Firepower Management Center バージョン 6.4 コンフィギュレーションガイド

システムの設定について

システム設定の設定値は、Firepower Management Center またはクラシック管理対象デバイス（7000 および 8000 シリーズ、ASA FirePOWER、NGIPSv）のいずれかに適用されます。

Firepower Management Center では、これらの構成設定は「ローカル」のシステム設定の一部です。Firepower Management Center 上のシステム設定は単一システムに固有のものであり、FMC のシステム設定への変更はそのシステムのみに影響する点に注意してください。

クラシック管理対象デバイスでは、プラットフォーム設定ポリシーの一部として Firepower Management Center から設定を適用します。共有ポリシーを作成して、展開全体で同様の設定になっている可能性の高い、管理対象デバイスに最適なシステム設定の設定値のサブセットを設定します。

ヒント

7000 および 8000 シリーズデバイスでは、ローカル Web インターフェイスからコンソール設定やリモート管理などのシステム設定の制限付きタスクを実行できます。これらは、プラットフォーム設定ポリシーを使用して 7000 または 8000 シリーズデバイスに適用される設定とは異なります。

Firepower Management Center システム設定のナビゲーション


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

システム設定により、Firepower Management Center の基本設定を特定します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	ナビゲーションウィンドウを使用して、変更する設定を選択します。詳細については、表 1を参照してください。

システム設定

管理対象デバイスの場合、これらの設定の多くは、FMC から適用されるプラットフォーム設定ポリシーによって処理されることに注意してください。プラットフォーム設定ポリシーを参照してください。7000/8000 シリーズデバイスの場合は、ローカル Web インターフェイスにログインして、非ポリシーベースのシステム設定を行うこともできます。7000/8000 シリーズデバイスのローカルシステム設定を参照してください。

表 1. システム設定
設定	説明
アクセスコントロールの設定	ユーザがアクセスコントロールポリシーを追加または変更する際にユーザにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。
アクセスリスト	どのコンピュータが特定のポートでシステムにアクセスできるかを制御します。アクセスリストを参照してください。
監査ログ	外部ホストに監査ログを送信するようにシステムを設定します。監査ログを参照してください。
監査ログ証明書	監査ログを外部ホストにストリーミングする際にチャネルを保護するようにシステムを設定します。監査ログ証明書を参照してください。
リコンサイルの変更	過去 24 時間にわたるシステムへの変更の詳細なレポートを送信するようにシステムを設定します。変更調整を参照してください。
コンソール設定	VGA またはシリアルポート経由、または Lights-Out Management（LOM）経由のコンソールアクセスを設定します。リモートコンソールのアクセス管理を参照してください。 FMC CLI を有効または無効にします。Firepower Management Center のコマンドラインリファレンスを参照してください。
ダッシュボード	ダッシュボードのカスタム分析ウィジェットを有効にします。ダッシュボード設定を参照してください。
データベース	Firepower Management Center が保存できる各イベントのタイプの最大数を指定します。データベースイベント数の制限を参照してください。
DNS キャッシュ	イベント表示ページで IP アドレスを自動的に解決するようにシステムを設定します。DNS キャッシュを参照してください。
電子メール通知	メールホストを設定し、暗号化方式を選択して、電子メールベースの通知とレポートに認証クレデンシャルを提供します。電子メールの通知を参照してください。
外部データベースアクセス	データベースへの外部読み取り専用アクセスを有効にし、ダウンロードするクライアントドライバを提供します。外部データベースアクセスの設定を参照してください。
HTTPS Certificate	必要に応じて、信頼できる認証局の HTTPS サーバ証明書を要求し、システムに証明書をアップロードします。HTTPS 証明書を参照してください。
情報	アプライアンスに関する最新情報を表示し、表示名を編集します。アプライアンス情報（Appliance Information）を参照してください。
侵入ポリシーの設定	ユーザが侵入ポリシーを変更する際にユーザにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。
[言語（Language）]	Web インターフェイスに異なる言語を指定します。言語の選択を参照してください。
ログインバナー	ユーザがログインすると表示されるカスタムログインバナーを作成します。ログインバナーを参照してください。
管理インターフェイス	アプライアンスの IP アドレス、ホスト名、プロキシ設定などのオプションを変更します。管理インターフェイスを参照してください。
ネットワーク分析ポリシーの設定	ユーザがネットワーク分析ポリシーを変更する際にユーザにコメントを要求するようにシステムを設定します。ポリシー変更のコメントを参照してください。
プロセス	Firepower のプロセスをシャットダウン、リブート、または再起動します。シャットダウンまたは再起動を参照してください。
リモートストレージデバイス	バックアップとレポート用のリモートストレージデバイスを設定します。リモートストレージ管理を参照してください。
REST API 設定	Firepower REST API 経由の Firepower Management Center へのアクセスを有効または無効にします。REST API 設定を参照してください。
シェルタイムアウト	ユーザのログインセッションが非アクティブによりタイムアウトするまでのアイドル時間の長さを分単位で設定します。セッションタイムアウトを参照してください。
SNMP	Simple Network Management Protocol （SNMP）のポーリングを有効にします。SNMP ポーリングを参照してください。
時刻（Time）	現在の時刻設定を表示および変更します。時刻および時刻同期を参照してください。
時刻の同期	システムの時刻の同期を管理します。時刻および時刻同期を参照してください。
UCAPL/CC コンプライアンス	米国国防総省によって設定される特定の要件の順守を有効にします。セキュリティ認定コンプライアンスの有効化を参照してください。
ユーザの設定	Firepower Management Center を設定し、すべてのユーザの正常なログインの履歴とパスワードの履歴を追跡するか、無効なログインクレデンシャルを入力したユーザに一時的なロックアウトを適用します。グローバルユーザ構成時の設定を参照してください。
VMware ツール	VMware ツールを有効にして Firepower Management Center Virtual で使用します。VMware Tools と仮想システムを参照してください。
脆弱性マッピング	ホスト IP アドレスから送受信されるアプリケーションプロトコルトラフィックの脆弱性をそのホスト IP アドレスにマップします。脆弱性マッピングを参照してください。
Web 分析	システムからの個人を特定できない情報の収集を有効または無効にします。（オプション）Web 分析トラッキングのオプトアウトを参照してください。

アプライアンス情報（Appliance Information）

[システム（System）] > [設定（Configuration）] ページには、次の表に示す情報が含まれています。別途記載のない限り、フィールドはすべて読み取り専用です。

（注）

同様の情報が含まれている [ヘルプ（Help）] >[概要（About）] ページも参照してください。


フィールド	説明
Name	アプライアンスに割り当てられた名前。この名前は Firepower システムのコンテキスト内でのみ使用されることに注意してください。ホスト名をアプライアンスの名前として使用できますが、このフィールドに別の名前を入力しても、ホスト名が変更されることはありません。
製品モデル（Product Model）	アプライアンスのモデル名。
シリアル番号（Serial Number）	アプライアンスのシリアル番号。
ソフトウェアバージョン（Software Version）	アプライアンスに現在インストールされているソフトウェアのバージョン。
Firepower Management Center へのパケット転送を禁止(Prohibit Packet Transfer to the Defense Center)	管理対象デバイスがイベントに合わせてパケットデータを送信し、Firepower Management Center 上にデータを保存するかを指定します。この設定は、7000 および 8000 シリーズデバイスのローカル Web インターフェイスで使用できます。
Operating System	アプライアンス上で現在実行されているオペレーティングシステム。
Operating System Version	アプライアンス上で現在実行されているオペレーティングシステムのバージョン。
IPv4 Address	デフォルト管理インターフェイス（`eth0`）の IPv4 アドレス。IPv4 の管理が無効になっている場合は、このフィールドにそのことが示されます。
IPv6 アドレス（IPv6 Address）	デフォルト管理インターフェイス（`eth0`）の IPv6 アドレス。IPv6 の管理が無効になっている場合は、このフィールドに表示されます。
現在のポリシー（Current Policies）	現在展開されているシステムレベルのポリシー。ポリシーが最後に適用された後で更新されていると、ポリシー名がイタリック体で表示されます。
モデル番号（Model Number）	内部フラッシュドライブに保存されているアプライアンス固有のモデル番号。この番号は、トラブルシューティングで重要になる場合があります。

HTTPS 証明書

Firepower Management Center および 7000 および 8000 シリーズデバイスは、セキュアソケットレイヤ（SSL）/TLS 証明書によりシステムと Web ブラウザ間に暗号化チャネルを確立することができます。すべての Firepower デバイスにデフォルト証明書が含まれていますが、これはグローバルレベルで既知の CA から信頼された認証局（CA）によって生成された証明書ではありません。したがって、デフォルト証明書ではなく、グローバルレベルで既知の CA または内部で信頼された CA 署名付きのカスタム証明書の使用を検討してください。

