Firepower Threat Defense セットアップガイド Firepower Device Manager (FDM)版　Rev.1.0 シスコシステムズ合同会社 2019/09

はじめに 本ガイドは、Firepower Threat Defense (以下、FTD) の初期セットアップ方法を解説しております。 本ガイドは、FTDvをOn-boxツールであるFirepower Device Manager (FDM)を使って設定し、評価作業を開始で きることをゴールとしております。 内容に関する保証について 本ガイドは、2019年8月現在の情報に基づいており、FTD のソフトウェアは 6.4.0.xをベースとし、ハイパーバイ ザはVMware ESXi 6.0を利用しております。 本ガイドに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。 シスコは、本ガイドに関して、その正確性又は完全性について一切の責任を負わないこととします。 シスコは、本ガイドが十分な品質を有すること、特定の目的に対する適合性を有すること、又は第三者の知的 財産権、プライバシー権等その他の一切の権利に対する侵害がないことを、明示にも黙示にも表明又は保証し ません。

Firepower Device Manager (FDM)とは 容易なセットアップ、ポリシー管理、モニタリングを実現 主な利点 主な機能 Easy set up Role-based access control Control access and set policies High availability Automate configuration (API) NAT and routing Enhanced control Intrusion and malware protection Device monitoring VPN support

FDMサポートプラットフォーム Firepower 1010, 11x0, 21x0, ASA with Firepower Services, およびFTDv 物理アプライアンス New! Firepower 2100 (2110, 2120, 2130, 2140) New! Firepower 1120 / 1140 ASA 5555-X ASA 5545-X Firepower 1010 ASA 5525-X Virtual ASA 5516-X ASA 5508-X 仮想アプライアンス FTDv (NGFWv) Teleworker Branch Office Internet Edge Campus Data Center

当ガイドのシナリオ FTDvをインストールし、FTDvをRouted Firewallとして設定する。 FirewallとしてInterface PATを行い、内部のtest PCからインターネットへの 接続を可能にする。 Intrusion PolicyにてPOV (Proof of Value、事前検証) 向けに各種ルールを 検知できるようにする。 File PolicyにてMalwareをブロックする。 Access Control PolicyにてSecurity Intelligence (IP/URL Blacklist) を利用 する。また、URL Filterにてギャンブル、およびゲームに関するサイトへの アクセスをブロックする。

ネットワーク環境図 Internet MGMT NW 管理NW 顧客NW DNSサーバ NTPサーバ Proxyサーバ 設定済みの機器 DNSサーバ MGMT NW NTPサーバ Proxyサーバ 10.71.128.0/21 G0/0 outside .グローバルIP .132.202 FTDv Management PAT .132.186 ESX G0/1 inside .254 内部LAN 192.168.1.0/24 .100 test PC 管理NW 顧客NW

FTDのインストールと初期設定

STEP 1: OVFのデプロイ 以下のURLより、Firepower Threat Defense(以下、FTD)の .tarファイルを取得し、 7-Zipな どアーカイバで展開 https://software.cisco.com/download/home/286306503/type/286306337/release/6.4.0?catid=268438162 vSphere Client 6.0で .ovf を以下のようにデプロイ FTDv6.4の初期インストール時においてはManagement用とDiagnostic用に仮想NICを2つ持つため、管理 ネットワークに所属させる その他vSphere Client上での設定はデフォルトを使用し、デプロイが完了 (注)ソフトウェアバージョンはそのときに適切なものを選ぶこと

STEP 3-1: 初期設定 vSphere Client上で デプロイした FTD の VMコンソール を開き、 Login プロンプトが表示さ れたら以下のユーザーでログイン Username: admin Password: Admin123 ※ユーザー名の入力の前に、Passwordを最初に求められた場合、Enter を一度入力すると 以下のようにFirepower login : を表示される。username として admin と入力し、続けてPasswordを入力 ライセンス契約(EULA)を [SPASE] キーで最後まで表示させ EULA合意を求める以下の表示に対して、 “YES”を入力 Adminユーザの新規パスワードを設定

STEP 3-2: 初期設定 FTDの管理用IPアドレスを設定 IPv4アドレス、サブネット、デフォルトゲートウェイ、ホスト名、DNS FTDの監視用インターフェースの設定 FTDのローカル管理の有無、FWのモード選択(routed or transparent) yes Yesを選択することにより FDM利用が可能となる FMCとの同時利用はできない ため注意！

