されたパッケージ管理システムに置き換えられています。

参照:Management Center を含むアップグレードパッケージのダウンロード

Threat Defense のウィザードを使用してアップグレードパッケージを Management Center にアップロードします。

7.3.x のみ

いずれか

ウィザードを使用して、脅威防御アップグレードパッケージをアップロードしたり、場所を指定したりできるようになりました。以前は(バージョンに応じて)システム[システム歯車(system gear}] アイコン > [更新(Updates)]またはシステム[システム歯車(system gear}] アイコン > [製品のアップグレード(Product Upgrades)]を使用していました。

その他のバージョンの制限:バージョン 7.2.6/7.4.1 では、この機能は改善されたパッケージ管理システムに置き換えられています。

参照:脅威防御のアップグレード

Threat Defense のアップグレード完了後の Snort 3 への自動アップグレードはオプションではなくなりました。

7.3.0

いずれか

アップグレードの影響。

Threat Defence をバージョン 7.3 以降にアップグレードする場合、[Snort 2からSnort 3にアップグレードする(Upgrade Snort 2 to Snort 3)] オプションは無効化できなくなりました。

ソフトウェアのアップグレード後、設定を展開すると、対象となるすべてのデバイスが Snort 2 から Snort 3 にアップグレードされます。個々のデバイスを元に戻すことはできますが、Snort 2 は将来のリリースで非推奨になるため、今すぐ使用を停止することを強く推奨します。

カスタム侵入ポリシーやネットワーク分析ポリシーを使用しているためにデバイスが自動アップグレード対象外になる場合は、検出とパフォーマンスを向上させるために、手動で Snort 3 にアップグレードすることを強く推奨します。移行のサポートについては、お使いのバージョンの Cisco Secure Firewall Management Center Snort 3 Configuration Guide を参照してください。

Cisco Secure Firewall 3100 の統合アップグレードおよびインストールパッケージ。

7.3.0

7.3.0

再イメージ化の影響。

バージョン 7.3 では、次のように、Secure Firewall 3100 の Threat Defense のインストールおよびアップグレードパッケージを組み合わせました。

  • バージョン 7.1 ~ 7.2 インストールパッケージ:isco-ftd-fp3k.version.SPA

  • バージョン 7.1 ~ 7.2 アップグレードパッケージ:Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

  • バージョン 7.3 以降の統合パッケージ:Cisco_FTD_SSP_FP3K_Upgrade-version-build.sh.REL.tar

Threat Defense は問題なくアップグレードできますが、古い Threat Defense および ASA バージョンから Threat Defense バージョン 7.3 以上に直接再イメージ化することはできません。これは、新しいイメージタイプに必要な ROMMON アップデートが原因です。これらの古いバージョンから再イメージ化するには、古い ROMMON でサポートされているだけでなく新しい ROMMON への更新も行う、ASA 9.19 以上を「通過」する必要があります。個別の ROMMON アップデータはありません。

Threat Defense バージョン 7.3 以上にするには、次のオプションがあります。

アクセス制御と脅威検出

SSL ポリシーの名前が復号ポリシーに変更されました。

7.3.0

いずれか

SSL ポリシーの名前を復号ポリシーに変更しました。また、インバウンドおよびアウトバウンドトラフィックの初期ルールと証明書の作成など、復号ポリシーの作成と構成を容易にするポリシーウィザードも追加しました。

新規/変更された画面:

  • 復号ポリシーの追加または編集:[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)]

  • 復号ポリシーの使用:アクセス コントロール ポリシーの詳細設定の [復号ポリシー設定(Decryption Policy Settings)]。

詳細については、デバイス コンフィギュレーション ガイドの「Decryption Policies」を参照してください。

Snort 3 デバイスでの TLS サーバー ID 検出の改善。

7.3.0

7.3.0

TLS 1.3 で暗号化されたトラフィックをサーバー証明書からの情報で処理できる TLS サーバー ID 検出機能によるパフォーマンスと検査の改善がサポートされるようになりました。この機能は有効にしておくことをお勧めしますが、復号ポリシーの詳細設定にある新しい [アダプティブTLSサーバーIDプローブを有効にする(Enable adaptive TLS server identity probe)] オプションを使用して無効にすることができます。

詳細については、デバイス コンフィギュレーション ガイドの「TLS 1.3 Decryption Best Practices」を参照してください。

クラウドルックアップ結果のみを使用した URL フィルタリング。

7.3.0

7.3.0

URL フィルタリングを有効にする(または再度有効にする)と、Management Center は自動的にシスコに URL カテゴリとレピュテーションデータを照会し、データセットを管理対象デバイスにプッシュします。システムがこのデータセットを使用して Web トラフィックをフィルタリングする方法に関するオプションが増えました。

これを行うために、[不明なURLをCisco Cloudに照会する(Query Cisco Cloud for Unknown URLs)] オプションを次の 3 つの新しいオプションに置き換えました。

  • [ローカルデータベースのみ(Local Database Only)]:ローカル URL データセットのみを使用します。プライバシー上の理由などから、未分類の URL(ローカルデータセットにないカテゴリとレピュテーション)をシスコに送信したくない場合は、このオプションを使用します。ただし、未分類の URL への接続は、カテゴリまたはレピュテーションベースの URL 条件を含むルールに一致しないことに注意してください。URL に手動でカテゴリやレピュテーションを割り当てることはできません。

    アップグレードされた Management Center の場合、このオプションは、古い [不明なURLをCisco Cloudに照会する(Query Cisco Cloud for Unknown URLs)] が無効になっている場合に有効になります。

  • [ローカルデータベースとCisco Cloud(Local Database and Cisco Cloud)]:可能な場合はローカルデータセットを使用し、Web ブラウジングを高速化します。カテゴリとレピュテーションがローカルデータセットまたは以前にアクセスした Web サイトのキャッシュにない URL をユーザーが参照すると、システムはその URL を脅威インテリジェンス評価のためにクラウドに送信し、結果をキャッシュに追加します。

    アップグレードされた Management Center の場合、このオプションは、古い [不明なURLをCisco Cloudに照会する(Query Cisco Cloud for Unknown URLs)] オプションが有効になっている場合に有効になります。

  • [Cisco Cloudのみ(Cisco Cloud Only)]:ローカルデータセットを使用しません。カテゴリとレピュテーションが以前にアクセスした Web サイトのキャッシュにない URL をユーザーが参照すると、システムはその URL を脅威インテリジェンス評価のためにクラウドに送信し、結果をキャッシュに追加します。このオプションは、最新のカテゴリとレピュテーション情報を保証します。

    このオプションは、新規および再イメージ化されたバージョン 7.3 以降の Management Center のデフォルトです。Threat Defense バージョン 7.3 以降も必要であることに注意してください。このオプションを有効にすると、以前のバージョンを実行しているデバイスは、[ローカルデータベースとCisco Cloud(Local Database and Cisco Cloud)] オプションを使用します。

新規/変更された画面:[統合(Integration)] > [その他の統合(Other Integrations)] > [クラウドサービス(Cloud Services)] > [URLフィルタリング(URL Filtering)]

詳細については、デバイス コンフィギュレーション ガイドの「URL Filtering Options」を参照してください。

EVE を使用して HTTP/3 および SMB over QUIC を検出します(Snort 3 のみ)。

7.3.0

7.3.0(Snort 3)

Snort 3 デバイスは、暗号化された可視性エンジン(EVE)を使用して、HTTP/3 および SMB over QUIC を検出できるようになりました。次に、これらのアプリケーションに基づいてトラフィックを処理するルールを作成できます。

詳細については、デバイス コンフィギュレーション ガイドの「Encrypted Visibility Engine」を参照してください。

EVE によって検出された安全でないクライアント アプリケーションに基づいて IoC イベントを生成します(Snort 3 のみ)。

7.3.0

7.3.0(Snort 3)

Snort 3 デバイスは、暗号化された可視性エンジン(EVE)によって検出された安全でないクライアント アプリケーションに基づいて、侵害の兆候(IoC)接続イベントを生成できるようになりました。これらの接続イベントの暗号化された可視性の脅威の信頼度は非常に高いです。

  • イベントビューアで IoC を表示します:[分析(Analysis)] > [ホスト/ユーザー(Hosts/Users)] > [侵害の兆候(Indications of Compromise)]

  • ネットワークマップで IoC を表示します:[分析(Analysis)] > [ホスト(Hosts)] > [侵害の兆候(Indications of Compromise)]

  • 接続イベントで IoC 情報を表示します:[分析(Analysis)] > [接続(Connections)] > [イベント(Events)] > [接続イベントのテーブルビュー(Table View of Connection Events)] > [IOC/暗号化された可視性列(IOC/Encrypted Visibility columns)]

詳細については、デバイス コンフィギュレーション ガイドの「Encrypted Visibility Engine」を参照してください。

Snort 3 デバイスの JavaScript インスペクションの改善。

7.3.0

7.3.0(Snort 3)

JavaScript を正規化し、正規化されたコンテンツに対してルールを照合することで実行される JavaScript インスペクションを改善しました。バージョン 7.2 で導入されたノーマライザにより、unescape 関数、decodeURI 関数、および decodeURIComponent 関数(%XX、%uXXXX、\uXX、\u{XXXX}\xXX、10 進数コードポイント、16 進数コードポイント)内で検査できるようになりました。また、文字列からプラス演算を削除して連結します。

詳細については、『Snort 3 インスペクタリファレンス 』の「HTTP Inspect Inspector」ならびに『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

Snort 3 侵入ポリシーのネストされたルールグループ(MITRE ATT&CK を含む)。

7.3.0

7.0(Snort 3)

Snort 3 侵入ポリシーでルールグループをネストできるようになりました。これにより、トラフィックをより詳細に表示および処理できます。たとえば、ルールを脆弱性のタイプ、ターゲットシステム、または脅威のカテゴリ別にグループ化できます。カスタムのネストされたルールグループを作成し、ルールグループごとにセキュリティレベルとルールアクションを変更できます。

また、Talos がキュレートした MITRE ATT&CK フレームワークでシステム提供のルールをグループ化するため、これらのカテゴリに基づいてトラフィックを処理できます。

新規/変更された画面:

  • ルールグループの表示と使用:[ポリシー(Policies)] > [侵入(Intrusion)] > [Snort 3バージョンの編集(Edit Snort 3 Version)]

  • クラシックイベントビューでルールグループ情報を表示します:[分析(Analysis)] > [侵入(Intrusion)] > [イベント(Events)] > [侵入イベントのテーブルビュー(Table View of Intrusion Events)] > [ルールグループとMITRE ATT&CK列(Rule Group and MITRE ATT&CK columns)]

  • 統合イベントビューでルールグループ情報を表示します:[分析(Analysis)] > [統合イベント(Unified Events)] > [ルールグループとMITRE ATT&CK列(Rule Group and MITRE ATT&CK columns)]

詳細については、『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

アクセス制御ルールの競合分析。

7.3.0

いずれか

ルールの競合分析を有効にすると、ポリシーでの以前のルールが原因で一致しない冗長ルールやオブジェクト、およびシャドウルールを特定できるようになりました。

詳細については、デバイス コンフィギュレーション ガイドの「Analyzing Rule Conflicts and Warnings」を参照してください。

イベントロギングおよび分析

Snort 3 デバイスの NetFlow サポート。

7.3.0

7.3.0(Snort 3)

アップグレードの影響。

Snort 3 デバイスは、NetFlow レコード(IPv4 と IPv6、NetFlow v5 と v9)を使用できるようになりました。以前は、Snort 2 デバイスのみがこれを使用していました。

アップグレード後、ネットワーク ディスカバリ ポリシーで既存の NetFlow エクスポータと NetFlow ルールが設定されている場合、Snort 3 デバイスは NetFlow レコードの処理を開始し、NetFlow 接続イベントを生成し、NetFlow データに基づいてホストおよびアプリケーションプロトコル情報をデータベースに追加します。

詳細については、デバイス コンフィギュレーション ガイドの「Network Discovery Policies」を参照してください。

統合

Cisco ACI Endpoint Update App と統合するための新しい修復モジュール

7.3.0

いずれか

新しい Cisco ACI Endpoint 修復モジュールを導入しました。これを使用するには、古いモジュールを削除してから、新しいモジュールを追加して構成する必要があります。この新しいモジュールは次のことができます。

  • エンドポイント セキュリティ グループ(ESG)展開でエンドポイントを検疫します。

  • 監視および分析のために、検疫されたエンドポイントからレイヤ 3 外部ネットワーク(L3Out)へのトラフィックを許可します。

  • 監査専用モードで実行し、検疫ではなく通知します。

詳細については、デバイス コンフィギュレーション ガイドの「APIC/Secure Firewall Remediation Module 3.0」を参照してください。