注意	FMC は 4096 ビット HTTPS 証明書をサポートしています。FMC で使用する証明書が 4096 ビットを超える公開サーバキーを使用して生成されている場合、FMC Web インターフェイスにログインできません。この問題が発生した場合は、Cisco TACにお問い合わせください。

デフォルト HTTPS サーバ証明書

アプライアンスに提供されるデフォルトサーバ証明書を使用する場合、Web インターフェイスのアクセスに有効な HTTPS クライアント証明書が必要になるようにシステムを設定しないでください。これは、デフォルトサーバ証明書が、クライアント証明書に署名する CA によって署名されないためです。

アプライアンスに提供されるデフォルトサーバ証明書は、3 年後に自動的に期限切れとなります。バージョン 6.3 にアップグレードされる前に生成されたデフォルト証明書をアプライアンスが使用している場合、証明書は最初に生成されたときから 20 年後に期限切れとなります。

Firepower Management Center デバイスと 7000 および 8000 シリーズデバイスで、[System] > [Configuration] > [HTTPS証明書（HTTPS Certificate）] ページでデフォルトの証明書を更新します。7000 および 8000 シリーズデバイスで、CLI コマンド system renew-http-cert を使用してデフォルトの証明書も更新できます。

カスタム HTTPS サーバ証明書

Firepower Management Center Web インターフェイスを使用して、システム情報と指定した ID 情報に基づいて、サーバ証明書要求を生成できます。ブラウザによって信頼されている内部認証局（CA）がインストールされている場合は、この要求を使用して証明書に署名することができます。生成された要求を認証局に送信して、サーバ証明書を要求することもできます。認証局（CA）から署名付き証明書を取得すると、その証明書をインポートできます。

HTTPS サーバ証明書の要件

HTTPS 証明書を使用して web ブラウザと Firepower アプライアンスの web インターフェイス間の接続を保護する場合は、インターネット X.509 公開キーインフラストラクチャ証明書および証明書失効リスト（CRL）プロファイル（RFC 3280）に準拠する証明書を使用する必要があります。サーバ証明書をアプライアンスにインポートする場合、証明書がその標準のバージョン 3（x.509 v3）に準拠していないと、システムによって証明書は拒否されます。

HTTPS サーバ証明書をインポートする前に、次のフィールドが含まれていることを確認してください。


証明書フィールド	説明
バージョン	エンコードされた証明書のバージョン。バージョン `3` を使用します。RFC 3280 の 4.1.2.1 の項を参照してください。
Serial number	発行元 CA によって証明書に割り当てられた正の整数。発行者とシリアル番号を組み合わせて、証明書を一意に識別します。RFC 3280 の 4.1.2.2 の項を参照してください。
シグネチャ	証明書の署名用に CA で使用されるアルゴリズムの識別子。signatureAlgorithm フィールドと一致している必要があります。RFC 3280 の 4.1.2.3 の項を参照してください。
発行元（Issuer）	証明書を署名および発行したエンティティを識別します。RFC 3280 の 4.1.2.4 の項を参照してください。
Validity	CA が証明書のステータスに関する情報を維持することを保証する期間。RFC 3280 の 4.1.2.5 の項を参照してください。
Subject	サブジェクトの公開キーフィールドに保存された公開キーに関連付けられているエンティティを識別します。X.500 識別名（DN）を指定する必要があります。RFC 3280 の 4.1.2.6 の項を参照してください。
Subject Public Key Info	公開キーとそのアルゴリズムの識別子。RFC 3280 の 4.1.2.7 の項を参照してください。
認証局キー識別子の拡張	証明書の署名に使用される秘密キーに対応する公開キーを識別する手段を提供します。RFC 3280 の 4.2.1.1 の項を参照してください。
サブジェクトキー識別子の拡張	特定の公開キーが含まれる証明書を識別する手段を提供します。RFC 3280 の 4.2.1.2 の項を参照してください。
キーの用途拡張	証明書に含まれるキーの目的を定義します。RFC 3280 の 4.2.1.3 の項を参照してください。
基本制約拡張	証明書のサブジェクトが CA で、この証明書を含む検証認証パスの最大深さかどうかを識別します。RFC 3280 の 4.2.1.10 の項を参照してください。Firepower アプライアンスで使用されるサーバ証明書の場合は、`critical CA:FALSE` を使用します。
拡張キーの用途拡張	キーの用途拡張で示されている基本的な目的に加えて、認定公開キーを使用する目的を 1 つ以上示します。RFC 3280 の 4.2.1.13 の項を参照してください。サーバ証明書として使用できる証明書をインポートしてください。
signatureAlgorithm	証明書の署名用に CA で使用されるアルゴリズムの識別子。[署名（Signature）] フィールドと一致する必要があります。RFC 3280 の 4.1.1.2 の項を参照してください。
signatureValue	デジタル署名。RFC 3280 の 4.1.1.3 の項を参照してください。

HTTP クライアント証明書

クライアントブラウザの証明書チェック機能を使用して、Firepower システムの Web サーバへのアクセスを制限できます。ユーザ証明書を有効にすると、Web サーバはユーザのブラウザクライアントで有効なユーザ証明書が選択されていることを確認します。そのユーザ証明書は、サーバ証明書で使用されているのと同じ信頼できる認証局によって生成されている必要があります。以下の状況ではいずれの場合もブラウザは Web インターフェイスをロードできません。

ユーザがブラウザに無効な証明書を選択する。
ユーザがブラウザにサーバ証明書に署名した認証局が生成していない証明書を選択する。
ユーザがブラウザにデバイスの証明書チェーンの認証局が生成していない証明書を選択する。

クライアントブラウザ証明書を確認するには、システムを設定してオンライン証明書ステータスプロトコル（OCSP）を使用するか、1 つ以上の証明書失効リスト（CRL）ファイルをロードします。OCSP を使用する場合、Web サーバは接続要求を受信すると、接続を確立する前に認証局と通信して、クライアント証明書の有効性を確認します。サーバに 1 つ以上の CRL をロードするよう設定する場合、Web サーバはクライアント証明書を CRL の一覧に照らして比較します。ユーザが CRL にある失効した証明書の一覧に含まれる証明書を選択した場合、ブラウザは Web インターフェイスをロードできません。

（注）

CRL を使用した証明書の確認を選択すると、システムはクライアントブラウザ証明書、監査ログサーバ証明書の両方の検証に同じ CRL を使用します。

現在の HTTPS サーバ証明書の表示


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

ログインしているアプライアンスのサーバ証明書のみを表示できます。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[HTTPS Certificate] をクリックします。

HTTPS サーバの証明書署名要求の作成


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
該当なし	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

広く知られている CA または内部的に信頼できる CA によって署名されていない証明書をインストールすると、Web インターフェイスに接続しようとするとブラウザにセキュリティ警告が表示されます。

証明書署名要求（CSR）は生成元のアプライアンスまたはデバイスに対して一意です。1 つのアプライアンスの複数のデバイスに対して CSR を生成することはできません。

証明書要求用に生成されるキーは、ベース 64 エンコードの PEM 形式です。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[HTTPS Certificate] をクリックします。

ステップ 3

[新規 CSR の生成（Generate New CSR）] をクリックします。

ステップ 4

[国名（2 文字のコード）（Country Name (two-letter code)）] フィールドに国番号を入力します。

ステップ 5

[都道府県（State or Province）] フィールドに、都道府県名を入力します。

ステップ 6

[市区町村（Locality or City）] を入力します。

ステップ 7

[組織（Organization）] の名前を入力します。

ステップ 8

[組織単位（部署名）（Organizational Unit (Department)）] の名前を入力します。

ステップ 9

[共通名（Common Name）] フィールドに、証明書を要求するサーバの完全修飾ドメイン名を入力します。

（注）

[共通名（Common Name）] フィールドには、証明書に表示されるとおりに、サーバの完全修飾ドメイン名を正確に入力する必要があります。共通名と DNS ホスト名が一致していないと、アプライアンスへの接続時に警告が表示されます。

ステップ 10

[生成（Generate）] をクリックします。

ステップ 11

テキストエディタを開きます。

ステップ 12

証明書要求のテキストブロック全体（BEGIN CERTIFICATE REQUEST 行と END CERTIFICATE REQUEST 行を含む）をコピーして、空のテキストファイルに貼り付けます。

ステップ 13

このファイルを servername.csr として保存します。servername は証明書を使用するサーバの名前です。

ステップ 14

[閉じる（Close）] をクリックします。

次のタスク

証明機関に証明書要求を送信します。
署名された証明書を受け取ったら、Firepower Management Center にインポートします。HTTPS サーバ証明書のインポートを参照してください。

HTTPS サーバ証明書のインポート


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、証明書チェーン（証明書パス）も提供する必要があります。