STEP 4: FTDの管理モードの設定 FTDの管理をFDMで行う show managersコマンドより、ローカルマネージメントになっていることを確認。 ローカルになっていない場合（FMC管理になっている場合）には以下のコマンドで設定。 　 > configure manager delete > configure manager local

言語はブラウザの言語設定に依存して日本語、または英語の表記となる STEP 5: FDMにアクセス 初期設定で入力したIPアドレスとadminパスワードを使い、FDMへブラウザでHTTPSアクセス し、ログインを実施。 言語はブラウザの言語設定に依存して日本語、または英語の表記となる ※前頁のコマンド入力後、ログイン可能となるまで数分かかる

STEP 6-1: FTDデバイス設定 FDMで初期ログインすると「デバイスの設定」ページが表示。「外部インターフェースアドレス」 まで下にスクロールする。

STEP 6-2: FTDデバイス設定 －外部インターフェース設定 - 外部インターフェース（GigabitEthernet 0/0)のアドレスおよびGatewayアドレスを入力 ゲートウェイアドレス マニュアル設定の場合は「手動入力」を選択 グローバルアドレス サブネットマスク

STEP 6-3: FTDデバイス設定 －DNS、ホスト名の設定 - 管理インターフェースにスクロールし、DNSサーバアドレス、およびホスト名を確認。CLIでの設 定内容が反映されているため、変更の必要があればここで変更。 「次へ」をクリック

STEP 6-3: FTDデバイス設定 －NTPの設定 - デフォルトでNTPサーバが複数セットされているが、変更したい場合には「ユーザ定義のNTPサーバ」を選択 「次へ」をクリック

STEP 6-3: FTDデバイス設定 －Smart Licenseの登録 - Smart Licenseの登録。今回はPoVを想定し、90 日間利用可能な評価ライセンスを選択 チェック 「終了」をクリック

FTDその他初期設定

STEP 1: 内部インターフェースの設定 次の作業内容が表示されるため、そのままインターフェイスの設定をクリック クリック

IF nameがデフォルトでG0/0:outside、G0/1:insideで設定される STEP 1-2: 内部インターフェースの設定 GigabitEthernet 0/1にポインターを移動させ、アクションに表示される編集ボタンをクリック クリック IF nameがデフォルトでG0/0:outside、G0/1:insideで設定される ※編集から変更可能

STEP 1-3: 内部インターフェースの設定 内部インターフェース(G0/1)にはデ フォルトで192.168.45.1/24が設定さ れている。IPアドレスの変更を実施。 加えて、DHCPサーバ機能が有効に なっているため、削除を選択。 任意のアドレスに変更 削除をクリック OKをクリック

STEP 2-1: ルーティング設定 前画面よりデバイス > ルーティングをクリック クリック クリック

STEP 2-2: ルーティング設定 「デバイスの設定」ウィザードでデフォルトゲートウェイを設定済のため、デフォルトルートの情 報が表示されている。正しいことを確認。 スタティックルートを追加する必要がある場合には＋ボタンよりルーティングを追加。 スタティック追加の場合はクリック ※ダイナミックルーティングを設定したい場合には「ルーティング」ではなく「詳細設定」よりスマートCLIを利用して設定する必要あり。

STEP 3-1: 「デバイスの設定」ウィザードで自動設定された内容の確認 セットアップウィザードを実行するとステートフルファイアウォールで動作するための最小限の 設定が自動でセットアップされるため、内容を確認。 オブジェクト > ネットワーク ネットワークオブジェクト名の 自動作成

STEP 3-2: 「デバイスの設定」ウィザードで自動設定された内容の確認 オブジェクト > セキュリティゾーン 外部/内部インターフェース名および各セキュリティゾーン名も自動で設定

STEP 3-3: 「デバイスの設定」ウィザードで自動設定された内容の確認 ポリシー > アクセス制御 inside_zoneからoutside_zoneへのすべてのトラフィックがTrust（Snortエンジン処理のスキップ）で設定される デフォルトアクションはBlockに設定 ※アクションから編集ボタンをクリックし、「図の表示」をスライドすると表示される