ヘルス モニタリング

Management Center の Web インターフェイスでのクラスタのヘルスモニター設定。

7.3.0

いずれか

Management Center の Web インターフェイスを使用して、クラスタのヘルスモニター設定を編集できるようになりました。以前のバージョンで FlexConfig を使用してこれらの設定を構成した場合、システムは展開を許可しますが、構成をやり直すように警告が表示されます。FlexConfig 設定が優先されます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [クラスタの編集(Edit Cluster)] > [クラスタのヘルスモニターの設定(Cluster Health Monitor Settings)]

詳細については、デバイス コンフィギュレーション ガイドの「Edit Cluster Health Monitor Settings」を参照してください。

デバイスクラスタのヘルスモニタリングが改善されました。

7.3.0

いずれか

ヘルスモニターにクラスタダッシュボードが追加され、クラスタ全体のステータス、負荷分散メトリック、パフォーマンスメトリック、クラスタ制御リンク(CCL)、データスループットなどを表示できるようになりました。

各クラスタのダッシュボードを表示するには、システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタリング(Monitor)]を選択し、クラスタをクリックします。

詳細については、アドミニストレーション ガイドの「Cluster Health Monitor」を参照してください。

ハードウェア管理センターで電源のファン速度と温度をモニタリングします。

7.3.0

いずれか

ハードウェア管理センターの電源のファン速度と温度をモニタリングするハードウェア統計正常性モジュールを追加しました。アップグレードプロセスにより、このモジュールが自動的に追加され、有効になります。アップグレード後、ポリシーを適用します。

モジュールを有効または無効にし、しきい値を設定するには、システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [ポリシー(Policy)]で Management Center の正常性ポリシーを編集します。

正常性ステータスを表示するには、カスタム ヘルス ダッシュボードを作成します:システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタリング(Monitor)] > [Firewall Management Center] > [追加/編集(Add/Edit)]。[ハードウェア統計(Hardware Statistics)] メトリックグループを選択し、必要なメトリックを選択します。

モジュールのステータスは、ヘルスモニターの [ホーム(Home)] ページと Management Center のアラートサマリ([ハードウェアアラーム(Hardware Alarms)] および [電源(Power Supply)])で表示することもできます。外部アラート応答を構成し、モジュールステータスに基づいて正常性イベントを表示できます。

詳細については、アドミニストレーション ガイドの「Hardware Statistics on Management Center」を参照してください。

Firepower 4100/9300 の温度と電源を監視します。

7.3.0

7.3.0

Firepower 4100/9300 シャーシの温度と電源を監視するために、シャーシ環境ステータス正常性モジュールが追加されました。アップグレードプロセスにより、すべてのデバイス正常性ポリシーにこれらのモジュールが自動的に追加され、有効になります。アップグレード後、正常性ポリシーを Firepower 4100/9300 シャーシに適用して、モニタリングを開始します。

このモジュールを有効または無効にし、しきい値を設定するには、システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [ポリシー(Policy)] > [デバイスポリシー(Device Policy)]で Management Center の正常性ポリシーを編集します。

正常性ステータスを表示するには、カスタム ヘルス ダッシュボードを作成します:システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタリング(Monitor)] > [デバイスの選択(Select Device)] > [ダッシュボードの追加/編集(Add/Edit Dashboard)] > [カスタム相関グループ(Custom Correlation Group)]。[ハードウェア/環境ステータス(Hardware/Environment Status)] メトリックグループを選択し、次に [温度ステータス(Thermal Status)] メトリックを選択して温度を表示するか、いずれかの [電源(Power Supply)] オプションを選択して電源ステータスを表示します。

ヘルスモニターの [ホーム(Home)] ページと各デバイスのアラートサマリでモジュールのステータスを表示することもできます。外部アラート応答を構成し、モジュールステータスに基づいて正常性イベントを表示できます。

詳細については、アドミニストレーション ガイドの「Hardware/Environment Status Metrics」を参照してください。

ライセンシング

ライセンス名の変更およびキャリアライセンスのサポート。

7.3.0

いずれか

ライセンスの名前を次のように変更しました。

  • Base は Essentials に変更

  • Threat は IPS に変更

  • Malware は Malware Defense に変更

  • RA VPN/AnyConnect License は Cisco Secure Client に変更

  • AnyConnect Plus は Secure Client Advantage に変更

  • AnyConnect Apex は Secure Client Premier に変更

  • AnyConnect Apex および Plus は Secure Client Premier および Advantage に変更

  • AnyConnect VPN Only は Secure Client VPN Only に変更

さらに、キャリアライセンスを適用できるようになりました。これにより、GTP/GPRS、Diameter、SCTP、および M3UA インスペクションを設定できます。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [ライセンス(Licenses)] > [スマートライセンス(Smart Licenses)]

詳細については、アドミニストレーション ガイドの「Licenses」を参照してください。

管理(Administration)

FlexConfig から Web インターフェイス管理に設定を移行します。

7.3.0

機能に依存

FlexConfig からこれらの設定を Web インターフェイス管理に簡単に移行できるようになりました。

  • バージョン 7.1 以降の Web インターフェイスでサポートされる ECMP ゾーン

  • バージョン 7.2 以降の Web インターフェイスでサポートされる EIGRP ルーティング

  • バージョン 7.2 以降の Web インターフェイスでサポートされる VXLAN インターフェイス

移行後は、廃止された FlexConfig を削除するまで展開できません。

新規/変更された画面:[デバイス(Devices)] > [FlexConfig] > [FlexConfigポリシーの編集(Edit FlexConfig Policy)] > [設定の移行(Migrate Config)]

詳細については、デバイス コンフィギュレーション ガイドの「Migrating FlexConfig Policies」を参照してください。

自動 VDB ダウンロード。

7.3.0

いずれか

Management Center の初期設定では、最新の脆弱性データベース(VDB)を含むようになった、利用可能な最新のソフトウェア更新をダウンロードするための週次タスクがスケジュールされています。この週次タスクを確認し、必要に応じて調整することをお勧めします。必要に応じて、VDB を実際に更新し、構成を展開する新しい週次タスクをスケジュールしてください。

新規/変更された画面:システムで作成された [週次ソフトウェアダウンロード(Weekly Software Download)] のスケジュールされたタスクで、[脆弱性データベース(Vulnerability Database)] チェックボックスがデフォルトで有効になりました。

詳細については、アドミニストレーション ガイドの「Vulnerability Database Update Automation」を参照してください。

任意の VDB をインストールします。

7.3.0

いずれか

VDB 357 以降、その Management Center の基準 VDB までさかのぼって任意の VDB をインストールできるようになりました。

VDB を更新したら、構成の変更を展開します。利用できなくなった脆弱性、アプリケーションディテクタ、またはフィンガープリントに基づいて設定を行っている場合は、それらの設定を調べて、トラフィックが期待どおりに処理されていることを確認します。また、VDB を更新するためのスケジュールされたタスクは、ロールバックを取り消すことができることに注意してください。これを回避するには、スケジュールされたタスクを変更するか、新しい VDB パッケージを削除します。

新しい/変更された画面:システム[システム歯車(system gear}] アイコン > [更新(Updates)] > [製品アップデート(Product Updates)] > [利用可能なアップデート(Available Updates)]で、古い VDB をアップロードすると、[インストール(Install)] アイコンの代わりに新しい [ロールバック(Rollback)] アイコンが表示されます。

詳細については、アドミニストレーション ガイドの「Update the Vulnerability Database」を参照してください。

CA バンドルの自動更新。

7.3.0

7.3.0

アップグレードの影響。システムは、何か新しいことを求めてシスコに接続します。

ローカル CA バンドルには、いくつかのシスコのサービスにアクセスするための証明書が含まれています。システムは、毎日のシステム定義の時刻に、新しい CA 証明書についてシスコに自動的にクエリを実行するようになりました。以前は、CA 証明書を更新するにはソフトウェアをアップグレードする必要がありました。CLI を使用して、この機能を無効にすることができます。

新規/変更された CLI コマンド:configure cert-update auto-update configure cert-update run-now configure cert-update test show cert-update

バージョンの制限:この機能は、バージョン 7.0.5 以降、7.1.0.3 以降、および 7.2.4 以降に含まれています。それ以前の 7.0、7.1、または 7.2 リリースではサポートされません。サポート対象のバージョンからサポート対象外のバージョンにアップグレードすると、この機能は一時的に無効になり、システムはシスコへの接続を停止します。

参照:『Firepower Management Center Command Line Reference』および Cisco Secure Firewall Threat Defense コマンドリファレンス

詳細については、Management Center アドミニストレーション ガイドの「Secure Firewall Management Center Command Line Reference」と、Cisco Secure Firewall Threat Defense コマンドリファレンス を参照してください。

ユーザビリティ、パフォーマンス、およびトラブルシューティング

新しい How-To ウォークスルー。

7.3.0

機能に依存

次の How-To が追加されました。

  • 手動再登録を使用して証明書を更新する。

  • 自己署名、SCEP、または EST 登録を使用して証明書を更新する。

  • リモートアクセス VPN の LDAP 属性マップを構成する。

  • SAML シングル サインオン サーバー オブジェクトを追加する。

  • Threat Defense デバイスのパケットキャプチャを収集する。

  • パケットトレースを収集して、Threat Defense デバイスのトラブルシューティングを行う。

  • リモートアクセス VPN のダイナミック アクセス ポリシーを構成する。

    • ダイナミック アクセス ポリシーを作成する。

    • ダイナミック アクセス ポリシー レコードを作成する。

    • ダイナミック アクセス ポリシーをリモートアクセス VPN に関連付ける。

How-To を起動するには、システム[システム歯車(system gear}] アイコン[ハウツー(How-Tos)]を選択します。

新しいアクセス コントロール ポリシーのユーザーインターフェイスがデフォルトになりました。

7.3.0

いずれか

バージョン 7.2 で導入されたアクセス コントロール ポリシーのユーザーインターフェイスは、デフォルトのインターフェイスになりました。アップグレードによって切り替えられますが、元に戻すことができます。

アクセス制御ルールごとの一致基準あたりの最大オブジェクト数が 200 になりました。

7.3.0

いずれか

1 つのアクセス制御ルールの一致基準あたりのオブジェクト数が 50 から 200 に増えました。たとえば、1 つのアクセス制御ルールに最大 200 のネットワークオブジェクトを含めることができます。

デバイスをバージョン別にフィルタ処理します。

7.3.0

いずれか

[デバイス(Devices)] > [デバイス管理(Device Management)]で、バージョン別にデバイスをフィルタリングできるようになりました。

スケジュールされたタスクのステータスメールが改善されました。

7.3.0

いずれか

スケジュールされたタスクの電子メール通知は、タスクの開始時ではなく、タスクの完了時(成功または失敗に関係なく)に送信されるようになりました。これは、タスクが失敗したか成功したかを示すことができるようになったことを意味します。失敗の場合、失敗の理由と問題を修正するための修正が含まれます。

Firepower 4100/9300 および Threat Defense Virtual での CPU コア割り当てのパフォーマンスプロファイル。

7.3.0

7.3.0

データプレーンと Snort に割り当てられたシステムコアの割合を調整して、システムパフォーマンスを調整できます。この調整は、VPN と侵入ポリシーの相対的な使用に基づいています。両方を使用する場合は、コア割り当てをデフォルト値のままにします。システムを主に VPN(侵入ポリシー適用なし)または IPS(VPN 設定なし)として使用する場合、コア割り当てをデータプレーン(VPN の場合)または Snort(侵入インスペクションの場合)にスキューできます。

[パフォーマンスプロファイル(Performance Profile)] ページがプラットフォーム設定ポリシーに追加されました。

詳細については、デバイス コンフィギュレーション ガイドの「Configure the Performance Profile」を参照してください。

Cisco Success Network テレメトリ。

7.3.0

いずれか

テレメトリの変更については、『Cisco Success Network Telemetry Data Collected from Cisco Secure Firewall Management Center, Version 7.3.x』を参照してください。

Management Center REST API

Management Center REST API。

7.3.0

機能に依存

Management Center REST API の変更については、API クイックスタートガイドの「What's New in 7.3」を参照してください。

廃止された機能

一時的に廃止された機能。

7.3.0

機能に依存

バージョン 7.3 へのアップグレードはサポートされていますが、現在のバージョンに含まれている重要な機能や修正、機能拡張が削除されます。代わりに、バージョン 7.4.1 以降にアップグレードしてください。