クライアント証明書が必要な場合、サーバ証明書が次に示すいずれかの条件を満たしていないときに、Web インターフェイス経由でのアプライアンスへのアクセスに失敗します。

証明書が、クライアント証明書に署名したものと同じ CA によって署名されている。
証明書が、証明書チェーンの中間証明書に署名したものと同じ CA によって署名されている。

注意

Firepower Management Center は 4096 ビット HTTPS 証明書をサポートしています。Firepower Management Center で使用する証明書が 4096 ビットを超える公開サーバキーを使用して生成されている場合、FMC Web インターフェイスにログインできません。HTTPS 証明書のバージョン 6.0.0 への更新に関する詳細は、FirePOWER システムリリースノート、バージョン 6.0 の「Update Management Center HTTPS Certificates to Version 6.0」を参照してください。HTTPS 証明書を生成またはインポートしていて、FMC の Web インターフェイスにログインできない場合は、サポートまでお問い合わせください。

始める前に

証明書署名要求を生成します。HTTPS サーバの証明書署名要求の作成を参照してください。
この CSR ファイルを証明書の要求先となる認証局にアップロードするか、この CSR を使用して自己署名証明書を作成します。
証明書がHTTPS サーバ証明書の要件で説明されている要件を満たしていることを確認します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[HTTPS Certificate] をクリックします。
ステップ 3	[HTTPSサーバ証明書のインポート（Import HTTPS Server Certificate）] をクリックします。
ステップ 4	テキストエディタでサーバ証明書を開いて、`BEGIN CERTIFICATE` の行と `END CERTIFICATE` の行を含むテキストのブロック全体をコピーします。このテキストを [サーバ証明書（Server Certificate）] フィールドに貼り付けます。
ステップ 5	秘密キーを指定する必要があるかどうかは、証明書署名要求の生成方法によって異なります。 Firepower Management Center Web インターフェイスを使用して証明書署名要求を生成した場合（HTTPS サーバの証明書署名要求の作成に記載）、システムにはすでに秘密キーがあるため、ここで入力する必要はありません。他の方法を使用して証明書署名要求を生成した場合、ここで秘密キーを指定する必要があります。秘密キーファイルを開いて、`BEGIN RSA PRIVATE KEY` の行と `END RSA PRIVATE KEY` の行を含むテキストのブロック全体をコピーします。このテキストを [秘密キー（Private Key）] フィールドに貼り付けます。
ステップ 6	必要な中間証明書をすべて開いて、それぞれのテキストのブロック全体をコピーして、[証明書チェーン（Certificate Chain）] フィールドに貼り付けます。
ステップ 7	[保存（Save）] をクリックします。

有効な HTTPS クライアント証明書の強制


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

システムは、OCSP または PEM（Privacy-enhanced Electronic Mail）形式でインポートされた CRL を使用した HTTPS クライアント証明書の検証をサポートしています。

CRL を使用する場合は、失効した証明書のリストを最新の状態に保つために、CRL を更新するスケジュールタスクを作成してください。システムは、最後に更新した CRL を表示します。

（注）

クライアント認証を有効にした後で Web インターフェイスにアクセスするには、ブラウザに有効なクライアント証明書が存在している（またはリーダーに CAC が挿入されている）必要があります。

始める前に

接続に使用するクライアント証明書に署名したものと同じ認証局で署名されたサーバ証明書をインポートします。HTTPS サーバ証明書のインポートを参照してください。
サーバ証明書チェーンをインポートします（必要な場合）。HTTPS サーバ証明書のインポートを参照してください。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[HTTPS Certificate] をクリックします。

ステップ 3

[クライアント証明書の有効化（Enable Client Certificates）] を選択します。プロンプトが表示されたら、ドロップダウンリストから該当する証明書を選択します。

ステップ 4

次の 3 つのオプションがあります。

1 つ以上の CRL を使用してクライアント証明書を検証する場合は、[CRL のフェッチの有効化（Enable Fetching of CRL）] を選択して、手順 5 に進みます。
OCSP を使用してクライアント証明書を検証する場合は、[OCSPの有効化（Enable OCSP）] を選択して、手順 7 に進みます。

失効の確認なしでクライアント証明書を承認する場合は、手順 8 に進みます。

ステップ 5

既存の CRL ファイルへの有効な URL を入力して、[CRL の追加（Add CRL）] をクリックします。最大 25 個まで CRL の追加を繰り返します。

ステップ 6

[CRL の更新（Refresh CRL）] をクリックして現在の CRL をロードするか、指定した URL から CRL をロードします。

（注）

CRL のフェッチを有効にすると、定期的に CRL を更新するスケジュールタスクが作成されます。このタスクを編集して、更新の頻度を設定します。

ステップ 7

クライアント証明書がアプライアンスにロードされた認証局によって署名されていることと、サーバ証明書がブラウザの証明書ストアにロードされている認証局によって署名されていることを確認します。（これらは同じ認証局であることが必要です）。

注意	有効化したクライアント証明書で設定を保存している場合、ブラウザの証明書ストアに有効なクライアント証明書がないと、アプライアンスへの Web サーバアクセスがすべて無効になります。設定を保存する前に、有効なクライアント証明書がインストールされていることを確認してください。

ステップ 8

[保存（Save）] をクリックします。

デフォルトの HTTPS サービス証明書の更新


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

ログインしているアプライアンスのサーバ証明書のみを表示できます。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[HTTPS Certificate] をクリックします。システムがデフォルトの HTTPS サーバ証明書を使用するように設定されている場合にのみ、ボタンが表示されます。
ステップ 3	[HTTPS 証明書の更新（Renew HTTPS Certificate）] ボタンをクリックします。（このボタンは、デフォルトの HTTPS サーバ証明書を使用するようにシステムが設定されている場合にのみ、証明書情報の下のディスプレイに表示されます。）
ステップ 4	（オプション）[HTTPS 証明書の更新（Renew HTTPS Certificate）] ダイアログボックスで、[新しいキーの生成（Generate New Key）] を選択して証明書の新しいキーを生成します。
ステップ 5	[HTTPS 証明書の更新（Renew HTTPS Certificate）] ダイアログボックスで [保存（Save）] をクリックします。

次のタスク

[HTTPS 証明書（HTTPS Certificate）] ページに表示されている証明書の有効日が更新されていることを確認することによって証明書が更新されていることを確認できます。

外部データベースアクセスの設定

サードパーティ製クライアントによるデータベースへの読み取り専用アクセスを許可するように、Firepower Management Center を設定できます。これによって、次のいずれかを使用して SQL でデータベースを照会できるようになります。

業界標準のレポート作成ツール（Actuate BIRT、JasperSoft iReport、Crystal Reports など）
JDBC SSL 接続をサポートするその他のレポート作成アプリケーション（カスタムアプリケーションを含む）
シスコが提供する RunQuery と呼ばれるコマンドライン型 Java アプリケーション（インタラクティブに実行することも、1 つのクエリの結果をカンマ区切り形式で取得することもできる）

Firepower Management Center のシステム設定を使用して、データベースアクセスを有効にして、選択したホストにデータベースの照会を許可するアクセスリストを作成します。このアクセスリストは、アプライアンスのアクセスは制御しません。

次のツールを含むパッケージをダウンロードすることもできます。

RunQuery（シスコが提供するデータベースクエリツール）
InstallCert（アクセスしたい Firepower Management Center から SSL 証明書を取得して受け入れるために使用できるツール）
データベースへの接続時に使用する必要がある JDBC ドライバ

データベースアクセスを構成するためにダウンロードしたパッケージ内のツールの使用方法については、『Firepower System Database Access Guide』を参照してください。

データベースへの外部アクセスの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[外部データベースアクセス（External Database Access）] をクリックします。

ステップ 3

[外部データベースアクセスの許可（Allow External Database Access）] チェックボックスをオンにします。

ステップ 4

[サーバホスト名（Server Hostname）] フィールドに、適切な値を入力します。サードパーティアプリケーションの要件に応じて、この値は、Firepower Management Center の完全修飾ドメイン名（FQDN）、IPv4 アドレス、または IPv6 アドレスにできます。

ステップ 5

[クライアント JDBC ドライバ（Client JDBC Driver）] の横にある [ダウンロード（Download）] をクリックし、ブラウザのプロンプトに従って client.zip パッケージをダウンロードします。

ステップ 6

1 つ以上の IP アドレスからのデータベースアクセスを追加するには、[ホストの追加（Add Hosts）] をクリックします。[アクセスリスト（Access List）] フィールドに [IP アドレス（IP Address）] フィールドが表示されます。

ステップ 7

[IP アドレス（IP Address）] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、any を入力します。