STEP 3-4: 「デバイスの設定」ウィザードで自動設定された内容の確認 ポリシー > NAT InsideすべてのアドレスからoutsideへのアクセスにおけるDynamic NAT(PAT)設定

STEP 4: 設定の適用 － Deploy デプロイをクリックして、設定内容をFTDに反映。

セキュリティポリシーの設定－１ 侵入ポリシー＆ファイルポリシー

RA VPNは評価版では利用できない。併せて利用したい場合には、Cisco営業担当者へ要相談。 STEP 1: ライセンスの有効化 評価版ライセンスでは、脅威、マルウェア、URLフィルタリング機能が利用可能。デフォルトで は基本（ベースライセンス）のみが有効化されており、各機能の有効化設定を行う。 デバイス > スマートライセンス 各有効化をクリック RA VPNは評価版では利用できない。併せて利用したい場合には、Cisco営業担当者へ要相談。

FDMにおける侵入ポリシー プリセットされたルール利用を前提としており、細かな変更が不可 Variable Set利用不可 各ベースポリシーでセットされたシグニチャアクションの事前変更不可（キーワード検索が利用できないた め、事前の細かなアクションのチューニングは取れない） カスタムシグニチャの作成不可 細かなチューニングを必要とする場合はFMC（Firepower Management Center）を利用すること ※ルール毎のアクションの変更は可能

STEP 2-1: 侵入ポリシーの設定 セキュリティポリシーにてNAT、アクセス制御を含むすべてのポリシーをまとめて設定 既存のアクセスポリシーを編集し、侵入ポリシーを追加する ポリシー > アクセス制御 > Inside_Outside_Rule の編集ボタンをクリック クリック

バランスの取れたセキュリティと接続性を選択 STEP 2-2: 侵入ポリシーの設定 侵入ポリシーの設定を実施 ①アクションを「信頼」→「許可」に変更。これにより許可されたパケットがSnortエンジンで処理され、L7FW/IPS/AMP等更なる詳細な検査が実施される ②侵入ポリシーをクリック ③ルール内での侵入ポリシーの有効化 ④ポリシーレベルで バランスの取れたセキュリティと接続性を選択 ポリシーレベルは ・接続性優先（緩め） ・バランス ・セキュリティ優先（厳しめ） ・最大検出（評価用途） の4つから選択可能。 OKをクリック

「バランス」では全体で9764のルールがあり、すべて有効化（何らかのアクションが設定）されている STEP 2-3: シグニチャルールの確認 ルールで侵入ポリシーを有効化すると、セキュリティポリシーに「侵入」が表示される。クリック するとシグニチャルールが確認できる ①クリック ②バランスのとれた・・・をクリック 「バランス」では全体で9764のルールがあり、すべて有効化（何らかのアクションが設定）されている

検索ではGID、SID、アクションでフィルタリング検索が可能 STEP 2-4: シグニチャルールの確認 検索ではGID、SID、アクションでフィルタリング検索が可能 アクションは ・警告（アラート） ・ドロップ ・無効化 の3つ。変更も可能 注意点： FDMでは各侵入ポリシーでセットされている Snortルールアクションの事前の細かなチューニング、およびカスタムルールの作成ができない。 そのような要件が求められる場合にはFMCの利用を検討。 GID: Generator ID SID: Snort ID

クリックすることで各シグニチャの詳細を確認可能 STEP 2-5: シグニチャルールの確認 クリックすることで各シグニチャの詳細を確認可能

FDMのAMP for Networkの動作について ファイルハッシュ値によるAMP Cloudへのマルウェアディスポジションの確認、およびMalware と判定された場合のブロック操作、およびクラウドリコールのみ利用可能 Threat GridによるDynamic Analysis（サンドボックス）の利用不可 Spero Analysis利用不可 Local Malware Analysis利用不可 ファイルの保存不可 File Trajectory（トラッキング）利用不可 AMP Cloud マルウェアディスポジション （Malware/Clean/Unknown/Unavailable） および脅威スコア SHA 256 ※クラウドリコールは可能 101010 100101 001001 トラフィックフロー トラフィックフロー FTD

STEP 3-1: ファイルポリシーの設定 既存のアクセスポリシーを編集し、ファイルポリシーを追加する ポリシー > アクセス制御 > Inside_Outside_Rule の編集ボタンをクリック クリック