バージョン 7.2.3 以降では、アップグレードにより以下が削除されます。

  • Firepower 1010E。を使用して無効にすることができます。バージョン 7.2.x の Firepower 1010E をバージョン 7.3 にアップグレードすることはできません。また、そこで再イメージ化しないでください。バージョン 7.3 を実行している Firepower 1010E デバイスがある場合は、サポートされているリリースに再イメージ化します。 Firepower 1010E の管理にバージョン 7.2.3 またはバージョン 7.3.0 の Management Center を使用しないでください。代わりに、バージョン 7.2.3.1 以降またはバージョン 7.3.1.1 以降の Management Center を使用してください。

バージョン 7.2.4 以降では、アップグレードにより以下が削除されます。

バージョン 7.2.5 以降では、アップグレードにより以下が削除されます。

バージョン 7.2.6 以降では、アップグレードにより以下が削除されます。

サポート終了:Firepower 4110、4120、4140、4150。

7.3.0

Firepower 4110、4120、4140、または 4150 ではバージョン 7.3 以降は実行できません。

サポート終了:Firepower 9300:SM-24、SM-36、SM-44 モジュール。

7.3.0

SM-24、SM-36、または SM-44 モジュールを搭載した Firepower 9300 ではバージョン 7.3 以降は実行できません。

廃止:Snort 2 デバイスの YouTube EDU コンテンツ制限。

7.3.0

いずれか

新規または既存のアクセス制御ルールで YouTube EDU コンテンツ制限を有効にできなくなりました。既存の YouTube EDU ルールは引き続き機能します。また、ルールを編集して YouTube EDU を無効化できます。

これは、Snort 3 では利用できない Snort 2 の機能であることに注意してください。

アップグレード後に設定をやり直す必要があります。

廃止:FlexConfig を使用したクラスタのヘルスモニターの設定。

7.3.0

いずれか

Management Center の Web インターフェイスからクラスタのヘルスモニター設定を編集できるようになりました。編集すると、展開は許可されますが、既存の FlexConfig 設定が優先されることが警告されます。

アップグレード後に設定をやり直す必要があります。

廃止:FlexConfig を使用した BGP の BFD。

7.3.0

いずれか

Management Center の Web インターフェイスから BGP ルーティングの Bidirectional Forwarding Detection(BFD)を設定できるようになりました。この設定をすると、廃止された FlexConfig を削除するまで展開できません。

アップグレード後に設定をやり直す必要があります。

廃止:FlexConfig を使用した ECMP ゾーン。

7.3.0

いずれか

FlexConfig から EMCP ゾーン設定を Web インターフェイス管理に簡単に移行できるようになりました。移行後は、廃止された FlexConfig を削除するまで展開できません。

アップグレード後に設定をやり直す必要があります。

廃止:FlexConfig を使用した VXLAN インターフェイス。

7.3.0

いずれか

FlexConfig から VXLAN インターフェイス設定を Web インターフェイス管理に簡単に移行できるようになりました。移行後は、廃止された FlexConfig を削除するまで展開できません。

バージョン 7.2.6 の Management Center 機能

表 6. バージョン 7.2.6 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

再導入された機能

Web 分析プロバイダーを更新しました。

7.0.6

7.2.6

7.4.1

いずれか

アップグレードの影響。ブラウザは新しいリソースに接続します。

Management Center を使用している間、ブラウザは Web 分析のために Google(google.com)ではなく Amplitude(amplitude.com)に接続します。

Web 分析は、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザーの場所、Management Center の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに提供します。デフォルトで Web 分析に登録されていますが、初期設定の完了後にいつでも登録を変更できます。広告ブロッカーは Web 分析をブロックできるため、登録したままにする場合は、Cisco アプライアンスのホスト名/IP アドレスの広告ブロックを無効にしてください。

必要最低限の Threat Defense:任意

バージョンの制限:振幅分析は、バージョン 7.0.0 ~ 7.0.5、7.1.0 ~ 7.2.5、7.3.x、または 7.4.0 ではサポートされていません。永久サポートは、バージョン 7.4.1 で再開されています。サポートされているバージョンからサポートされていないバージョンにアップグレードすると、ブラウザは Google への接続を再開します。

インターフェイス

Management Center の Web インターフェイスから DHCP リレーの信頼できるインターフェイスを設定します。

7.2.6

7.4.1

いずれか

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

Management Center の Web インターフェイスを使用して、DHCP Option 82 を維持するために、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。このように設定すると既存の FlexConfig が上書きされますが、削除する必要があります。

DHCP Option 82 は、DHCP スヌーピングおよび IP ソース ガードのために、ダウンストリームのスイッチおよびルータによって使用されます。通常、Option 82 がすでに設定されている DHCP パケットを Threat Defense DHCP リレーエージェントが受信しても、giaddr フィールド(サーバーにパケットを転送する前に、リレーエージェントによって設定された DHCP リレーエージェントアドレスを指定するフィールド)が 0 に設定されている場合、Threat Defense のデフォルトではそのパケットはドロップされます。インターフェイスを信頼できるインターフェイスとして指定することで、Option 82 を維持したままパケットを転送できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの追加/編集(Add/Edit Device)] > [DHCP] > [DHCPリレー(DHCP Relay)]

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。サポートされていないバージョンにアップグレードする場合は、FlexConfig をやり直してください。

参照:「Configure the DHCP Relay Agent

NAT

NAT ルールの編集時にネットワークグループを作成します。

7.2.6

7.4.1

いずれか

NAT ルールの編集時に、ネットワークオブジェクトに加えてネットワークグループを作成できるようになりました。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「複数のデバイスの NAT ルールのカスタマイズ

高可用性/拡張性

Threat Defense の高可用性のための「誤フェールオーバー」の削減。

7.2.6

7.4.0

7.2.6

7.4.0

その他のバージョンの制限:Management Center または Threat Defense バージョン 7.3.x ではサポートされていません。

参照:「Heartbeat Module Redundancy

高可用性 Management Center 用の単一のバックアップファイル。

7.2.6

7.4.1

いずれか

高可用性ペアのアクティブ Management Center の設定だけのバックアップを実行すると、いずれかのユニットの復元に使用できる単一のバックアップファイルが作成されるようになりました。

参照:「Unified Backup of Management Centers in High Availability

イベントロギングおよび分析

統合イベントビューアからパケットトレーサを開きます。

7.2.6

7.4.1

いずれか

統合イベントビュー([分析(Analysis)] > [統合イベント(Unified Events)])からパケットトレーサを開けるようになりました。目的のイベントの横にある省略記号アイコン([...])をクリックし、[パケットトレーサで開く(Open in Packet Tracer)] をクリックします。

他のバージョンの制限:バージョン 7.2.x では、省略記号アイコンの代わりに [展開(Expand)]アイコン([>])アイコンを使用します。Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Working with the Unified Event Viewer

ヘルス モニタリング

展開履歴(ロールバック)ファイルによって使用される過剰なディスク容量に関する正常性アラート。

7.2.6

7.4.1

いずれか

アップグレードの影響。アップグレード後に Management Center の正常性ポリシーを展開します。

Disk Usage 正常性モジュールは、展開履歴(ロールバック)ファイルが Management Center で過剰なディスク容量を使用している場合にアラートを発行するようになりました。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Disk Usage for Device Configuration History Files Health Alert

NTP 同期の問題に関する正常性アラート。

7.2.6

7.4.1

いずれか

アップグレードの影響。アップグレード後に Management Center の正常性ポリシーを展開します。

新しい Time Server Status 正常性モジュールは、NTP 同期に関する問題を報告します。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Time Synchronization」および「Health Modules

展開とポリシー管理

前回の展開以降の設定変更に関するレポートを表示および生成します。

7.2.6

7.4.1

いずれか

前回の展開以降の設定変更に関する次のレポートを生成、表示、および(zip ファイルとして)ダウンロードできます。

  • ポリシー内の追加、変更、または削除、あるいはデバイスに展開されるオブジェクトをプレビューする各デバイスのポリシー変更レポート。

  • ポリシー変更レポート生成のステータスに基づいて各デバイスを分類する統合レポート。

これは、Management Center または Threat Defense デバイスのいずれかのアップグレード後に特に役立ち、展開する前にアップグレードによって加えられた変更を確認できます。

新規/変更された画面:[展開(Deploy)] > [高度な展開(Advanced Deploy)]

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Download Policy Changes Report for Multiple Devices」

デバイスのロールバックのために保持する展開履歴ファイルの数を設定します。

7.2.6

7.4.1

いずれか

デバイスのロールバックのために保持する展開履歴ファイルの数を最大 10(デフォルト)まで設定できるようになったため、Management Center のディスク容量を節約できます。

新規/変更された画面:[展開(Deploy)] > [Deployment History][Deployment History] アイコン > [展開設定(Deployment Setting)] > [構成バージョン設定(Configuration Version Setting)]

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Set the Number of Configuration Versions

アップグレード

アップグレードの開始ページとパッケージ管理が改善されました。

7.2.6

7.4.1

いずれか

新しいアップグレードページでは、アップグレードの選択、ダウンロード、管理、および展開全体への適用が容易になります。これには、Management Center、Threat Defense デバイス、およびすべての古い NGIPSv/ASA FirePOWER デバイスが含まれます。このページには、現在の展開に適用されるすべてのアップグレードパッケージが、特にマークされた推奨リリースとともに一覧表示されます。パッケージを選択してシスコから簡単に直接ダウンロードしたり、パッケージを手動でアップロードおよび削除したりできます。

リスト/直接ダウンロード アップグレード パッケージを取得するには、インターネットアクセスが必要です。インターネットアクセスがない場合は、手動管理に限定されます。適切なメンテナンスリリースのアプライアンスが少なくとも 1 つある(またはパッチを手動でアップロードした)場合を除き、パッチは表示されません。ホットフィックスは手動でアップロードする必要があります。

新規/変更された画面:

  • システム[システム歯車(system gear}] アイコン > 製品のアップグレードでは、Management Center とすべての管理対象デバイスをアップグレードし、アップグレードパッケージを管理します。

  • システム[システム歯車(system gear}] アイコン > [コンテンツの更新(Content Updates)]で、侵入ルール、VDB、および GeoDB を更新できるようになりました。

  • [デバイスの脅威防御のアップグレード > (Devices Threat Defense Upgrade)] を選択すると、脅威防御のアップグレードウィザードに直接移動します。

  • システム[システム歯車(system gear}] アイコン > [ユーザー(Users)] > [ユーザーロール(User Role)] > [ユーザーロールの作成(Create User Role)] > [メニューベースの権限(Menu-Based Permissions)]を使用すると、[製品のアップグレード(Product Upgrades)](システムソフトウェア)へのアクセスを許可せずに、[コンテンツの更新(Content Updates)](VDB、GeoDB、侵入ルール )へのアクセスを許可できます。

廃止された画面/オプション:

  • システム[システム歯車(system gear}] アイコン > [更新(Updates)]は廃止されました。脅威防御アップグレードはすべてウィザードを使用するようになりました。

  • 脅威防御アップグレードウィザードの [アップグレードパッケージの追加(Add Upgrade Package)] ボタンは、新しいアップグレードページへの [アップグレードパッケージの管理(Manage Upgrade Packages)] リンクに置き換えられました。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

Threat Defense のアップグレードウィザードからの復元の有効化。

7.2.6

7.4.1

任意(7.1 以降にアップグレードする場合)

脅威防御アップグレードウィザードからの復元を有効化できます。

その他のバージョンの制限:Threat Defense をバージョン 7.1 以降にアップグレードする必要があります。Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

Threat Defense アップグレードウィザードからアップグレードするデバイスを選択します。

7.2.6

いずれか

ウィザードを使用して、アップグレードするデバイスを選択します。

脅威防御アップグレードウィザードを使用して、アップグレードするデバイスを選択できるようになりました。ウィザード上で、選択したデバイス、残りのアップグレード候補、対象外のデバイス(および理由)、アップグレードパッケージが必要なデバイスなどの間でビューを切り替えることができます。以前は、[デバイス管理(Device Management)] ページしか使用できず、プロセスの柔軟性が大幅に低くなっていました。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

Threat Defense アップグレードウィザードから詳細なアップグレードステータスを表示します。

7.2.6

7.4.1

いずれか

Threat Defense アップグレードウィザードの最終ページで、アップグレードの進行状況をモニターできるようになりました。この機能は、[デバイス管理(Device Management)] ページの [アップグレード(Upgrade)] タブおよび Management Center の既存のモニタリング機能に追加されます。新しいアップグレードフローを開始していない限り、[デバイス(Devices)] > [Threat Defenseアップグレード(Threat Defense Upgrade)]によってこのウィザードの最後のページに戻り、現在の(または最後に完了した)デバイスのアップグレードの詳細なステータスを確認できます。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