ステップ 8

[Add] をクリックします。

ステップ 9

[保存（Save）] をクリックします。

ヒント

最後に保存されたデータベース設定に戻すには、[更新（Refresh）] をクリックします。

データベースイベント数の制限

Firepower Management Center が保存できる各イベントタイプの最大数を指定できます。パフォーマンスを向上させるには、定期的に処理するイベント数に合わせてイベント数の制限を調整する必要があります。一部のイベントタイプでは、ストレージを無効にすることができます。

システムは侵入イベント、ディスカバリイベント、監査レコード、セキュリティインテリジェンスデータ、URL フィルタリングデータをアプライアンスのデータベースから自動的にプルーニングします。イベントが自動的にプルーニングされると自動で電子メール通知を生成するようにシステムを設定できます。また、手動でディスカバリデータベースやユーザデータベースをプルーニングし、Firepower Management Center データベースからディスカバリデータや接続データを消去することもできます。

データベースイベント数の制限の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

始める前に

Firepower Management Center のデータベースからイベントがプルーニングされた場合に電子メール通知を受信するには、電子メールサーバを設定する必要があります。メールリレーホストおよび通知アドレスの設定を参照してください。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[データベース（Database）] を選択します。
ステップ 3	各データベースについて、保存するレコードの数を入力します。各データベースが保持できるレコード数の詳細については、データベースイベント数の制限を参照してください。
ステップ 4	必要に応じて、[データプルーニング通知のアドレス（Data Pruning Notification Address）] フィールドに、プルーニング通知を受信する電子メールアドレスを入力します。
ステップ 5	[保存（Save）] をクリックします。

データベースイベント数の制限

次の表に、Firepower Management Center に保存可能な各イベントタイプのレコードの最小数と最大数を示します。

表 2. データベースイベント数の制限
イベントタイプ	上限	下限
侵入イベント	1,000 万（FMC Virtual）  2,000 万（MC750）  3,000 万（MC1000、MC1500、MC1600） 6,000 万（MC2000、MC2500、MC2600） 1 億 5,000 万（MC3500）  3 億（MC4000、MC4500、MC4600）	10,000
検出イベント	1,000 万   2000 万（MC2000、MC2500、MC2600、MC4000、MC4500、MC4600）	0（ストレージを無効化）
接続イベントセキュリティインテリジェンスイベント	5,000 万（FMC 仮想）  5,000 万（MC750）  1 億（MC1000、MC1500、MC1600）  3 億（MC2000、MC2500、MC2600） 5 億（MC3500） 10 億（MC4000、MC4500、MC4600）制限は接続イベントとセキュリティインテリジェンスイベントの間で共有されます。設定済みの最大数の合計がこの制限を超えることはできません。	0（ストレージを無効化）
接続の要約（集約された接続イベント）	5,000 万（FMC 仮想） 5,000 万（MC750）  1 億（MC1000、MC1500、MC1600）  3 億（MC2000、MC2500、MC2600） 5 億（MC3500）  10 億（MC4000、MC4500、MC4600）	0（ストレージを無効化）
相関イベントおよびコンプライアンスのホワイトリストイベント	100 万   200 万（MC2000、MC2500、MC2600、MC4000、MC4500、MC4600）	1 つ
マルウェアイベント	1,000 万   2000 万（MC2000、MC2500、MC2600、MC4000、MC4500、MC4600）	10,000
ファイルイベント	1,000 万  2000 万（MC2000、MC2500、MC2600、MC4000、MC4500、MC4600）	0（ストレージを無効化）
ヘルスイベント	100 万	0（ストレージを無効化）
監査レコード	100,000	1 つ
修復ステータスイベント	1,000 万	1 つ
ホワイトリスト違反履歴	30 日間の違反履歴	1 日の履歴
ユーザアクティビティ（ユーザイベント）	1,000 万	1 つ
ユーザログイン（ユーザ履歴）	1,000 万	1 つ
侵入ルール更新のインポートログレコード	100 万	1 つ
VPN トラブルシューティングデータベース	1,000 万	0（ストレージを無効化）

管理インターフェイス

セットアップの完了後、管理ネットワーク設定を変更することができます。これには、FMC と管理対象デバイスの両方での管理インターフェイス、ホスト名、検索ドメイン、DNS サーバ、HTTP プロキシの追加が含まれます。

管理インターフェイスについて

デフォルトでは、Firepower Management Center はすべてのデバイスを 1 つの管理インターフェイス上で制御します。各デバイスには FMC と通信するための管理インターフェイスが 1 つ含まれています。

また、初期設定（FMC および管理対象デバイスの両方）や、管理者として FMC にログインする際にも管理インターフェイスで行います。

管理インターフェイスは、スマートライセンスサーバとの通信、更新プログラムのダウンロード、その他の管理機能の実行にも使用します。

Firepower Management Center 上の管理インターフェイス

Firepower Management Center では、初期セットアップ、管理者の HTTP アクセス、デバイスの管理、ならびにその他の管理機能（ライセンス管理や更新など）に、eth0 インターフェイスが使用されます。

同じネットワーク上、あるいは別のネットワーク上に、追加の管理インターフェイスを設定することもできます。FMC が管理するデバイスの数が多い場合、管理インターフェイスをさらに追加することで、スループットとパフォーマンスの向上につながります。これらの管理インターフェイスをその他すべての管理機能に使用することもできます。管理インターフェイスごとに、対応する機能を限定することをお勧めします。たとえば、ある特定の管理インターフェイスを HTTP 管理者アクセス用に使用し、別の管理インターフェイスをデバイスの管理に使用するなどです。

デバイス管理用に、管理インターフェイスには 2 つの別個のトラフィックチャネルがあります。管理トラフィックチャネルはすべての内部トラフィック（デバイス管理に固有のデバイス間トラフィックなど）を伝送し、イベントトラフィックチャネルはすべてイベントトラフィック（Web イベントなど）を伝送します。オプションで、FMC 上にイベントを処理するためのイベント専用インターフェイスを別個に設定することもできます。設定できるイベント専用インターフェイスは 1 つだけです。イベントトラフィックは大量の帯域幅を使用する可能性があるので、管理トラフィックからイベントトラフィックを分離することで、FMC のパフォーマンスを向上させることができます。たとえば、10 GigabitEthernet インターフェイスをイベントインターフェイスとして割り当て、可能なら、1 GigabitEthernet インターフェイスを管理用に使用します。たとえば、イベント専用インターフェイスは完全にセキュアなプライベートネットワーク上に設定し、通常の管理インターフェイスはインターネットにアクセスできるネットワーク上で使用することをお勧めします。目的がスループットの向上だけである場合は、管理インターフェイスとイベントインターフェイスを同じネットワーク上で使用することもできます。FMC にイベント専用インターフェイスを設定する場合は管理用とイベント専用に個別のインターフェイスでデバイスをサポートしますが、個別のインターフェイスを持たないデバイスもサポートできます。管理用とイベント用を組み合わせた単一インターフェイスを持つデバイスの場合は、すべてのトラフィックが FMC 管理インターフェイスに移動します。

（注）

すべての管理インターフェイスが、アクセスリスト設定（アクセスリストの設定）によって制御される HTTP 管理者アクセスをサポートします。逆に、インターフェイスを HTTP アクセスのみに制限することはできません。管理インターフェイスでは、常にデバイス管理がサポートされます（管理トラフィック、イベントトラフィック、またはその両方）。

（注）

eth0 インターフェイスのみが DHCP IP アドレスをサポートします。他の管理インターフェイスはスタティック IP アドレスのみをサポートします。

管理対象デバイス上の管理インターフェイス

一部のモデルでは、イベントトラフィック専用として設定できる追加管理インターフェイスがあり、FMC との通信中に管理トラフィックとイベントトラフィックを分離できます。

デバイスをセットアップするときに、接続先とする FMC の IP アドレスを指定します。初期登録時は、管理トラフィックとイベントトラフィックの両方がこのアドレスに送信されます。注：場合によっては、FMC が別の管理インターフェイスで初期接続を確立することがあります。その場合、以降の接続では指定した IP アドレスの管理インターフェイスを使用する必要があります。

デバイスと FMC の両方に別個のイベントインターフェイスが設定されている場合は、デバイスと Management Center が互いのイベントインターフェイスを管理通信中に学習した後、ネットワークで許可されていれば、後続のイベントトラフィックがそれらのインターフェイス間で送られます。イベントネットワークがダウンすると、イベントトラフィックは、通常の管理インターフェイスに戻ります。デバイスは、可能な場合に別個のイベントインターフェイスを使用しますが、管理インターフェイスは常にバックアップです。管理対象デバイス上で 1 つの管理インターフェイスだけを使用している場合、管理トラフィックを FMC 管理インターフェイスに送信できませんし、イベントトラフィックを別個の FMC イベントインターフェイスに送信することもできません。FMC と管理対象デバイスの両方で別個のイベントインターフェイスを使用する必要があります。この場合、管理トラフィックとイベントトラフィックの両方が FMC 管理インターフェイスに進み、このデバイスの FMC イベントインターフェイスは使用されません。