STEP 3-2: ファイルポリシーの設定 ファイルポリシーの設定を実施 ①ファイルポリシーをクリック ファイルポリシーは ・マルウェアをすべてブロック ・ルックアップをすべてクラウドで行う（ログのみ） ・OfficeドキュメントとPDFのアップロードをブロックし、その他のマルウェアをブロックする ・Office文書のアップロードをブロックし、その他のマルウェアをブロックする の4つから選択可能。 ②マルウェアをすべてブロックを選択

STEP 4: ロギングの設定 ロギングの設定 ①ロギングをクリック ②ログアクションで接続の終了時をチェック ログは、コネクション開始時と終了時の両方の取得、または終了時のみで取得のいずれかが選択可能。 両方の取得はFTDデバイス内部のイベントのローテーションを早めるため、一般的には「終了時」のみを推奨。 ②ログアクションで接続の終了時をチェック OKをクリック後、デプロイボタンをクリック

セキュリティポリシーの設定－2 Security Intelligence & URLフィルタ

Security Intelligence 一般的に言うレピュテーションのこと (通信相手がマルウェアを配信したりする　悪意のあ るソースという「評判」がないかどうかを分析・評価した情報) Cisco Talos が随時、収集・分析したネットワークや URL のレピュテーションを　提供し、 ユーザは必要に応じて使用できる Security Intelligence を使用する場合、FTD による更新頻度はデフォルトで1 時間　＊変更 方法は後述のページを参照

STEP 1: Security Intelligenceの有効化 クリック

STEP 2-1: Security Intelligenceの設定 ①ネットワークを選択 ②ブラックリストの＋をクリック ③ネットワークフィードを選択 ④フィードされたすべてのカテゴリにチェックを入れてOKをクリック

STEP 2-2: Security Intelligenceの設定 ①URLを選択 ②ブラックリストの＋をクリック ③URLフィードを選択 ④フィードされたすべてのカテゴリにチェックを入れてOKをクリック

STEP 2-2: Security Intelligenceフィード更新設定 デバイス＞更新 > セキュリティインテリジェンスのフィード 設定をクリック 更新間隔は ・毎時（デフォルト） ・毎日 ・毎週 で設定可能

参考: フィード情報が表示されない場合 更新 > セキュリティインテリジェンスのフィード より「今すぐ更新」をクリック 更新 > セキュリティインテリジェンスのフィード　より「今すぐ更新」をクリック 更新に失敗する場合にはインターネットのリーチャビリティに問題がある可能性があるため、接続性を確認。

参考: HTTP Proxy設定について Proxy設定はFDMでは不可。CLIより設定実施。 FQDNは不可。IPのみ 注意： 現状Managementインターフェイスからの通信にはProxyが効かない。 詳細は以下を参照 https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb83383

URLフィルタについて アクセス制御ルールを使用して、HTTP または HTTPS 接続に使用される URL に基づいてト ラフィックをフィルタ処理（HTTPSは別途SSLポリシーの設定が必要） 以下の2つが利用可能 カテゴリおよびレピュテーション ベースの URL フィルタリング URL フィルタリング ライセンスにより、URL の一般的な分類（カテゴリ）とリスク レベル（レピュテーション）に基づいて、 Web サイトへのアクセスを制御 手動 URL フィルタリング 任意のライセンスで、個々の URL および URL のグループを手動で指定し、Web トラフィックのきめ細かいカスタム制 御を実現 ・レピュテーションは1(高リスク）－5（Well known）で設定可能（FMCと同様） ・Actionは許可、信頼、ブロックの3つのみ。モニター（ログだけ記録）はない

STEP 3-1: URLフィルタの設定 新規アクセスポリシーを作成し、URLフィルタでGame、Gambleのカテゴリをブロックする ポリシー > アクセス制御 > ＋のボタンをクリック クリック

STEP 3-2: URLフィルタの設定 新規アクセスルールの追加 ②ルール名入力 ①「1」を選択 ③アクション「ブロック」を選択 ④送信元または送信先を選択 ⑤送信元に「inside_zone」を指定 ⑥宛先に「outside_zone」を指定