Threat Defense の無人アップグレード。

7.2.6

いずれか

Threat Defense アップグレードウィザードは、新しい [無人モード(Unattended Mode)] メニューを使用して無人アップグレードをサポートするようになりました。アップグレードするターゲットバージョンとデバイスを選択し、いくつかのアップグレードオプションを指定して、その場から離れるだけです。ログアウトしたり、ブラウザを閉じたりすることもできます。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

さまざまなユーザーによる同時 Threat Defense アップグレードワークフロー。

7.2.6

いずれか

異なるデバイスをアップグレードする限り、異なるユーザーによる同時アップグレードワークフローが可能になりました。このシステムにより、すでに他の誰かのワークフローにあるデバイスをアップグレードすることはできません。以前は、すべてのユーザーで一度に 1 つのアップグレードワークフローのみが許可されていました。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

アップグレード前のトラブルシューティング生成をスキップします。

7.2.6

いずれか

新しい [アップグレード開始前にトラブルシューティングファイルを生成する(Generate troubleshooting files before upgrade begins)] オプションを無効にすることで、メジャーアップグレードおよびメンテナンスアップグレードの前にトラブルシューティング ファイルを自動生成することをスキップできるようになりました。これにより、時間とディスク容量を節約できます。

脅威防御デバイスのトラブルシューティング ファイルを手動で生成するには、システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタ(Monitor)] を選択し、左側のパネルでデバイスをクリックし、[システムおよびトラブルシューティングの詳細を表示(View System & Troubleshoot Details)]、[トラブルシューティング ファイルの生成(Generate Troubleshooting Files)] をクリックします。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

推奨リリースの通知。

7.2.6

7.4.1

いずれか

新しい推奨リリースが利用可能になると、Management Center から通知されるようになりました。今すぐアップグレードしない場合は、後でシステムに通知するか、次の推奨リリースまでリマインダを延期できます。新しいアップグレードページには、推奨リリースも示されます。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照: Cisco Secure Firewall Management Center の新機能(リリース別)

Management Center の新しいアップグレードウィザード。

7.2.6

7.4.1

いずれか

新しいアップグレード開始ページとウィザードにより、Management Center のアップグレードを簡単に実行できます。システム[システム歯車(system gear}] アイコン > [製品のアップグレード(Product Upgrades)]を使用して、Management Center で適切なアップグレードパッケージを入手したら、[アップグレード(Upgrade)] をクリックして開始します。

その他のバージョンの制限:バージョン 7.2.6 以降/7.4.1 以降からの Management Center のアップグレードでのみサポートされます。バージョン 7.3.x または 7.4.0 からのアップグレードではサポートされていません。

Management Center を任意のバージョンにアップグレードするには、Management Center で現在実行しているバージョンのアップグレードガイドを参照してください。:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド。バージョン 7.4.0 を実行している場合は、バージョン 7.3.x のガイドを使用できます。

同期を一時停止することなく、高可用性管理センターでホットフィックスを利用できます。

7.2.6

7.4.1

いずれか

ホットフィックス リリース ノートに特に記載されていない、または Cisco TAC から指示されていない限り、高可用性 Management Center にホットフィックスをインストールするために同期を一時停止する必要はありません。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:Management Center 用 Cisco Secure Firewall Threat Defense アップグレードガイド

管理(Administration)

ソフトウェアアップグレードの直接ダウンロードに関するインターネットアクセス要件を更新しました。

7.2.6

7.4.1

いずれか

アップグレードの影響。システムは新しいリソースに接続します。

Management Center では、ソフトウェア アップグレード パッケージの直接ダウンロードの場所が sourcefire.com から amazonaws.com に変更されています。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Internet Access Requirements

スケジュール済みタスクでは、パッチおよび VDB 更新のみダウンロードされます。

7.2.6

7.4.1

いずれか

アップグレードの影響。スケジュールされたダウンロードタスクは、メンテナンスリリースの取得を停止します。

[最新の更新のダウンロード(Download Latest Update)] スケジュール済みタスクでは、メンテナンスリリースはダウンロードされなくなり、適用可能な最新のパッチと VDB の更新のみがダウンロードされるようになりました。メンテナンス(およびメジャー)リリースを Management Center に直接ダウンロードするには、システム[システム歯車(system gear}] アイコン > [製品のアップグレード(Product Upgrades)]を使用します。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照:「Software Update Automation

国コードの地理位置情報パッケージのみをダウンロードします。

7.2.6

7.4.0

いずれか

アップグレードの影響。アップグレードすると、IPパッケージが削除される可能性があります。

バージョン 7.2.6以降/7.4.0 以降では、IP アドレスを国や大陸にマッピングする地理位置情報データベース(GeoDB)の国コードパッケージのみをダウンロードするようにシステムを設定できます。コンテキストデータを含む大規模な IP パッケージはオプションになりました。

IP パッケージのダウンロードは次のとおりです。

  • バージョン 7.2.0 ~ 7.2.5:常に有効。

  • バージョン 7.2.6 ~ 7.2.x:デフォルトでは無効になっていますが、有効にすることができます。

  • バージョン 7.3.x:常に有効。

  • バージョン 7.4.0 ~ 7.4.1:デフォルトで有効になっていますが、無効にすることもできます。

ダウンロードがデフォルトで無効になっているバージョンに初めてアップグレードすると、システムはダウンロードを無効にし、既存の IP パッケージを削除します。IP パッケージがないと、オプションを手動で有効にして GeoDB を更新するまで、IP アドレスのコンテキスト地理位置情報データを表示できません。

新規/変更された画面:

  • バージョン 7.2.6/7.4.1:システム[システム歯車(system gear}] アイコン > [コンテンツの更新(Content Updates)] > [地理位置情報の更新(Geolocation Updates)]

  • バージョン 7.4.0:システム[システム歯車(system gear}] アイコン > [更新(Updates)] > [地理位置情報の更新(Geolocation Updates)]

参照:「Update the Geolocation Database

ユーザビリティ、パフォーマンス、およびトラブルシューティング

アクセス制御オブジェクトの最適化を有効または無効にします。

7.2.6

7.4.1

いずれか

Management Center の Web インターフェイスからアクセス制御オブジェクトの最適化を有効化または無効化できるようになりました。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [アクセス コントロールの設定(Access Control Preferences)] > [オブジェクトの最適化(Object Optimization)]

その他のバージョンの制限:アクセス制御オブジェクトの最適化は、バージョン 7.2.4 ~ 7.2.5 および 7.4.0 にアップグレードまたは再イメージ化されたすべての Management Center で自動的に有効になり、バージョン 7.3.x にアップグレードまたは再イメージ化されたすべての Management Center で自動的に無効になります。バージョン 7.2.6 以降/7.4.1 以降に再イメージ化された Management Center のデフォルトでは設定可能であり、有効になっていますが、これらのリリースにアップグレードする際には現在の設定が保持されます。

クラスタ制御リンク ping ツール。

7.2.6

7.4.1

いずれか

ping を実行して、すべてのクラスタノードがクラスタ制御リンクを介して相互に到達できることを確認できます。ノードがクラスタに参加できない主な原因の 1 つは、クラスタ制御リンクの設定が正しくないことです。たとえば、クラスタ制御リンクの MTU が、接続しているスイッチの MTU よりも大きい値に設定されている可能性があります。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > その他[その他(More)] アイコン > [クラスタのライブステータス(Cluster Live Status)]

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。

Snort 3 はメモリ使用量が過剰になると再起動し、HA フェールオーバーがトリガーされることがあります。

7.2.6

7.4.1

7.2.6(Snort 3)

7.4.1(Snort 3)

操作の継続性を向上させるために、Snort によるメモリ使用が過剰な場合、高可用性フェールオーバーをトリガーできるようになりました。これは、プロセスのメモリ使用が過剰な場合に Snort 3 が再起動されるようになったためです。Snort プロセスを再起動すると、デバイスでのトラフィックフローと検査が一時的に中断され、高可用性展開ではフェールオーバーがトリガーされる可能性があります(スタンドアロン展開では、インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます)。

この機能は、デフォルトでイネーブルにされています。CLI を使用して無効にしたり、メモリしきい値を設定したりできます。

プラットフォームの制限:クラスタ化されたデバイスではサポートされていません。

新規/変更された CLI コマンド:configure snort3 memory-monitor show snort3 memory-monitor-status

その他のバージョンの制限:Management Center または Threat Defense バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照: Cisco Secure Firewall Threat Defense コマンドリファレンス

Snort 3 コアダンプの頻度を設定します。

7.2.6

7.4.1

7.2.6(Snort 3)

7.4.1(Snort 3)

Snort 3 コアダンプの頻度を設定できるようになりました。Snort がクラッシュするたびにコアダンプを生成する代わりに、次回 Snort がクラッシュしたときにのみコアダンプを生成できます。または、過去 1 日あるいは 1 週間以内にクラッシュが発生していない場合に生成します。

Snort 3 コアダンプは、スタンドアロンデバイスではデフォルトで無効になっています。高可用性およびクラスタ化されたデバイスの場合、デフォルトの頻度が毎回ではなく 1 日に 1 回になりました。

新規/変更された CLI コマンド:configure coredump snort3 show coredump

その他のバージョンの制限:Management Center または Threat Defense バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照: Cisco Secure Firewall Threat Defense コマンドリファレンス

Cisco Secure Firewall 3100/4200 でドロップされたパケットをキャプチャします。

7.2.6

7.4.1

7.2.6(4200 以外)

7.4.1

MAC アドレステーブルの不整合に起因するパケット損失は、デバッグ機能に影響を与える可能性があります。Cisco Secure Firewall 3100/4200 は、これらのドロップされたパケットをキャプチャできるようになりました。

新規/変更された CLI コマンド:capture コマンドの [drop{ disable| mac-filter} ]

その他のバージョンの制限:Management Center または Threat Defense バージョン 7.3.x または 7.4.0 ではサポートされていません。

参照: Cisco Secure Firewall Threat Defense コマンドリファレンス

廃止された機能

廃止:FlexConfig を使用した DHCP リレーの信頼できるインターフェイス。

7.2.6

7.4.1

いずれか

アップグレードの影響。アップグレード後に、関連する FlexConfig をすべてやり直します。

Management Center の Web インターフェイスを使用して、DHCP Option 82 を維持するために、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。このように設定すると既存の FlexConfig が上書きされますが、削除する必要があります。

その他のバージョンの制限:この機能は、Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。サポートされていないバージョンにアップグレードする場合は、FlexConfig もやり直してください。

参照:「Configure the DHCP Relay Agent

バージョン 7.2.5 の Management Center 機能

表 7. バージョン 7.2.5 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

インターフェイス

Management Center によるインターフェイス同期エラーの検出。

7.2.5

7.4.1

いずれか

アップグレードの影響。アップグレード後にインターフェイスを同期する必要がある場合があります。

場合によっては、インターフェイスが正しく設定され、デバイス上で機能している場合でも、Management Center でインターフェイスの設定が欠落していることがあります。その場合、Management Center が実行されている場合は、次のことが発生します。

  • バージョン 7.2.5:[インターフェイス(Interfaces)] ページでデバイスを編集して同期するまで展開がブロックされます。

  • バージョン 7.2.6 以降/7.4.1 以降:展開は警告付きで許可されますが、最初に同期しないとインターフェイス設定を編集できません。

その他のバージョンの制限:Management Center バージョン 7.3.x または 7.4.0 ではサポートされていません。Management Center は、展開をブロックしたり、設定の欠落について警告したりしません。問題が発生していると思う場合は、インターフェイスを手動で同期できます。

バージョン 7.2.4 の Management Center 機能

表 8. バージョン 7.2.4 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

Cisco Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの第 74 条 FC-FEC から第 108 条 RS-FEC に変更されました。

7.2.4

いずれか

Cisco Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB 以上の SR、CSR、および LR トランシーバのデフォルトタイプが第 74 条 FC-FEC ではなく第 108 条 RS-FEC に設定されるようになりました。

Interface Overview」を参照してください。

CA バンドルの自動更新。

7.0.5

7.1.0.3

7.2.4

7.0.5

7.1.0.3

7.2.4

アップグレードの影響。システムは、何か新しいことを求めてシスコに接続します。

ローカル CA バンドルには、いくつかのシスコのサービスにアクセスするための証明書が含まれています。システムは、毎日のシステム定義の時刻に、新しい CA 証明書についてシスコに自動的にクエリを実行するようになりました。以前は、CA 証明書を更新するにはソフトウェアをアップグレードする必要がありました。CLI を使用して、この機能を無効にすることができます。