管理インターフェイスのサポート

管理インターフェイスの場所については、ご使用のモデルのハードウェアインストレーションガイドを参照してください。

（注）

Firepower 4100/9300 シャーシの場合、MGMT インターフェイスは FTD の論理デバイスを管理するためではなく、シャーシを管理するために使用します。mgmt タイプ（または firepower-eventing タイプあるいはその両方）の別個の NIC インターフェイスを設定してから、そのインターフェイスを FTD 論理デバイスに割り当てる必要があります。

（注）

シャーシ上の FTD の場合、物理管理インターフェイスは、診断論理インターフェイス（SNMP または syslog に利用できて、FMC でデータインターフェイスと併せて設定されます）と、FMC 通信用の管理論理インターフェイスの間で共有されます。詳細については、管理/診断インターフェイスを参照してください。

Firepower Management Center および管理対象デバイスの各モデルでサポートされる管理インターフェイスについては、以下の表を参照してください。

表 3. Firepower Management Center でサポートされる管理インターフェイス
モデル	管理インターフェイス
MC750、MC1500、MC3500	eth0（デフォルト） eth1
MC2000、MC4000	eth0（デフォルト） eth1 eth2 eth3
MC1000	eth0（デフォルト） eth1
MC1600、MC2500、MC2600、MC4500、MC4600	eth0（デフォルト） eth1 eth2 eth3
Firepower Management Center Virtual	eth0（デフォルト）

表 4. 管理対象デバイスでサポートされる管理インターフェイス

モデル

管理インターフェイス

オプションのイベントインターフェイス

7000 シリーズ

eth0

サポートなし

8000 シリーズ

eth0

eth1

NGIPSv

eth0

サポートなし

ASA 5585-X 上の ASA FirePOWER サービスモジュール

eth0

（注）

eth0 は、管理 1/0 インターフェイスの内部名です。

eth1

（注）

eth1 は、管理 1/1 インターフェイスの内部名です。

ASA5508-X、5516-X 上の ASA FirePOWER サービスモジュール

eth0

（注）

eth0 は、管理 1/1 インターフェイスの内部名です。

サポートなし

ASA 5525-X から 5555-X 上の ASA FirePOWER サービスモジュール

eth0

（注）

eth0 は、管理 0/0 インターフェイスの内部名です。

サポートなし

Firepower Threat Defense Firepower 1000 上

management0

（注）

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 2100 上の Firepower Threat Defense

management0

（注）

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 4100 および 9300 上の Firepower Threat Defense

management0

（注）

management0 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

management1

（注）

management1 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

ASA 、5508-X、5516-X 上の Firepower Threat Defense

br1

（注）

br1 は、管理 1/1 インターフェイスの内部名です。

サポートなし

5525 ～ 5555-X 上の Firepower Threat Defense

br1

（注）

br1 は、管理 0/0 インターフェイスの内部名です。

サポートなし

ISA 3000 上の Firepower Threat Defense

br1

（注）

br1 は、管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower Threat Defense Virtual

br1

サポートなし

管理インターフェイス上のネットワークルート

管理インターフェイス（イベント専用インターフェイスを含む）は、リモートネットワークに到達するためのスタティックルートのみをサポートしています。FMC または管理対象デバイスをセットアップすると、セットアッププロセスにより、指定したゲートウェイ IP アドレスへのデフォルトルートが作成されます。このルートを削除することはできません。また、このルートで変更できるのはゲートウェイアドレスのみです。

一部のプラットフォームでは、複数の管理インターフェイスを設定できます。デフォルトルートには出力インターフェイスが含まれていないため、選択されるインターフェイスは、指定したゲートウェイアドレスと、ゲートウェイが属するインターフェイスのネットワークによって異なります。デフォルトネットワーク上に複数のインターフェイスがある場合、デバイスは出力インターフェイスとして番号の小さいインターフェイスを使用します。

複数のインターフェイスが同じネットワーク上にある場合を含めて、リモートネットワークにアクセスするには、管理インターフェイスごとに 1 つ以上のスタティックルートを使用することをお勧めします。

たとえば、FMC で、eth0 と eth1 が同じネットワーク上にありますが、各インターフェイスで異なるデバイスグループを管理するとします。デフォルトゲートウェイは 192.168.45.1 です。eth1 でリモート 10.6.6.0/24 宛先ネットワーク上のデバイスを管理する場合は、同じ 192.168.45.1 のゲートウェイを使用して eth1 経由で 10.6.6.0/24 用のスタティックルートを作成できます。10.6.6.0/24 へのトラフィックは、デフォルトルートの前にこのルートに到達するため、eth1 が想定どおりに使用されます。

2 つの FMC インターフェイスを使用して同じネットワーク上のリモートデバイスを管理する場合は、デバイス IP アドレスごとに別のスタティックルートが必要なため、FMC のスタティックルーティングが適切に拡張できないことがあります。

別の例には、FMC と管理対象デバイスの両方に個別の管理インターフェイスとイベント専用インターフェイスが含まれています。イベント専用インターフェイスは、管理インターフェイスとは別のネットワーク上にあります。この場合は、リモートイベント専用ネットワーク宛てのトラフィック用にイベント専用インターフェイスを介してスタティックルートを追加します。その逆も同様です。

（注）

管理インターフェイスのルーティングは、データインターフェイスに対して設定するルーティングとは完全に別のものです。

管理およびイベントトラフィックチャネルの例

以下に、Firepower Management Center と管理対象デバイスでデフォルト管理インターフェイスのみを使用する例を示します。

図 1. Firepower Management Center 上で単一の管理インターフェイスを使用する場合

以下に、Firepower Management Center でデバイスごとに別個の管理インターフェイスを使用する例を示します。この場合、各管理対象デバイスが 1 つの管理インターフェイスを使用します。

図 2. Firepower Management Center 上の複数の管理インターフェイスを使用する場合

以下に、個別のイベントインターフェイスを使用する Firepower Management Center と管理対象デバイスの例を示します。

図 3. Firepower Management Center上の個別のイベントインターフェイスと管理対象デバイスを使用する場合

以下に、Firepower Management Center 上で複数の管理インターフェイスと個別のイベントインターフェイスが混在し、個別のイベントインターフェイスを使用する管理対象デバイスと単一の管理インターフェイスを使用する管理対象デバイスが混在する例を示します。

図 4. 管理インターフェイスとイベントインターフェイスを混在させて使用する場合

管理インターフェイスの設定

Firepower アプライアンスの管理インターフェイス設定を変更できます。

Firepower Management Center：Web インターフェイスを使用します。Cisco TAC または FMC マニュアルの明示的な手順による指示がない限り、Firepower Management Center Linux シェルを使用しないことを強くお勧めします。
FTD デバイス、NGIPSv、ASA FirePOWER：CLI を使用します。
7000 & 8000 シリーズデバイス：制限された Web インターフェイスまたは CLI を使用します。

次の項を参照してください。

Firepower Management Center 管理インターフェイスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

Firepower Management Center で管理インターフェイスの設定を変更します。オプションとして追加の管理インターフェイスを有効にしたり、イベントのみのインターフェイスを設定したりできます。

注意	接続されている管理インターフェイスを変更する場合は十分にご注意ください。設定エラーのために再接続できない場合は、FMC コンソールポートにアクセスして、Linux シェルでネットワーク設定を再設定する必要があります。この操作では、Cisco TAC に連絡する必要があります。

始める前に

プロキシを使用する場合：

NT LAN Manager（NTLM）認証を使用するプロキシはサポートされません。
スマートライセンスを使用しているか、または使用する予定がある場合は、プロキシの FQDN は 64 文字以内にする必要があります。