STEP 3-3: URLフィルタの設定 URLカテゴリの設定 ①URLを選択 ②＋を選択 マニュアルでのURL登録はこちらをクリック ③GamblingとGamesをチェック ④OKをクリック

STEP 3-4: URLフィルタの設定 指定したカテゴリごとにレピュテーションレベルの設定が可能 今回は評価目的のため、すべてにチェック（必要に応じて変更） OKをクリック

STEP 4: ロギングの設定 ロギングの設定 ①ロギングをクリック ②ログアクションで接続の開始時と終了時をチェック アクションがブロックの場合には 接続の終了時は選べないため（ルールにマッチしたトラフィックを接続終了を待たずにFTDがドロップするため）、接続の開始時と終了時をチェック OKをクリック後、デプロイボタンをクリック

Webアプリケーションとして認識できるもののみ表示 URLカテゴリフィルタのテスト http://p-world.co.jpへのアクセス（Gambling） http://twitch.tv へのアクセス（Games） ページのカスタマイズは不可 監視＞ダッシュボード＞アクセスおよびSIルール＞URL_Categoly_Block Webアプリケーションとして認識できるもののみ表示

メンテナンス－１ 各種DBのアップデート

FDM シグネチャ/DB更新の概要 FDM は2つの方法によって、情報を更新可能 1.クラウド更新(ダイレクト) 利用条件：FTDが直接インターネットへ接続可能 2.ローカル更新 制限事項：Patch（システムのアップグレード）のみ利用可能 Snort VDB Cisco Security Intelligence Geo Patch URL Security Intelligence 1. ダイレクト Proxy 2. ローカル更新 FTD FMC

FDMにおける更新パッケージおよび内容一覧 ワンタイム 更新 定期 方法 Patch 新機能追加、既知Bug修正 (FMC/ FTD両方にパッチが存在) 可能 不可 ローカル Snort Rules Snort IPSルールアップデート クラウド GeoDB 地理情報と紐づくグローバルIPアップデート VDB OS/アプリケーションの脆弱性、検出、フィンガープリント情報 URL URLフィルタリングに用いるURL情報 Security Intelligence ブラックリストIP/URL/Domain情報

各種更新設定ページ デバイス＞更新 手動で更新する場合には「今すぐ更新」をクリック スケジューリングしたい場合には「設定」から設定可能 ・設定＞更新を自動的にデプロイします　にチェックを入れると設定されたスケジュールでの自動更新を実施 ・VDBはデプロイ時、Snortのプロセス再起動が発生するため注意

システムのアップグレード －手動のみ インストールするアップグレードファイルをアップロード アップグレードには ・ホットフィックス システムのアップグレード　－手動のみ インストールするアップグレードファイルをアップロード アップグレードには ・ホットフィックス ・マイナーアップグレード ・メジャーアップグレード が存在。 ホット フィックス アップグレードは再起動を必要としない場合があるが、マイナー バージョンおよびメジャー バージョンのアップグレードには再起動が必要。 ローカルPCからファイルをアップロード

内容を確認し、問題がなければ継続をクリック システムのアップグレード　－手動のみ アップロード後、インストールをクリック 内容を確認し、問題がなければ継続をクリック

URLフィルタカテゴリアップデート URLフィルタはスケジューリングおよび手動アップデート不可（自動のみ）

メンテナンス－２ バックアップ＆リストアその他

手動でのシステムファイルバックアップ デバイス＞バックアップと復元＞手動バックアップ 今すぐバックアップ をクリック ファイル名

スケジューリングによるシステムファイルバックアップ デバイス＞バックアップと復元＞定期バックアップ or スケジュールバックアップ 特定の日付を指定したい場合 定期的にバックアップファイルを取得したい場合

バックアップしたいファイルをアップロードすることも可能 バックアップの復元 対象のファイルのアクション（グリーンアイコン）をクリック バックアップしたいファイルをアップロードすることも可能 クリック