新規/変更された CLI コマンド:configure cert-update auto-update configure cert-update run-now configure cert-update test show cert-update

バージョンの制限:この機能は、バージョン 7.0.5 以降、7.1.0.3 以降、および 7.2.4 以降に含まれています。それ以前の 7.0、7.1、または 7.2 リリースではサポートされません。サポート対象のバージョンからサポート対象外のバージョンにアップグレードすると、この機能は一時的に無効になり、システムはシスコへの接続を停止します。

参照:『Firepower Management Center Command Line Reference』および Cisco Secure Firewall Threat Defense コマンドリファレンス

アクセス制御のパフォーマンスの向上(オブジェクトの最適化)。

7.2.4

いずれか

アップグレードの影響。7.2.4 ~ 7.2.5 または 7.4.0 への Management Center アップグレード後の最初の展開には時間がかかり、デバイスの CPU 使用率が高くなる可能性があります。

アクセス コントロール オブジェクトの最適化により、ネットワークが重複するアクセス コントロール ルールがある場合、パフォーマンスが向上し、デバイスリソースの消費が少なくなります。最適化は、Management Center で機能が有効になった後の最初の展開時に管理対象デバイスで行われます(アップグレードで有効になった場合も含む)。ルールの数が多い場合、システムがポリシーを評価してオブジェクトの最適化を実行するのに数分から 1 時間かかることがあります。この間、デバイスの CPU 使用率も高くなることがあります。機能が無効になった後の最初の展開でも同様のことが発生します(アップグレードによって無効になった場合も含む)。この機能が有効または無効になった後は、メンテナンス時間帯やトラフィックの少ない時間帯など、影響が最小限になる時間に展開することを強く推奨します。

新規/変更された画面:(バージョン 7.2.6/7.4.1 が必要)システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [アクセス制御の設定(Access Control Preferences)] > [オブジェクトグループの最適化(Object-group optimization)]

その他のバージョン制限:Management Center バージョン 7.3.x ではサポートされていません。

参照:Access Control Preferences

メモリが少ない Snort 2 デバイス用の小規模 VDB。

6.4.0.17

7.0.6

7.2.4

7.3.1.1

7.4.0

すべて(Snort 2)

アップグレードの影響。 メモリが少ないデバイスのアプリケーション ID が影響を受けます。

VDB 363 以降では、Snort 2 搭載のメモリが少ないデバイスに小規模 VDB(別称:VDB lite)がインストールされるようになりました。この小規模 VDB には同じアプリケーションが搭載されていますが、検出パターンは少なくなっています。小規模 VDB を使用しているデバイスでは、フルサイズの VDB を使用しているデバイスと比較して、一部のアプリケーションが識別されない場合があります。

メモリが少ないデバイス:ASA 5506-X シリーズ、ASA-5508-X、5512-X、5515-X、5516-X、5525-X、5545-X

バージョンの制限:小規模 VDB をインストールできるかどうかは、管理対象デバイスではなく Management Center のバージョンによって決まります。サポート対象のバージョンからサポート対象外のバージョンに Management Center をアップグレードする場合、導入環境内にメモリの少ないデバイスが 1 つでも含まれていると、VDB 363 以降をインストールできません。影響を受けるリリースのリストについては、CSCwd88641 を参照してください。

バージョン 7.2.3 の Management Center 機能

表 9. バージョン 7.2.3 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

Firepower 1010E。

7.2.3.1

7.3.1.1

7.2.3

Power over Ethernet(PoE)をサポートしていない Firepower 1010E を導入しました。 Firepower 1010E の管理にバージョン 7.2.3 またはバージョン 7.3.0 の Management Center を使用しないでください。代わりに、バージョン 7.2.3.1 以降またはバージョン 7.3.1.1 以降の Management Center を使用してください。

バージョンの制限:これらのデバイスは、バージョン 7.3.x および 7.4.0 をサポートしていません。サポートは、バージョン 7.4.1 で再開されています。

参照:「Regular Firewall Interfaces

バージョン 7.2.2 の Management Center 機能

このリリースでは、安定性、ハードニング、パフォーマンスの機能強化が導入されています。

バージョン 7.2.1 の Management Center 機能

表 10. バージョン 7.2.1 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

Cisco Secure Firewall 3100 のハードウェアバイパス(「fail-to-wire」)ネットワークモジュール。

7.2.1

7.2.1

Cisco Secure Firewall 3100 向けに次のハードウェア バイパス ネットワーク モジュールが導入されました。

  • 6 ポート 1 G SFP ハードウェア バイパス ネットワーク モジュール、SX(マルチモード)(FPR-X-NM-6X1SX-F)

  • 6 ポート 10 G SFP ハードウェア バイパス ネットワーク モジュール、SR(マルチモード)(FPR-X-NM-6X10SR-F)

  • 6 ポート 10 G SFP ハードウェア バイパス ネットワーク モジュール、LR(シングルモード)(FPR-X-NM-6X10LR-F)

  • 6 ポート 25 G SFP ハードウェア バイパス ネットワーク モジュール、SR(マルチモード)(FPR-X-NM-X25SR-F)

  • 6 ポート 25 G ハードウェア バイパス ネットワーク モジュール、LR(シングルモード)(FPR-X-NM-6X25LR-F)

  • 8 ポート 1 G 銅ケーブル ハードウェア バイパス ネットワーク モジュール(銅ケーブル)(FPR-X-NM-8X1G-F)

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [物理インターフェイスの編集(Edit Physical Interface)]

詳細については、「Inline Sets and Passive Interfaces」を参照してください。

KVM の仮想 Threat Defense を備えた Intel イーサネット ネットワーク アダプタ E810-CQDA2 ドライバ。

7.2.1

7.2.1

KVM の仮想 Threat Defense で Intel イーサネット ネットワーク アダプタ E810-CQDA2 ドライバをサポートするようになりました。

詳細については、「Getting Started with Secure Firewall Threat Defense Virtual and KVM」を参照してください。

バージョン 7.2.0 の Management Center 機能

表 11. バージョン 7.2.0 の Management Center 機能

機能

最小の Management Center

最小の Threat Defense

詳細

プラットフォーム

スナップショットで AWS および Azure 向け Threat Defense Virtual をすばやく展開できます。

7.2.0

7.2.0

AWS または Azure インスタンスの Threat Defense Virtual のスナップショットを作成し、そのスナップショットを使用して新しいインスタンスをすばやく展開できるようになりました。この機能により、AWS および Azure の自動スケールソリューションのパフォーマンスも向上します。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

クラウド管理型の脅威防御デバイス向けの分析モード。

7.2.0

7.0.3

7.2.0

バージョン 7.2 と同時に、Cisco クラウド提供型 Firewall Management Center を導入しました。クラウド提供型 Firewall Management Center は、Cisco Defense Orchestrator(CDO)プラットフォームを使用して、複数の Cisco セキュリティソリューションの管理を統合します。更新についてはシスコが行います。

バージョン 7.2 以降を実行しているオンプレミスハードウェアおよび仮想 Management Center では、クラウド管理型の Threat Defense デバイスを「共同管理」できますが、用途はイベントのロギングと分析に限られます。オンプレミス Management Center からこれらのデバイスにポリシーを展開することはできません。

新規/変更された画面:

  • クラウド管理型デバイスをオンプレミス Management Center に追加する場合は、新しい [CDO管理対象デバイス(CDO Managed Device)] チェックボックスをオンにして、そのデバイスが分析専用であることを指定します。

  • [デバイス(Devices)] > [デバイス管理(Device Management)] を選択すると、分析専用のデバイスが表示されます。

新規/変更された CLI コマンド:configure manager add configure manager delete configure manager edit show managers

バージョンの制限:Threat Defense バージョン 7.1 ではサポートされていません。

詳細については、Cisco Defense Orchestrator のクラウド提供型ファイアウォール管理センターを使用した Firewall Threat Defense の管理を参照してください。

ISA 3000 によるシャットダウンのサポート。

7.2.0

7.2.0

ISA 3000 のシャットダウンのサポートが再開されました。この機能はバージョン 7.0.2 で導入されましたが、バージョン 7.1 で一時的に廃止になりました。

高可用性/拡張性

パブリッククラウドとプライベートクラウドの両方で Threat Defense Virtual のクラスタリング。

7.2.0

7.2.0

次の Threat Defense Virtual プラットフォームのクラスタリングを設定できるようになりました。

  • AWS 向け Threat Defense Virtual:16 ノードクラスタ

  • GCP 向け Threat Defense Virtual:16 ノードクラスタ

  • KVM 向け Threat Defense Virtual:4 ノードクラスタ

  • VMware 向け Threat Defense Virtual:4 ノードクラスタ

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [クラスタの追加(Add Cluster)]

  • [Devices] > [Device Management] > [More] メニュー

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [クラスタ(Cluster)]

詳細については、「Clustering for Threat Defense Virtual in a Public Cloud」(AWS、GCP)または「Clustering for Threat Defense Virtual in a Private Cloud」(KVM、VMware)を参照してください。

16 ノードクラスタのサポート。

7.2.0

7.2.0

次のプラットフォームに 16 ノードクラスタを設定できるようになりました。

  • Firepower 4100/9300

  • AWS 向け Threat Defense Virtual

  • GCP 向け Threat Defense Virtual

Cisco Secure Firewall 3100 では、依然として 8 ノードしかサポートされません。

詳細については、「Clustering for the Firepower 4100/9300」または「Clustering for Threat Defense Virtual in a Public Cloud」を参照してください。

AWS ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケール。

7.2.0

7.2.0

CloudFormation テンプレートを使用して、AWS ゲートウェイロードバランサ向け Threat Defense Virtual の自動スケールをサポートするようになりました。

詳細については、『Cisco Secure Firewall Threat Defense Virtual スタートアップガイド』を参照してください。

GCP 向け Threat Defense Virtual の自動スケール。

7.2.0

7.2.0

アップグレードの影響。GCP 向け Threat Defense Virtual はバージョン 7.2.0 を飛び越してアップグレードできません。

GCP の内部ロードバランサ(ILB)と GCP 外部ロードバランサ(ELB)の間に Threat Defense Virtua インスタンスグループを配置することにより、GCP 向け Threat Defense Virtua の自動スケールをサポートするようになりました。

バージョンの制限:この機能のサポートに必要なインターフェイスの変更により、GCP 向け Threat Defense Virtual のアップグレードはバージョン 7.2.0 を飛び越すことができません。つまり、バージョン 7.1.x 以前からバージョン 7.2.0 より後にアップグレードすることはできません。新しいインスタンスを展開し、デバイス固有の設定をやり直す必要があります。

詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

インターフェイス

Firepower 2100 および Cisco Secure Firewall 3100 で LLDP をサポート。

7.2.0

7.2.0

Firepower 2100 および Cisco Secure Firewall 3100 シリーズのインターフェイスで Link Layer Discovery Protocol(LLDP)を使用できるようになりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [ハードウェア構成(Hardware Configuration)] > [LLDP]

新規/変更されたコマンド:show lldp status show lldp neighbors show lldp statistics

詳細については、「Interface Overview」を参照してください。

Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止。

7.2.0

7.2.0

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [ハードウェア構成(Hardware Configuration)] > [ネットワーク接続(Network Connectivity)]

詳細については、「Interface Overview」を参照してください。

Cisco Secure Firewall 3130 および 3140 のブレークアウトポート。

7.2.0

7.2.0

Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。

新規/変更された画面: [デバイス(Devices)] > [デバイス管理(Device Management)] > [シャーシの操作(Chassis Operations)]

詳細については、「Interface Overview」を参照してください。

Management Center の Web インターフェイスから VXLAN を設定。

7.2.0

いずれか

アップグレードの影響。アップグレード後に、FlexConfig をやり直します。

Management Center の Web インターフェイスを使用して VXLAN インターフェイスを設定できるようになりました。VXLAN は、レイヤ 2 ネットワークを拡張するためにレイヤ 3 物理ネットワーク上のレイヤ 2 仮想ネットワークとして機能します。

以前のバージョンで FlexConfig を使用して VXLAN インターフェイスを設定した場合、それらは引き続き機能します。実際、この場合は FlexConfig が優先されます。Web インターフェイスで VXLAN 設定をやり直す場合は、FlexConfig 設定を削除します。

新規/変更された画面:

  • VTEP ソースインターフェイスは次の順にアクセスし、設定します:[デバイス(Devices)] > [デバイスの管理(Device Management)] > [VTEP]