手順

ステップ 1

[System] > [Configuration] を選択して、[管理インターフェイス（Management Interfaces）] を選択します。

ステップ 2

[インターフェイス（Interfaces）] エリアで、設定するインターフェイスの横にある [編集（Edit）] をクリックします。

このセクションでは、利用可能なすべてのインターフェイスがリストされます。インターフェイスをさらに追加することはできません。

それぞれの管理インターフェイスに対して、以下のオプションを設定できます。

[有効にする（Enabled）]：管理インターフェイスを有効にします。デフォルト eth0 管理インターフェイスを無効にしないでください。eth0 インターフェイスを必要とするプロセスもあります。
[チャネル（Channels）]：イベントのみのインターフェイスを設定します。FMC では 1 つのイベントインターフェイスしか設定できません。これを設定するには、[管理トラフィック（Management Traffic）] チェックボックスをオフにして、[イベントトラフィック（Event Traffic）] チェックボックスをオンのままにしておきます。必要に応じて、管理インターフェイスの [イベントトラフィック（Event Traffic）] を無効にすることができます。いずれの場合も、デバイスは、イベントのみのインターフェイスにイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベントチャネルが無効になっていても、管理インターフェイス上でイベントを送信します。インターフェイス上でイベントチャネルと管理チャンネルの両方を無効にすることはできません。
[モード（Mode）]：リンクモードを指定します。GigabitEthernet インターフェイスでは、自動ネゴシエーションの値を変更しても反映されないことに注意してください。
[MDI/MDIX]：[自動-MDIX（Auto-MDIX）] を設定します。
[MTU]：最大伝送ユニット（MTU）を設定します。デフォルトは 1500 です。設定可能な MTU の範囲は、モデルとインターフェイスのタイプによって異なる場合があります。

システムは、設定された MTU 値から自動的に 18 バイトを削減するため、IPv6 の場合、1298 未満の値は MTU の最小値である 1280 に準拠しません。IPv4 の場合は、594 未満の値は MTU の最小値 576 に準拠しません。たとえば、構成値 576 は自動的に 558 に削減されます。
[IPv4 設定（IPv4 Configuration）]：IPv4 IP アドレスを設定します。次のどちらかを選択します。
- [スタティック（Static）]：IPv4 の管理 IP アドレスとネットマスクを手動で入力します。
- [DHCP]：DHCP を使用するインターフェイスを設定します（eth0 のみ）。
- [無効（Disabled）]：無効 IPv4。IPv4 と IPv6 の両方を無効にしないでください。
[IPv6 設定（IPv6 Configuration）]：IPv6 IP アドレスを設定します。次のどちらかを選択します。
- [スタティック（Static）]：IPv6 の管理 IP アドレスと IPv6 のプレフィックス長を手動で入力します。
- [DHCP]：DHCPv6 を使用するインターフェイスを設定します（eth0 のみ）。
- [ルータ割当て（Router Assigned）]：ステートレス自動設定を有効にします。
- [無効（Disabled）]：IPv6 を無効にします。IPv4 と IPv6 の両方を無効にしないでください。
- [IPv6 DAD]：IPv6 を有効にするときに [重複アドレス検出（DAD）] を有効または無効にします。DAD を使用することによってサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。

ステップ 3

[ルート（Routes）] エリアで、スタティックルートを編集アイコン（）をクリックして編集するか、またはルートを追加アイコン（）をクリックして追加します。表示アイコン（）をクリックして、ルートの統計を表示します。

追加の各インターフェイスがリモートネットワークに到達するには、スタティックルートが必要です。新しいルートが必要になるケースの詳細については、管理インターフェイス上のネットワークルートを参照してください。

（注）

デフォルトルートでは、ゲートウェイ IP アドレスのみを変更できます。出力インターフェイスは、指定したゲートウェイをインターフェイスのネットワークに照合することで自動的に選択されます。

次の設定をスタティックルートに対して設定できます。

[宛先（Destination）]：ルートを作成する宛先ネットワークのアドレスを設定します。
[ネットマスク（Netmask）] または [プレフィックス長（Prefix Length）]：ネットワークのネットマスク（IPv4）またはプレフィックス長（IPv6）を設定します。
[インターフェイス（Interface）]：出力管理インターフェイスを設定します。
[ゲートウェイ（Gateway）]：ゲートウェイ IP アドレスを設定します。

ステップ 4

[共有設定（Shared Settings）] エリアで、すべてのインターフェイスで共有されているネットワークパラメータを設定します。

（注）

eth0 インターフェイスで [DHCP] を選択すると、DHCP サーバから取得する共有設定の一部を手動で指定することができなくなります。

以下の共有設定を行うことができます。

[ホスト名（Hostname）]：FMC ホスト名を設定します。ホスト名を変更する場合、syslog メッセージに反映される新しいホスト名を使用するには、FMC を再起動します。再起動するまでは、新しいホスト名が Syslog メッセージに反映されません。
[ドメイン（Domains）]：カンマで区切られた、FMC の検索ドメインを設定します。これらのドメインは、コマンド（ping system など）に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。
[プライマリ DNS サーバ（Primary DNS Server）]、[セカンダリ DNS サーバ（Secondary DNS Server）]、[テリタリ DNS サーバ（Tertiary DNS Server）]：DNS サーバが優先順で使用されるよう設定します。

[リモート管理ポート（Remote Management Port）]：管理対象デバイスとの通信用のリモート管理ポートを設定します。FMC および管理対象デバイスは、双方向の SSL 暗号化通信チャネル（デフォルトではポート 8305）を使用して通信します。

（注）

シスコは、リモート管理ポートをデフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのデバイスの管理ポートを変更する必要があります。

ステップ 5

[ICMPv6] 領域で、ICMPv6 の設定を行います。

[エコー応答パケットの送信を許可する（Allow Sending Echo Reply Packets）]：エコー応答パケットを有効または無効にします。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、FMC の管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。
[宛先到達不能パケットの送信を許可する（Allow Sending Destination Unreachable Packets）]：宛先到達不能パケットを有効または無効にします。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。

ステップ 6

[プロキシ（Proxy）] エリアで、HTTP プロキシ設定をします。

FMC は、ポート TCP/443（HTTPS）および TCP/80（HTTP）でインターネットに直接接続するように構成されています。HTTP ダイジェスト経由で認証できるプロキシサーバを使用できます。

このトピックの前提条件のプロキシの要件を参照してください。

[有効（Enabled）] チェックボックスをオンにします。
[HTTP プロキシ（HTTP Proxy）] フィールドに、プロキシサーバの IP アドレスまたは完全修飾ドメイン名を入力します。

このトピックの前提条件の要件を参照してください。
[ポート（Port）] フィールドに、ポート番号を入力します。
[プロキシ認証の使用（Use Proxy Authentication）] を選択してから [ユーザ名（User Name）] と [パスワード（Password）] を入力して、認証資格情報を設定します。

ステップ 7

[保存（Save）] をクリックします。

ステップ 8

管理 IP アドレスを変更すると、FMC と管理対象デバイスの間の通信に影響を与える可能性があります。

IP アドレスを変更しても、現在の接続には影響を与えません。ただし、デバイスまたは FMC をリロードした場合は、接続を再確立する必要があります。ピアの正しい IP アドレスを持つために、少なくとも 1 つのデバイス（FMC または管理対象デバイス）が必要です。たとえば、FMC でデバイスを追加し、（IP アドレスの代わりに）NAT ID を指定した場合は、設定時にデバイスに定義した FMC IP アドレスが正しくなくなるため、デバイスは通信を再確立できなくなります。さらに、デバイスの FMC の IP アドレスは更新できません。できることは、IP アドレスを置換して新しいデバイスとして再登録することだけです（configure manager add ）。一方で、FMC で管理対象デバイスの正しい IP アドレスが認識されている場合は、管理対象デバイスが持つ FMC 用の IP アドレスが正しくない場合でも、FMC は正常に接続を確立できます。

CLI でのデバイス管理インターフェイスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	いずれか（Any）	グローバルだけ。	Admin

CLI を使用して、管理対象デバイスの管理インターフェイスの設定を変更します。これらの設定の多くは、初期セットアップ時に設定されたものです。この手順に従うことで、それらの設定を変更でき、さらに設定を追加できます（例：モデルでサポートされる場合にイベントインターフェイスを有効化する、スタティックルートを追加する）。

FTD CLI については、『Command Reference for Firepower Threat Defense』を参照してください。

クラシックデバイス CLI の詳細については、このガイドの従来型デバイスのコマンドラインリファレンスを参照してください。

FTD およびクラシックデバイスは、管理インターフェイス設定に同じコマンドを使用します。その他のコマンドは、プラットフォーム間で異なる可能性があります。

（注）

SSH を使用する際は、慎重に管理インターフェイスに変更を加えてください。構成エラーで再接続できなくなると、デバイスのコンソールポートへのアクセスが必要になります。

始める前に

Firepower Threat Defense デバイスでは、configure user add コマンドを使用して CLI にログイン可能なユーザアカウントを作成できます。CLI での内部ユーザの追加を参照してください。SSH の外部認証の設定に従って AAA ユーザを設定することもできます。
7000 & 8000 シリーズデバイスでは、Web インターフェイスでの内部ユーザの追加の説明に従って、Web インターフェイスでユーザアカウントを作成できます。

手順

ステップ 1

コンソールポートから、または SSH を使用して、デバイス CLI に接続します。

FTD デバイスのコマンドラインインターフェイスへのログインまたは 7000/8000 シリーズ、ASA FirePOWER、および NGIPSv デバイスの CLI へのログインを参照してください。