復元に関する注意点 バックアップファイルはコンフィグだけではなくソフトウェアも含まれる。 デバイスでバックアップを取得したときに実行されていたものと同じソフトウェア バージョン（ビ ルド番号を含む）が実行されている限り、バックアップを復元可能。代替のデバイスにバックアッ プを復元できるのは、どちらのデバイスも同じモデルで、同じバージョンのソフトウェア（ビルド番 号を含む）を実行している場合のみ。 HAを構成している場合には、一度HAのbreakが必要。復元するファイルにHAの設定が含まれ ていれば、復元後に自動的にHAグループにrejoinする。 バックアップには管理 IP アドレスの設定は含まれない。したがって、バックアップ ファイルを復 元しても、管理アドレスがバックアップ コピーにより置き換えられることはない。これにより、アド レスに対する変更はすべて保持され、また異なるネットワーク セグメント上の別のデバイスに 設定を復元することも可能。 システムが再起動後、脆弱性データベース（VDB）、地理位置情報、およびルール データベー スの更新が自動的にチェックされ、必要に応じてダウンロードされる。またポリシーも再展開さ れる。

Configファイルのエクスポート アーカイブや変更記録保存目的であり、バックアップファイルとしてデバイスへのインポートは 不可 デバイス＞デバイス管理＞設定のダウンロード デバイス構成の取得をクリック クリックするとダウンロード開始 （ファイルはJSON形式）

※要Administrator Privilege システムの再起動 CLIから実施 > reboot FDMのCLIコンソールの利用も可能 ※要Administrator Privilege

許可するネットワークオブジェクトを選択。ない場合には新規作成 管理インターフェイスへのアクセス制御 HTTPS,SSHともにデフォルトではすべてのipv4,ipv6からのアクセスが許可されている デバイス>システム設定>管理アクセス>管理インターフェイス クリック プロトコルの選択 許可するネットワークオブジェクトを選択。ない場合には新規作成 OKをクリック

ダッシュボード

システムリソース リンクアップ・平均スループット・イベント・CPU/メモリ/ディスク使用率 監視＞ダッシュボード＞システム 期間は ・過去30分 ・過去1時間 ・過去24時間 ・過去7日 ・過去30日 ・カスタム指定 を利用可

ネットワーク概要 アクセス、URL、アプリケーション、脅威情報など各種サマリを表示 監視＞ダッシュボード＞ネットワーク概要 許可・拒否での フィルタが可能 トランザクション数 もしくはデータ量の 選択が可能

ユーザ ユーザ毎のトランザクション・トラフィック情報の表示 AD連携、ISE連携していればユーザ名が表示 監視＞ダッシュボード＞ユーザ クリック ユーザーの詳細なアクセス情報の表示

Webアプリケーション ネットワークで使用されている Webアプリケーションを表示 監視＞ダッシュボード＞Webアプリケーション パーセンテージでの表示も可能

URLカテゴリ アクセスした Web サイトの分類に基づいて、ネットワークで使用されている Web サイトの上位 カテゴリ（ギャンブル、教育機関など）が表示 監視＞ダッシュボード＞URLカテゴリ 表示条件としてアクセスルールで最低1つのURLカテゴリ設定を含んだルールが必要。

アクセスおよびSIルール ネットワーク トラフィックで一致した上位アクセス ルールおよびセキュリティ インテリジェンス ルールにヒットしたものを表示 監視＞ダッシュボード＞アクセスおよびSIルール

脅威 トリガーされた上位の侵入ルールが表示 監視＞ダッシュボード＞脅威 表示条件としてアクセス ルールに侵入ポリシーを設定する必要あり

マルウェア 上位マルウェアのアクションとディスポジションの組み合わせを表示 監視＞ダッシュボード＞マルウェア 表示条件としてアクセス ルールにファイルポリシーを設定する必要あり

侵入イベント－１ ロギングを有効にしたセキュリティ ポリシーによって生成される侵入イベントを表示 監視＞ダッシュボード＞イベント＞Intrusion 詳細を表示をクリック

侵入イベント－2 侵入イベントの詳細情報

マルウェアイベント－１ ロギングを有効にしたセキュリティ ポリシーによって生成されるマルウェアイベントを表示 監視＞ダッシュボード＞イベント＞Malware File ファイルの判定結果は、正常からマルウェア、マルウェアから正常などに変更可能。AMP for Network が AMP クラウドにファイルについて照会し、クエリから 1 週間以内に判定結果が変更されたことがクラウドに特定されると、システムはレトロスペクティブ マルウェア イベントを生成。

マルウェアイベント－2 マルウェアイベントの詳細情報