  • VNI インターフェイスは次の順にアクセスし、設定します。[デバイス(Devices)] > [デバイスの管理(Device Management)] > [インターフェイス(Interfaces)] > [VPNインターフェイスを追加(Add VNI Interface)]

詳細については、「Regular Firewall Interfaces」を参照してください。

NAT

複数の NAT ルールを同時に有効化、無効化、削除。

7.2.0

いずれか

複数の NAT ルールを選択して、すべてを同時に有効化、無効化、または削除できます。有効化および無効化の対象は手動 NAT ルールのみです。削除はすべての NAT ルールが対象になります。

詳細については、「Network Address Translation」を参照してください。

VPN

RA VPN 接続プロファイル用の証明書と SAML 認証。

7.2.0

7.2.0

RA VPN 接続プロファイル用の証明書と SAML 認証をサポートするようになりました。SAML 認証/承認が開始される前に、マシン証明書やユーザー証明書を認証できます。これは、ユーザー固有の SAML DAP 属性と DAP 証明書属性を使用して実行できます。

新規/変更された画面:RA VPN ポリシーの接続プロファイルの認証方法を選択するときに、[証明書とSML(Certificate & SAML)] オプションを選択できるようになりました。

詳細については、「Remote Access VPN」を参照してください。

ハブアンドスポークトポロジを使用したルートベースのサイト間 VPN。

7.2.0

7.2.0

ハブアンドスポークトポロジでのルートベースのサイト間 VPN のサポートが追加されました。以前は、このトポロジはポリシーベース(暗号マップ)VPN のみをサポートしていました。

新規/変更された画面:新しい VPN トポロジを追加し、[ルートベース(VTI)(Route Based (VTI))] を選択すると、[ハブアンドスポーク(Hub and Spoke)] も選択できるようになりました。

詳細については、「Site-to-Site VPNs」を参照してください。

Cisco Secure Firewall 3100 の IPsec フローのオフロード。

7.2.0

7.2.0

Cisco Secure Firewall 3100 では、IPsec フローはデフォルトでオフロードされます。IPsec サイト間 VPN またはリモートアクセス VPN セキュリティ アソシエーション (SA) の初期設定後、IPsec 接続はデバイスのフィールド プログラマブル ゲート アレイ (FPGA) にオフロードされるため、デバイスのパフォーマンスが向上します。

FlexConfig と flow-offload-ipsec コマンドを使用して構成を変更できます。

詳細については、「Site-to-Site VPNs」を参照してください。

ルーティング

Management Center の Web インターフェイスから EIGRP を設定。

7.2.0

いずれか

アップグレードの影響。アップグレード後に、FlexConfig をやり直します。

Management Center の Web インターフェイスを使用して EIGRP を設定できるようになりました。デバイスのグローバル仮想ルータに属するインターフェイスでのみ EIGRP を有効にできることに注意してください。

以前のバージョンの FlexConfig を使用して EIGRP を設定した場合、アップグレード後の展開は可能ですが、Web インターフェイスで EIGRP の設定をやり直すように警告が表示されます。新しい設定を確認したら、廃止された FlexConfig オブジェクトまたは FlexConfig コマンドを削除できます。このプロセスを支援するために、コマンドライン移行ツールが用意されています。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [EIGRP]

詳細については、「EIGRP」およびFlexConfig ポリシーの移行を参照してください。

Firepower 1010 で仮想ルータをサポート。

7.2.0

7.2.0

Firepower 1010 で最大 5 つの仮想ルータを構成できるようになりました。

詳細については、「Virtual Routers」を参照してください。

ユーザー定義の仮想ルータで VTI をサポート。

7.2.0

7.2.0

仮想トンネルインターフェイスをユーザー定義の仮想ルータに割り当てることができるようになりました。これまでは、VTI はグローバル仮想ルータにしか割り当てることができませんでした。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [仮想ルータのプロパティ(Virtual Router Properties)]

詳細については、「Virtual Routers」を参照してください。

パスのモニタリングによるポリシーベースのルーティング。

7.2.0

7.2.0

パスのモニタリング機能を使用して、デバイスの出力インターフェイスのパフォーマンスメトリック(RTT、ジッター、パケット損失、MOS)を収集できるようになりました。次に、収集したメトリックを使用して、ポリシーベースのルーティングの最適なパスを決定できます。

新規/変更された画面:

  • パスモニタリングを有効にし、収集するメトリックを選択するには、 [デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [パスモニタリング(Path Monitoring)] に移動します。

  • ポリシーベースのルートを追加して転送アクションを指定する際、新規の [インターフェイスの順位付け(Interface Ordering)] オプションを使用します( [デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [ポリシーベースルーティング(Policy Based Routing)])。

  • 各デバイスのヘルス モニタリング ダッシュボードでパスメトリックを監視します(システム[システム歯車(system gear}] アイコン > [ヘルス(Health)] > [モニター(Monitor)] > [ダッシュボードの追加(add dashboard)] > [インターフェイス: パスメトリック(Interface - Path Metrics)])。

新規/変更された CLI コマンド:show policy route show path-monitoring clear path-monitoring

詳細については、「Policy Based Routing」を参照してください。

脅威インテリジェンス

Cisco Umbrella からの DNS ベースの脅威インテリジェンス。

7.2.0

いずれか

Cisco Umbrella から定期的に更新される情報を使用して、DNS ベースのセキュリティ インテリジェンスをサポートするようになりました。二重の保護として、ローカル DNS ポリシーと Umbrella DNS ポリシーの両方を使用できます。

新規/変更された画面:

  • Umbrella への接続の設定:[統合(Integration)] > [その他の統合(Other Integrations)] > [クラウドサービス(Cloud Services)] > [Cisco Umbrella接続(Cisco Umbrella Connection)]

  • Umbrella DNS ポリシーの設定:[ポリシー(Policies)] > [DNS] > [DNSポリシーを追加(Add DNS Policy)] > [Umbrella DNAポリシー(Umbrella DNA Policy)]

  • Umbrella DNS ポリシーのアクセスコントロールへの関連付け:[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [ポリシーを編集(Edit Policy)] > [セキュリティインテリジェンス(Security Intelligence)] > [Umbrella Cisco DNSポリシー(Umbrella Cisco DNS Policy)]

詳細については、「DNS Policies」を参照してください。

Amazon GuardDuty からの IP ベースの脅威インテリジェンス。

7.2.0

いずれか

AWS の Management Center Virtual と統合している場合、Amazon GuardDuty によって検出された悪意のある IP アドレスに基づいてトラフィックを処理できるようになりました。カスタム セキュリティ インテリジェンス フィードまたは定期的に更新されるネットワーク オブジェクト グループを介して脅威インテリジェンスがシステムで活用され、ユーザーはそれをセキュリティポリシー内で使用できます。

詳細については、Cisco Secure Firewall Threat Defense Virtual スタートアップガイドを参照してください。

アクセス制御と脅威検出

動的オブジェクト管理:

  • クラウド提供型 Cisco Secure 動的属性コネクタ

  • オンプレミス Cisco Secure 動的属性コネクタ 2.0

7.2.0

いずれか

バージョン 7.2 と同時に、Cisco Secure 動的属性コネクタの次の更新をリリースしました。

  • クラウド提供型 Cisco Secure 動的属性コネクタ(CDO マネージドサービス)

    サポート対象管理センター:バージョン 7.1 以降およびクラウド提供型管理センター。

    サポート対象仮想/クラウドワークロード:AWS、Azure、Azure サービスタグ、Google Cloud Connector、GitHub、Office 365。

    詳細については、Managing the Cisco Secure Dynamic Attributes Connector with Cisco Defense Orchestrator」の章を参照してください。

  • オンプレミス Cisco Secure 動的属性コネクタ 2.0

    サポート対象管理センター:バージョン 7.0 以降およびクラウド提供型管理センター。

    サポート対象仮想/クラウドワークロード:AWS、Azure、Azure サービスタグ、Google Cloud Connector、GitHub、Office 365、VMware。

    詳細については、Cisco Secure 動的属性コネクタ コンフィギュレーション ガイド 2.0 [英語] を参照してください。

Snort 3 デバイスで、インスペクションをバイパスするか、エレファントフローをスロットルします。

7.2.0

7.2.0(Snort 3)

インスペクションの検出およびオプションでのバイパス、もしくはエレファントフローをスロットルできるようになりました。デフォルトでは、アクセス コントロール ポリシーは、システムが 1 GB/10 秒を超える暗号化されていない接続を検出したときにイベントを生成するように設定されています。レート制限は設定可能です。

Firepower 2100 シリーズでは、エレファントフローを検出できますが、インスペクションのバイパスやスロットルすることはできません。Snort 2 を実行しているデバイス、およびバージョン 7.1 以前を実行しているデバイスでは、引き続きインテリジェント アプリケーション バイパス(IAB)を使用します。

新規/変更された画面:[エレファントフローの設定(Elephant Flow Settings)] をアクセス コントロール ポリシーの [詳細(Advanced)] タブに追加しました。

詳細については、「Elephant Flow Detection」を参照してください。

暗号化された可視性エンジン機能の拡張。

7.2.0

7.2.0(Snort 3)

暗号化された可視性エンジン(EVE)に次の拡張機能が追加されています。

  • EVE は、ホストが使用しているオペレーティングシステムを検出できます。これは、イベントとネットワークマップで報告されます。

  • EVE は、高い信頼度で識別された EVE プロセスをアプリケーションに割り当てることでアプリケーション トラフィックを検出できます。これをアクセスコントロールルールで使用してネットワークトラフィックを制御できます。(バージョン 7.1 では、接続の EVE プロセスを見ることができましたが、その情報をもとに行動することはできませんでした。)

    さらに割り当てを追加するには、カスタムアプリケーションやカスタム アプリケーション ディテクタを作成します。カスタムディテクタに検出パターンを追加するときは、アプリケーションとして [暗号化された可視性エンジン(Encrypted Visibility Engine)] を選択します。次に、プロセス名と信頼度を指定します。

  • EVE は QUIC トラフィックで動作するようになりました。

これらの機能拡張に伴い、次の接続イベントフィールドが変更されました。

[TLS Fingerprint Process Name]

は次に変更されました。

[暗号化された可視性プロセス名(Encrypted Visibility Process Name)]

[TLS Fingerprint Process Confidence Score]

は次に変更されました。

[暗号化された可視性プロセスの信頼スコア(Encrypted Visibility Process Confidence Score)]

[TLS Fingerprint Malware Confidence]

は次に変更されました。

[暗号化された可視性脅威の信頼度(Encrypted Visibility Threat Confidence)]

[TLS Fingerprint Malware Confidence Score]

は次に変更されました。

[暗号化された可視性脅威の信頼スコア(Encrypted Visibility Threat Confidence Score)]

検出タイプ:TLS フィンガープリント

は次に変更されました。

検出タイプ:暗号化された可視性エンジン

この機能には脅威ライセンスが必要になりました。

詳細については、「Access Control Policies」および「Application Detection」を参照してください。

TLS 1.3 インスペクション。

7.2.0

7.2.0(Snort 3)

TLS 1.3 トラフィックのインスペクションがサポートされるようになりました。

新規/変更された画面:SSL ポリシーの [詳細設定(Advanced Settings)] タブに [TLS 1.3復号の有効化(Enable TLS 1.3 Decryption)] オプションが追加されました。なお、このオプションはデフォルトで無効になっています。

詳細については、「SSL Policies」を参照してください。

ポートスキャン検出の改善。

7.2.0

7.2.0(Snort 3)

改良されたポートスキャンディテクタを使用すると、ポートスキャンを検出または防止するようにシステムを簡単に設定できます。保護するネットワークを絞り込んだり、感度を設定したりできます。Snort 2 を実行しているデバイス、およびバージョン 7.1 以前を実行しているデバイスの場合、ポートスキャン検出には引き続きネットワーク分析ポリシーを使用します。

新規/変更された画面:[脅威検出(Threat Detection)] をアクセス コントロール ポリシーの [詳細(Advanced)] タブに追加しました。

詳細については、「Threat Detection」を参照してください。

VBA マクロインスペクション。

7.2.0

7.2.0(Snort 3)

Microsoft Office ドキュメントの VBA(Visual Basic for Applications)マクロのインスペクションがサポートされるようになりました。これは、マクロを解凍し、解凍されたコンテンツに対してルールを照合することで実行されます。

デフォルトでは、VBA マクロの解凍は、システムが提供するすべてのネットワーク分析ポリシーで無効になっています。これを有効にするには、imap、smtp、http_inspect、および pop Snort 3 インスペクタで decompress_vba 設定を使用します。