ステップ 2

管理者のユーザ名とパスワードでログインします。

ステップ 3

イベントオンリーのインターフェイスを有効にします（サポートモデルについては、管理インターフェイスのサポート参照）。

configure network management-interface enable management_interface

configure network management-interface disable-management-channel management_interface

例:

これは Firepower 4100 または 9300 デバイスの例です。有効なインターフェイス名はデバイスタイプによって異なります。


> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Preserve existing configuration- currently no IP addresses on eth1 to update (bootproto IPv4:,bootproto IPv6:
at /usr/local/sf/lib/perl/5.10.1/SF/NetworkConf/NetworkSettings.pm line 821.
Configuration updated successfully

>

Firepower Management Center イベント専用インターフェイスは管理チャネルのトラフィックを受け入れることができないので、デバイスイベントインターフェイスで管理チャネルを単に無効にしてください。

必要に応じて、configure network management-interface disable-events-channel コマンドを使用して管理インターフェイスのイベントを無効にできます。いずれの場合も、デバイスは、イベントのみのインターフェイス上でイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベントチャネルが無効になっていても、管理インターフェイス上でイベントを送信します。

インターフェイス上でイベントチャネルと管理チャンネルの両方を無効にすることはできません。

ステップ 4

管理インターフェイスまたはイベントインターフェイスのネットワーク設定をします。

management_interface 引数を指定しない場合は、デフォルトの管理インターフェイスのネットワーク設定を変更します。イベントインターフェイスを設定する際は、必ず management_interface 引数を指定してください。イベントインターフェイスは、管理インターフェイスの個別のネットワーク、または同じネットワークに配置できます。自分で設定するインターフェイスに接続すると、切断されます。新しい IP アドレスに再接続できます。

IPv4 アドレスを設定します。
- 手動設定
  
  configure network ipv4 manual ip_address netmask gateway_ip [management_interface]
  
  このコマンド内の gateway_ip は、プライマリ管理インターフェイスのデフォルトルートを作成するためにしか使用されないことに注意してください。イベントのみのインターフェイスのゲートウェイを設定する場合、このコマンドは、ゲートウェイを無視して、それ用のデフォルトルートまたはスタティックルートを作成しません。configure network static-routes コマンドを使用してスタティックルートを別途作成する必要があります。
  
  例：
```
> configure network ipv4 manual 10.10.10.45 255.255.255.0 management1
Setting IPv4 network configuration.
Network settings changed.

>
```
- DHCP（デフォルト管理インターフェイスのみでサポート）。
  
  configure network ipv4 dhcp
IPv6 アドレスを設定します。
- ステートレス自動設定
  
  configure network ipv6 router [management_interface]
  
  例：
```
> configure network ipv6 router management0
Setting IPv6 network configuration.
Network settings changed.

>
```
- 手動設定
  
  configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]
  
  このコマンド内の ipv6_gateway_ip は、プライマリ管理インターフェイスのデフォルトルートを作成するためにしか使用されないことに注意してください。イベントのみのインターフェイスのゲートウェイを設定する場合、このコマンドは、ゲートウェイを無視して、それ用のデフォルトルートまたはスタティックルートを作成しません。configure network static-routes コマンドを使用してスタティックルートを別途作成する必要があります。
  
  例：
```
> configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
Setting IPv6 network configuration.
Network settings changed.

>
```
- DHCPv6（デフォルト管理インターフェイスのみでサポート）。
  
  configure network ipv6 dhcp

ステップ 5

IPv6 の場合、ICMPv6 エコー応答と宛先到達不能メッセージを有効または無効にします。デフォルトでは、これらのメッセージは有効になっています。

configure network ipv6 destination-unreachable {enable | disable}

configure network ipv6 echo-reply {enable | disable}

これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

例:


> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable

ステップ 6

（FTD のみ）デフォルト管理インターフェイスの DHCP サーバが、接続されているホストに IP アドレスを提供することを可能にします。

configure network ipv4 dhcp-server-enable start_ip_address end_ip_address

例:


> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

管理インターフェイスの IP アドレスを手動で設定するときにのみ、DHCP サーバを設定できます。このコマンドは、Firepower Threat Defense Virtual ではサポートされません。DHCP サーバのステータスを表示するには、show network-dhcp-server を入力します。


> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254

ステップ 7

Firepower Management Center がリモートネットワーク上にある場合は、イベント専用インターフェイスのスタティックルートを追加します。追加しないと、すべてのトラフィックが管理インターフェイスを通じてデフォルトルートと一致します。

configure network static-routes {ipv4 | ipv6}add management_interface destination_ip netmask_or_prefix gateway_ip

デフォルトルートの場合は、このコマンドを使用しないでください。デフォルト管理インターフェイスに対して configure network ipv4 コマンドまたは ipv6 コマンドを使用する場合は、デフォルトルートゲートウェイの IP アドレスしか変更できません（ステップ 4 を参照）。

ルーティングの詳細については、管理インターフェイス上のネットワークルートを参照してください。

例:


> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

スタティックルートを表示するには、show network-static-routes を入力します（デフォルトルートは表示されません）。


> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

ステップ 8

ホスト名の設定

configure network hostname name

例:


> configure network hostname farscape1

Syslog メッセージは、再起動するまで新しいホスト名を反映しません。

ステップ 9

検索ドメインを設定します。

configure network dns searchdomains domain_list

例:


> configure network dns searchdomains example.com,cisco.com

カンマで区切ったデバイスの検索ドメインを設定します。これらのドメインは、コマンド（ping system など）に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。

ステップ 10

カンマで区切った 3 つの DNS サーバを設定します。

configure network dns servers dns_ip_list

例:


> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3

ステップ 11

FMC で通信のリモート管理ポートを設定します。

configure network management-interface tcpport number

例:


> configure network management-interface tcpport 8555

FMC および管理対象デバイスは、双方向の SSL 暗号化通信チャネル（デフォルトではポート 8305）を使用して通信します。

（注）

シスコは、リモート管理ポートをデフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのデバイスの管理ポートを変更する必要があります。

ステップ 12

HTTP プロキシを設定します。デバイスは、ポート TCP/443（HTTPS）および TCP/80（HTTP）でインターネットに直接接続するように構成されています。HTTP ダイジェスト経由で認証できるプロキシサーバを使用できます。コマンド発行後に、HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかをユーザは尋ねられます。認証が必要な場合はプロキシのユーザ名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。

（注）

Cisco Firepower Threat Defense のプロキシパスワードの場合は、使用できる文字は A ～ Z、a ～ z、および 0 ～ 9 のみです。

configure network http-proxy

例:


> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword

ステップ 13

管理 IP アドレスを変更した場合は、デバイス管理設定の編集に従って FMC の管理対象デバイスの IP アドレスを変更します。

FMC のデバイスに（IP アドレスではなく）NAT ID を指定した場合は、この手順をスキップできます。

シャットダウンまたは再起動

FMC のプロセスのシャットダウンおよび再起動を制御するには、Web インターフェイスを使用します。次の操作を実行できます。

シャットダウン：アプライアンスのグレースフルシャットダウンを開始します。

注意	電源ボタンを使用して Firepower アプライアンスを停止しないでください。データが失われる可能性があります。Web インターフェイス（または CLI）を使用すると、設定データを失うことなく、安全にシステムの電源を切って再起動する準備が整います。

リブート：シャットダウンしてグレースフルに再起動します。
コンソールの再起動：通信、データベース、HTTP サーバのプロセスを再起動します。これは通常、トラブルシューティングの際に使用されます。

ヒント

Snort プロセスの再起動など、7000/8000 シリーズデバイスのシャットダウン/再起動の詳細については、7000/8000 シリーズデバイスのシャットダウンまたは再起動を参照してください。仮想デバイスの場合は、ご使用の仮想プラットフォームのマニュアルを参照してください。特に VMware の場合、カスタム電源オプションは VMware ツールの一部です。

FMC のシャットダウンまたは再起動


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[プロセス（Process）] を選択します。

ステップ 3

次のいずれかを実行します。

シャットダウン

[管理センターのシャットダウン（Shutdown Management Center）] の横にある [コマンドの実行（Run Command）] をクリックします。

再起動

[管理センターの再起動（Reboot Management Center）] の横にある [コマンドの実行（Run Command）] をクリックします。

（注）

再起動するとログアウトします。システムはデータベースチェックを実行しますが、これは完了するのに 1 時間かかります。

コンソールの再起動

[管理センターの再起動（Restart Management Center）] の横にある [コマンドの実行（Run Command）] をクリックします。

（注）

再起動すると、ネットワークマップ内に削除されたホストが再表示されることがあります。

リモートストレージ管理

Firepower Management Center では、バックアップおよびレポートのローカルストレージまたはリモートストレージとして、以下を使用することができます。