解凍されたマクロと照合するカスタム侵入ルールを設定するには、vba_data オプションを使用します。

詳細については、『Snort 3 インスペクタリファレンス 』ならびに『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

JavaScript インスペクションの改善。

7.2.0

7.2.0(Snort 3)

JavaScript を正規化し、正規化されたコンテンツに対してルールを照合することで実行される JavaScript インスペクションを改善しました。新しいノーマライザの拡張機能には、改善されたホワイトスペースの正規化、セミコロンの挿入、クロスサイトスクリプトの処理、識別子の正規化とデエイリアシング、ジャストインタイム(JIT)インスペクション、および外部スクリプトを検査する機能が含まれます。

デフォルトでは、新しいノーマライザは、システムが提供するすべてのネットワーク分析ポリシーで有効になっています。カスタムネットワーク分析ポリシーでパフォーマンスを調整するか、機能を無効にするには、https_inspect Snort 3 インスペクターで js_norm(改良されたノーマライザ)および normalize_javascript(従来のノーマライザ)設定を使用します。

正規化された JavaScript と照合するようにカスタム侵入ルールを構成するには、次のように js_data オプションを使用します。

alert tcp any any -> any any (msg:"Script detected!"; 
js_data; content:"var var_0000=1;"; sid:1000001;)

詳細については、『Snort 3 インスペクタリファレンス 』の「HTTP Inspect Inspector」ならびに『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

SMB 3 インスペクションの改善。

7.2.0

7.2.0(Snort 3)

次の状況下で SMB 3 トラフィックの検査がサポートされるようになりました。

  • SMB 透過フェールオーバー用に構成されたクラスタのファイルサーバーノードのフェールオーバー中。

  • SMB スケールアウトを使用したクラスタの複数ファイルサーバーノード内。

  • SMB ディレクトリリースによるディレクトリ情報の変更時。

  • SMB マルチチャネルによる複数の接続の分散時。

詳細については、『Snort 3 インスペクタリファレンス 』ならびに『 Cisco Secure Firewall Management Center Snort 3 Configuration Guide 』を参照してください。

[ポリシー管理(Policy Management)]

アクセス コントロール ポリシーのロック。

7.2.0

いずれか

アクセス コントロール ポリシーをロックして、他の管理者が編集できないようにすることが可能になりました。ポリシーをロックすると、変更を保存する前に別の管理者がポリシーを編集して変更を保存しても、変更が無効になることはありません。アクセス コントロール ポリシーを変更する権限を持つすべてのユーザーには、それをロックする権限があります。

ポリシーの編集時にポリシーをロックまたはロック解除するアイコンがポリシー名の横に追加されました。さらに、他の管理者によってロックされたポリシーのロックを解除できるようにする新しい権限(アクセス コントロール ポリシー ロックのオーバーライド)が追加されました。この権限は、デフォルトで管理者、アクセス管理者、およびネットワーク管理者のロールで有効になっています。

詳細については、「Access Control Policies」を参照してください。

オブジェクトグループ検索をデフォルトで有効化。

7.2.0

いずれか

デバイスを Management Center に追加すると、[オブジェクトグループ検索(Object Group Search)] 設定がデフォルトで有効になるようになりました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [詳細設定(Advanced Settings)]

詳細については、「Device Management」を参照してください。

アクセス制御ルールのヒットカウントは再起動後も存続します。

7.2.0

7.2.0

管理対象デバイスを再起動しても、アクセス制御ルールのヒットカウントがゼロにリセットされなくなりました。カウンタを能動的にクリアした場合にのみ、ヒットカウントがリセットされます。さらに、カウントは HA ペアまたはクラスタ内の各ユニットによって個別に維持されます。show rule hits コマンドを使用して、HA ペアまたはクラスタ全体の累積カウンタを表示したり、ノードごとのカウントを表示したりできます。

新規/変更された CLI コマンド: show rule hits

詳細については、Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。

アクセス コントロール ポリシーのユーザビリティの改善。

7.2.0

いずれか

アクセス コントロール ポリシーで使用できる新しいユーザーインターフェイスが追加されました。従来のユーザーインターフェイスを引き続き使用することも、新しいユーザーインターフェイスを試すこともできます。

新しいインターフェイスは、ルールリストのテーブルビューとグリッドビュー、列を表示または非表示にする機能、高度な検索機能、無限スクロール機能を備え、アクセス コントロール ポリシーが割り当てられたポリシーに関するパケットフローのビューがより明確になりました。また、ルール作成用の追加/編集ダイアログボックスがシンプルになりました。アクセス コントロール ポリシーの編集中に、従来のユーザーインターフェイスと新しいユーザーインターフェイスを自由に切り替えることができます。

詳細については、「Access Control Policies」を参照してください。

イベントロギングおよび分析

SecureX との統合、SecureX とのオーケストレーションの改善

7.2.0

いずれか

SecureX との統合プロセスが合理化されました。すでに SecureX アカウントを持っている場合は、新しい [統合(Integration)] > [SecureX] ページで該当するクラウドリージョンを選択し、[SecureXの有効化(Enable SecureX)] をクリックして、SecureX に対して認証するだけです。イベントをクラウドに送信するオプション、および Cisco Success Network と Cisco Support Diagnostics を有効にするオプションも、この新しいページに移動されました。

この新しいページで SecureX との統合を有効にすると、システムのクラウド接続のライセンス管理が Cisco Smart Licensing から SecureX に切り替わります。SecureX を「従来の」方法ですでに有効にしている場合、このクラウド接続管理による利点を得るには、無効にしてから再度有効にする必要があります。

Web インターフェースで示されていない場合でも、このページでは対象のクラウドリージョンや、シスコのセキュリティ分析とロギング(SaaS) を使用して Secure Network Analytics(Stealthwatch)クラウドに送信するイベントタイプも管理することを覚えておいてください。以前のバージョンでは、このオプションは、システム[システム歯車(system gear}] アイコン > [統合(Integration)] > [クラウドサービス(Cloud Services)] にありました。SecureX を有効にしても、Secure Network Analytics クラウドとの通信には影響しません。両方にイベントを送信できます。

Management Center は SecureX オーケストレーションもサポートするようになりました。これは、セキュリティツール全体のワークフローを自動化するために使用できる強力なドラッグアンドドロップ インターフェイスです。SecureX を有効にすると、オーケストレーションを有効にできます。

この機能の一部として、REST API を使用して SecureX との統合を設定できなくなりました。FMC の Web インターフェイスを使用する必要があります。

バージョンの制限:この機能は、バージョン 7.0.2 以降および 7.2 以降に含まれています。バージョン 7.1 ではサポートされていません。バージョン 7.0.x で、新しい方法で SecureX との統合を有効にした場合は、この機能を無効にしない限り、バージョン 7.1 にアップグレードすることはできません。バージョン 7.2 以降にアップグレードすることをお勧めします。

参照: Cisco Secure Firewall Management Center(7.0.2 および 7.2)および SecureX 統合ガイド

セキュリティイベントのログを複数の Cisco Secure Network Analytics オンプレミスデータストアに記録。

7.2.0

7.0.0

Cisco Secure Network Analytics Data Store(マルチノード)との統合を設定する際、セキュリティイベント用に複数のフローコレクターを追加できるようになりました。各フローコレクターを、バージョン 7.0 以降を実行している 1 つ以上の Threat Defense デバイスに割り当てます。

新規/変更された画面:

  • セットアップ:[統合(Integration)] > [セキュリティ分析とロギング(Security Analytics & Logging)] > [Secure Network Analytics Data Store]

  • 変更:[統合(Integration)] > [セキュリティ分析およびロギング(Security Analytics & Logging)] > [デバイス割り当ての更新(Update Device Assignments)]

この機能には、Cisco Secure Network Analytics バージョン 7.1.4 が必要です。

詳細については、『Cisco Security Analytics and Logging(オンプレミス):ファイアウォールイベント統合ガイド』を参照してください。

データベースアクセスの変更。

7.2.0

いずれか

10 個の新しいテーブルを追加し、1 個のテーブルを廃止し、6 個のテーブルで結合を禁止しました。また、Snort 3 サポートのためにさまざまなテーブルにフィールドを追加し、可読形式でタイムスタンプと IP アドレスを提供しました。

詳細については、『Cisco Secure Firewall Management Center Database Access Guide, Version 7.2』の新機能のトピックを参照してください。

eStreamer の変更。

7.2.0

いずれか

新しい Python ベースの参照クライアントが SDK に追加されました。また、完全修飾イベントをリクエストできるようになりました。

詳細については、『Cisco Secure Firewall Management Center Event Streamer Integration Guide, Version 7.2』の新機能のトピックを参照してください。

展開とポリシー管理

展開で管理接続が失われた場合の自動ロールバック。

7.2.0

7.2.0

展開によって Management Center と Threat Defense 間の管理接続がダウンした場合に備えて、設定の自動ロールバックを有効にできるようになりました。以前は、configure policy rollback コマンドを使用して手動で設定をロールバックすることしかできませんでした。

新規/変更された画面:

  • [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [展開設定(Deployment Settings)]

  • [展開(Deploy)] > [高度な展開(Advanced Deploy)] > [プレビュー(Preview)]

  • [展開(Deploy)] > [展開履歴(Deployment History)] > [プレビュー(Preview)]

詳細については、「Device Management」を参照してください。

設定の変更を展開するときに、レポートを生成して電子メールで送信します。

7.2.0

いずれか

任意の展開タスクのレポートを生成できるようになりました。このレポートには、展開された設定に関する詳細が含まれています。

新規/変更されたページ:[展開(Deploy)] > [Deployment History][Deployment History] アイコン[アイコン(icon)]その他[その他(More)] アイコン[全般的なレポート(Generate Report)]。

詳細については、「Configuration Deployment」を参照してください。

アップグレード

デバイス間のアップグレードパッケージのコピー(「ピアツーピア同期」)。

7.2.0

7.2.0

Management Center や内部 Web サーバーから各デバイスにアップグレードパッケージをコピーする代わりに、Threat Defense CLI を使用してデバイス間でアップグレード パッケージをコピーできます(「ピアツーピア同期」)。この安全で信頼性の高いリソース共有は、管理ネットワークを経由しますが、Management Center には依存しません。各デバイスは、5 つのパッケージの同時転送に対応できます。

この機能は、同じスタンドアロン Management Center によって管理されるバージョン 7.2 以降のスタンドアロンデバイスでサポートされています。次の場合はサポートされていません。

  • コンテナインスタンス。

  • デバイスの高可用性ペアとクラスタ。これらのデバイスは通常の同期プロセスの一部として、相互にパッケージを取得します。アップグレードパッケージを 1 つのグループメンバーにコピーすると、自動的にすべてのグループメンバーと同期されます。

  • 高可用性 Management Center によって管理されるデバイス。

  • クラウド提供型 Firewall Management Center によって管理されるが、分析モードでオンプレミス Management Center に追加されたデバイス。

  • 異なるドメインのデバイス、または NAT ゲートウェイによって分離されたデバイス。

  • Management Center のバージョンに関係なく、バージョン 7.1 以前からアップグレードするデバイス。

新規/変更された CLI コマンド:configure p2psync enable configure p2psync disable show peers show peer details sync-from-peer show p2p-sync-status

詳細については、「Copy Threat Defense Upgrade Packages between Devices」を参照してください。

Threat Defense のアップグレード完了後の Snort 3 への自動アップグレード。

7.2.0

7.2.0

バージョン 7.2 以降の Management Center を使用して Threat Defense をバージョン 7.2 以降にアップグレードする場合、Snort 2 から Snort 3 へのアップグレードを実行するかどうかを選択できるようになりました。

ソフトウェアのアップグレード後、設定を展開すると、対象のデバイスが Snort 2 から Snort 3 にアップグレードされます。カスタム侵入ポリシーやネットワーク分析ポリシーを使用しているためにデバイスがアップグレード対象外になる場合は、検出とパフォーマンスを向上させるために、手動で Snort 3 にアップグレードすることを強く推奨します。ヘルプについては、ご使用のバージョンの Cisco Secure Firewall Management Center Snort 3 Configuration Guide を参照してください。

バージョンの制限:Threat Defense のバージョン 7.0.x または 7.1.x へのアップグレードはサポートされていません。

単一ノードクラスタのアップグレード。

7.2.0

いずれか

デバイスのアップグレードページ([デバイス(Devices)] > [デバイスのアップグレード(Device Upgrade)])を使用して、アクティブノードが 1 つだけのクラスタをアップグレードできるようになりました。非アクティブ化されたノードもアップグレードされます。以前は、このタイプのアップグレードは失敗していました。この機能は、システムの更新ページ(システム[システム歯車(system gear}] アイコン[更新(Updates)])ではサポートされていません。

この場合、ヒットレスアップグレードもサポートされません。トラフィックフローと検査の中断は、スタンドアロンデバイスと同様に、アクティブユニットのインターフェイス設定に依存します。

サポートされるプラットフォーム:Firepower 4100/9300、Secure Firewall 3100

CLI からの Threat Defense アップグレードの復元。

7.2.0

7.2.0

Management Center とデバイス間の通信が中断された場合、デバイスの CLI から Threat Defense のアップグレードを元に戻すことができるようになりました。高可用性や拡張性の展開では、すべてのユニットを同時に復元すると、復元が成功する可能性が高くなります。CLI を使用して復元する場合は、すべてのユニットでセッションを開き、それぞれで復元が可能であることを確認してから、プロセスを同時に開始します。

注意    

 

CLI から復元すると、アップグレード後に行った変更によっては、デバイスと Management Center 間で設定が同期されないことがあります。これにより、後に通信と展開の問題が発生する可能性があります。

新規/変更された CLI コマンド:upgrade revert show upgrade revert-info

詳細については、「Revert the Upgrade」を参照してください。

管理(Administration)

DNS 要求を解決するための複数の DNS サーバーグループ。

7.2.0

いずれか

クライアントシステムからの DNS 要求を解決するために、複数の DNS グループを設定できます。これらの DNS サーバー グループを使用して、さまざまな DNS ドメインの要求を解決できます。たとえば、インターネットへの接続で使用するために、パブリック DNS サーバーを使用するキャッチオールのデフォルトグループを作成できます。次に、example.com ドメイン内のマシンへの接続など、内部トラフィックに内部 DNS サーバーを使用する別のグループを構成できます。したがって、組織のドメイン名を使用した FQDN への接続は、内部 DNS サーバーを使用して解決されますが、パブリックサーバーへの接続は外部 DNS サーバーを使用します。

新規/変更された画面: [プラットフォーム設定(Platform Settings)] > [DNS]

詳細については、「Platform Settings」を参照してください。

使用タイプごとに脅威防御を使用して証明書の検証を設定します。

7.2.0

7.2.0

トラストポイント(脅威防御デバイス)で検証が許可される使用タイプを指定できるようになりました:IPsec クライアント接続、SSL クライアント接続、および SSL サーバー証明書。

新規/変更された画面:証明書登録オブジェクトに [検証の使用(Validation Usage)] オプションを追加しました:[オブジェクト(Objects)] > [オブジェクトマネージャ(Object Manager)] > [PKI] > [証明書の登録(Cert Enrollment)]。

詳細については、「オブジェクト管理」を参照してください。

GeoDB を 2 つのパッケージに分割。

7.2.0

いずれか

2022 年 5 月、バージョン 7.2 リリースの直前に、GeoDB が 2 つのパッケージに分割されました。IP アドレスを国/大陸にマッピングする国コードパッケージと、ルーティング可能な IP アドレスに関連付けられた追加のコンテキストデータを含む IP パッケージです。IP パッケージのコンテキストデータには、追加のロケーションの詳細に加えて、ISP、接続タイプ、プロキシタイプ、ドメイン名などの接続情報を含めることができます。

バージョン 7.2.0 から 7.2.5 までの Management Center にインターネットアクセスがあり、定期的な更新を有効にしている場合、または シスコ サポートおよびダウンロード サイト から 1 回限りの更新を手動で開始した場合、両方のパッケージが自動的に取得されます。バージョン 7.2.6 以降または 7.4.0 以降では、システムに IP パッケージを取得させるかどうかを設定できます。

エアギャップ展開などで更新を手動でダウンロードする場合、パッケージを個別にインポートする必要があります。

  • 国コードパッケージ:Cisco_GEODB_Update-date-build.sh.REL.tar​

  • IP パッケージ:Cisco_IP_GEODB_Update-date-build.sh.REL.tar​

[ヘルプ(Help)][ヘルプ(Help)] アイコン > [バージョン情報(About)] には、システムで現在使用されているパッケージのバージョンが一覧表示されます。

詳細については、「Updates」を参照してください。

Web インターフェイスのフランス語オプション。

7.2.0

いずれか

Management Center の Web インターフェイスをフランス語に切り替えることができるようになりました。

新規/変更された画面:システム[システム歯車(system gear}] アイコン > [設定(Configuration)] > [言語(Language)]

詳細については、「System Configuration」を参照してください。

Web インターフェイスの変更:展開とユーザー アクティビティの統合。

7.2.0

いずれか

バージョン 7.2 では、すべてのケースで以下の Management Center メニューオプションが変更されています。

[展開(Deploy)] > [展開履歴(Deployment History)]

は次に変更されました。

[展開(Deploy)] > [Deployment History][Deployment History] アイコン(右下隅)

[展開(Deploy)] > [展開(Deployment)]

は次に変更されました。

[展開(Deploy)] > [高度な展開(Advanced Deploy)]

[分析(Analysis)] > [ユーザー(Users)] > [アクティブなセッション(Active Sessions)]

は次に変更されました。

[統合(Integration)] > [ユーザー(Users)] > [アクティブなセッション(Active Sessions)]

[分析(Analysis)] > [ユーザー(Users)] > [ユーザー(Users)]

は次に変更されました。

[統合(Integration)] > [ユーザー(Users)] > [ユーザー(Users)]

[分析(Analysis)] > [ユーザー(Users)] > [ユーザーアクティビティ(User Activity)]

は次に変更されました。

[統合(Integration )] > [ユーザー(Users)] > [ユーザーアクティビティ(User Activity)]

Web インターフェイスの変更:SecureX、脅威インテリジェンス、およびその他の統合。

7.2.0

いずれか

バージョン 7.0.1 以前、またはバージョン 7.1 からアップグレードする場合、バージョン 7.2 では Management Center のメニューオプションが変更されます。

(注)  

 

バージョン 7.0.2 またはそれ以降のバージョン 7.0.x メンテナンスリリースからアップグレードする場合、メニュー構造はすでに次のようになっています。

[AMP] > [AMP管理(AMP Management)]

は次に変更されました。

[統合(Integration)] > [AMP] > [AMP管理(AMP Management)]

[AMP] > [ダイナミック分析接続(Dynamic Analysis Connections)]

は次に変更されました。

[統合(Integration)] > [AMP] > [ダイナミック分析接続(Dynamic Analysis Connections)]

[インテリジェンス(Intelligence)] > [ソース(Sources)]

は次に変更されました。

[統合(Integration)] > [インテリジェンス(Intelligence)] > [ソース(Sources)]

[インテリジェンス(Intelligence)] > [要素(Elements)]

は次に変更されました。

[統合(Integration)] > [インテリジェンス(Intelligence)] > [要素(Elements)]

[インテリジェンス(Intelligence)] > [設定(Settings)]

は次に変更されました。

[統合(Integration)] > [インテリジェンス(Intelligence)] > [設定(Settings)]

[インテリジェンス(Intelligence)] > [インシデント(Incidents)]

は次に変更されました。

[統合(Integration)] > [インテリジェンス(Intelligence)] > [インシデント(Incidents)]

システム[システム歯車(system gear}] アイコン > [統合(Integration)]

は次に変更されました。

[統合(Integration)] > [その他の統合(Other Integrations)]

システム[システム歯車(system gear}] アイコン > [ロギング(Logging)] > [セキュリティ分析とロギング(Security Analytics and Logging)]

は次に変更されました。

[統合(Integration)] > [セキュリティ分析とロギング(Security Analytics and Logging)]

システム[システム歯車(system gear}] アイコン > [SecureX]

は次に変更されました。

[統合(Integration)] > [SecureX]

ユーザビリティ、パフォーマンス、およびトラブルシューティング

Secure Firewall 3100 のパケットドロップ統計。

7.2.0

7.2.0

新しい show packet-statistics 脅威防御 CLI コマンドは、ポリシーに関連しないパケットドロップに関する包括的な情報を表示します。これまでは、いくつかのコマンドを使用してこの情報を表示する必要がありました。

詳細については、『Cisco Secure Firewall Threat Defense コマンドリファレンス』を参照してください。

Cisco Success Network テレメトリ。

7.2.0

いずれか

テレメトリの変更については、『Cisco Secure Firewall Management Center から収集される Cisco Success Network テレメトリデータ、バージョン 7.2』を参照してください。

Management Center REST API

Management Center REST API。

7.2.0

いずれか

FMC REST API の変更の詳細については、REST API クイックスタートガイド [英語] の「What's New in 7.2」を参照してください。

廃止された機能

廃止:FlexConfig を使用した EIGRP。

7.2.0

いずれか

Management Center の Web インターフェイスから EIGRP ルーティングを設定できるようになりました。

次の FlexConfig オブジェクトは不要になりました:Eigrp_Configure、Eigrp_Interface_Configure、Eigrp_Unconfigure、Eigrp_Unconfigure_all。

および、次の関連するテキストオブジェクトが廃止されました:eigrpAS、eigrpNetworks、eigrpDisableAutoSummary、eigrpRouterId、eigrpStubReceiveOnly、eigrpStubRedistributed、eigrpStubConnected、eigrpStubStatic、eigrpStubSummary、eigrpIntfList、eigrpAS、eigrpAuthKey、eigrpAuthKeyId、eigrpHelloInterval、eigrpHoldTime、eigrpDisableSplitHorizon。

システムでは、アップグレード後に展開できますが、EIGRP 構成をやり直すように警告されます。このプロセスを支援するために、コマンドライン移行ツールが用意されています。詳細については、「Migrating FlexConfig Policies」を参照してください。

廃止:FlexConfig を使用した VXLAN。

7.2.0

いずれか

Management Center の Web インターフェイスから VXLAN インターフェイスを設定できるようになりました。

次の FlexConfig オブジェクトは不要になりました:VxLAN_Clear_Nve、VxLAN_Clear_Nve_Only、VxLAN_Configure_Port_And_Nve、VxLAN_Make_Nve_Only、VxLAN_Make_Vni。

これらの関連するテキストオブジェクト:vxlan_Port_And_Nve、vxlan_Nve_Only、vxlan_Vni。

以前のバージョンで FlexConfig を使用して VXLAN インターフェイスを設定した場合、それらは引き続き機能します。実際、この場合は FlexConfig が優先されます。Web インターフェイスで VXLAN 設定をやり直す場合は、FlexConfig 設定を削除します。

廃止:アップグレード前の自動トラブルシューティング。

7.2.0

いずれか

時間とディスク容量を節約するために、管理センターのアップグレードプロセスでは、アップグレードの開始前にトラブルシューティング ファイルを自動的に生成しなくなりました。デバイスのアップグレードは影響を受けず、引き続きトラブルシューティング ファイルが生成される点に注意してください。

管理センターのトラブルシューティング ファイルを手動で生成するには、システム[システム歯車(system gear}] アイコン > [正常性(Health)] > [モニタ(Monitor)] を選択し、左側のパネルで [Firewall Management Center] をクリックし、[View System & Troubleshoot Details]、[Generate Troubleshooting Files] を選択します。

バージョン 7.1.0 の FMC 機能


(注)  


クラウド提供型 Firewall Management Center ではバージョン 7.1 デバイスを管理できません。クラウド管理対象デバイスでバージョン 7.0 を実行している場合は、バージョン 7.2 以降に直接アップグレードして、ここに記載されている機能を利用してください。


表 12. バージョン 7.1.0.3 の FMC 機能

機能

詳細

CA バンドルの自動更新。

アップグレードの影響。システムは、何か新しいことを求めてシスコに接続します。

ローカル CA バンドルには、いくつかのシスコのサービスにアクセスするための証明書が含まれています。システムは、毎日のシステム定義の時刻に、新しい CA 証明書についてシスコに自動的にクエリを実行するようになりました。以前は、CA 証明書を更新するにはソフトウェアをアップグレードする必要がありました。CLI を使用して、この機能を無効にすることができます。

新規/変更された CLI コマンド:configure cert-update auto-update configure cert-update run-now configure cert-update test show cert-update

バージョンの制限:この機能は、バージョン 7.0.5 以降、7.1.0.3 以降、および 7.2.4 以降に含まれています。それ以前の 7.0、7.1、または 7.2 リリースではサポートされません。サポート対象のバージョンからサポート対象外のバージョンにアップグレードすると、この機能は一時的に無効になり、システムはシスコへの接続を停止します。

参照:『Firepower Management Center Command Line Reference』および Cisco Secure Firewall Threat Defense コマンドリファレンス

表 13. バージョン 7.1.0 の FMC 機能