ネットワークファイルシステム（NFS）
サーバメッセージブロック（SMB）/Common Internet File System（CIFS）
セキュアシェル（SSH）

（注）

システムは、バックアップおよびリモートストレージの SMBv1 のみをサポートします。

1 つのリモートシステムにバックアップを送信し、別のリモートシステムにレポートを送信することはできませんが、どちらかをリモートシステムに送信し、もう一方を Firepower Management Center に格納することは可能です。

ヒント

リモートストレージを構成して選択した後は、接続データベースの制限を増やさなかった場合にのみ、ローカルストレージに戻すことができます。

ローカルストレージの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[リモートストレージデバイス（Remote Storage Device）] を選択します。
ステップ 3	[ストレージタイプ（Storage Type）] ドロップダウンリストから [ローカル（リモートストレージなし）（Local (No Remote Storage)）] を選択します。
ステップ 4	[保存（Save）] をクリックします。

リモートストレージの NFS の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

始める前に

外部リモートストレージシステムが機能しており、FMC からアクセスできることを確認します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[リモートストレージデバイス（Remote Storage Device）] をクリックします。
ステップ 3	[ストレージタイプ（Storage Type）] ドロップダウンリストから [NFS] を選択します。
ステップ 4	接続情報を追加します。 [Host] フィールドに、ストレージシステムの IPv4 アドレスまたはホスト名を入力します。 [ディレクトリ（Directory）] フィールドに、ストレージ領域へのパスを入力します。
ステップ 5	必要に応じて、[詳細オプションの使用（Use Advanced Options）] チェックボックスをオンにして、必要なコマンドラインオプションを入力します。リモートストレージ管理の詳細オプションを参照してください。
ステップ 6	[システムの使用方法（System Usage）] で、次の手順を実行します。指定したホストにバックアップを格納するには、[バックアップに使用（Use for Backups）] を選択します。指定したホストにレポートを格納するには、[レポートに使用（Use for Reports）] を選択します。リモートストレージへのバックアップに関する [ディスク容量のしきい値（Disk Space Threshold）] を入力します。デフォルトは 90% です。
ステップ 7	設定をテストするには、[テスト（Test）] をクリックします。
ステップ 8	[保存（Save）] をクリックします。

リモートストレージの SMB の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

始める前に

外部リモートストレージシステムが機能しており、FMC からアクセスできることを確認します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[リモートストレージデバイス（Remote Storage Device）] をクリックします。
ステップ 3	[ストレージタイプ（Storage Type）] ドロップダウンリストから [SMB] を選択します。
ステップ 4	接続情報を追加します。 [Host] フィールドに、ストレージシステムの IPv4 アドレスまたはホスト名を入力します。 [Share] フィールドに、ストレージ領域の共有を入力します。システムに認識されるのはファイルのフルパスではなく最上位の共有だけであることに注意してください。指定した共有ディレクトリをリモートバックアップ先として使用するには、それを Windows システムで共有する必要があります。必要に応じて、[Domain] フィールドにリモートストレージシステムのドメイン名を入力します。 [ユーザ名（Username）] フィールドにストレージシステムのユーザ名を入力し、[パスワード（Password）] フィールドにそのユーザのパスワードを入力します。
ステップ 5	必要に応じて、[詳細オプションの使用（Use Advanced Options）] チェックボックスをオンにして、必要なコマンドラインオプションを入力します。リモートストレージ管理の詳細オプションを参照してください。
ステップ 6	[システムの使用方法（System Usage）] で、次の手順を実行します。指定したホストにバックアップを格納するには、[バックアップに使用（Use for Backups）] を選択します。指定したホストにレポートを格納するには、[レポートに使用（Use for Reports）] を選択します。
ステップ 7	設定をテストするには、[テスト（Test）] をクリックします。
ステップ 8	[保存（Save）] をクリックします。

リモートストレージの SSH の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

始める前に

外部リモートストレージシステムが機能しており、Firepower Management Center からアクセスできることを確認します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[リモートストレージデバイス（Remote Storage Device）] をクリックします。
ステップ 3	[ストレージタイプ（Storage Type）] ドロップダウンリストから [SSH] を選択します。
ステップ 4	接続情報を追加します。 [ホスト（Host）] フィールドに、ストレージシステムの IP アドレスまたはホスト名を入力します。 [ディレクトリ（Directory）] フィールドに、ストレージ領域へのパスを入力します。 [ユーザ名（Username）] フィールドにストレージシステムのユーザ名を入力し、[パスワード（Password）] フィールドにそのユーザのパスワードを入力します。接続ユーザ名の一部としてネットワークドメインを指定するには、ユーザ名の前にドメインを入力し、スラッシュ（/）で区切ります。 SSH キーを使用するには、[SSH 公開キー（SSH Public Key）] フィールドの内容をコピーして authorized_keys ファイルに貼り付けます。
ステップ 5	必要に応じて、[詳細オプションの使用（Use Advanced Options）] チェックボックスをオンにして、必要なコマンドラインオプションを入力します。リモートストレージ管理の詳細オプションを参照してください。
ステップ 6	[システムの使用方法（System Usage）] で、次の手順を実行します。指定したホストにバックアップを格納するには、[バックアップに使用（Use for Backups）] を選択します。指定したホストにレポートを格納するには、[レポートに使用（Use for Reports）] を選択します。
ステップ 7	設定をテストする場合は、[テスト（Test）] をクリックする必要があります。
ステップ 8	[保存（Save）] をクリックします。

リモートストレージ管理の詳細オプション

Secure File Transfer Protocol（SFTP）を使用してレポートとバックアップを保存するために、ネットワークファイルシステム（NFS）プロトコル、サーバメッセージブロック（SMB）プロトコル、または SSH を選択すると、NFS、SMB、SSH マウントのマニュアルページに記載されているいずれかのマウントバイナリオプションを使用するために、[詳細設定オプションの使用（Use Advanced Options）] チェックボックスを選択できます。

SMB を選択すると、次の形式で [コマンドラインオプション（Command Line Options）] フィールドにセキュリティモードを入力します。


sec=mode

mode は、リモートストレージで使用するセキュリティモードです。

表 5. SMB セキュリティモードの設定
モード	説明
（なし）	NULL ユーザ（名前なし）として接続します。
`krb5`	Kerberos バージョン 5 認証を使用します。
`krb5i`	Kerberos 認証とパケット署名を使用します。
`ntlm`	NTLM パスワードハッシュを使用します。（デフォルト）
`ntlmi`	署名付きの NTLM パスワードハッシュを使用します（`/proc/fs/cifs/PacketSigningEnabled` がオンになっている場合またはサーバが署名を要求する場合はデフォルト）。
`ntlmv2`	NTLMv2 パスワードハッシュを使用します。
`ntlmv2i`	パケット署名付きの NTLMv2 パスワードハッシュを使用します。

変更調整

ユーザが行う変更をモニタし、変更が部門の推奨する標準に従っていることを確認するため、過去 24 時間に行われたシステム変更の詳細なレポートを電子メールで送信するようにシステムを構成できます。ユーザが変更をシステム構成に保存するたびに、変更のスナップショットが取得されます。変更調整レポートは、これらのスナップショットを組み合せて、最近のシステム変更の概要を提供します。

次の図は、変更調整レポートの [User] セクションの例を示しています。ここには、各構成の変更前の値と変更後の値の両方が一覧表示されています。ユーザが同じ構成に対して複数の変更を行った場合は、個々の変更の概要が最新のものから順に時系列でレポートに一覧表示されます。

過去 24 時間に行われた変更を参照できます。

変更調整の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 および 8000 シリーズ	グローバルだけ。	Admin

始める前に

24 時間にシステムに行われた変更のメール送信されるレポートを受信する電子メールサーバを設定します。詳細については、メールリレーホストおよび通知アドレスの設定を参照してください。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[変更調整（Change Reconciliation）] をクリックします。

ステップ 3

[有効（Enable）] チェックボックスをオンにします。

ステップ 4

[実行する時間（Time to Run）] ドロップダウンリストから、システムが変更調整レポートを送信する時刻を選択します。

ステップ 5

[メール宛先（Email to）] フィールドにメールアドレスを入力します。

ヒント

電子メールアドレスを追加したら、いつでも [最新のレポートの再送信（Resend Last Report）] をクリックして、最新の変更調整レポートのコピーを受信者に再送信できます。

ステップ 6

ポリシーの変更を追加する場合は、[ポリシー設定を含める（Include Policy Configuration）] チェックボックスをオンにします。

ステップ 7

過去 24 時間のすべての変更を含める場合は、[全変更履歴を表示（Show Full Change History）] チェックボックスをオンにします。

ステップ 8

[保存（Save）] をクリックします。

変更調整オプション

[ポリシー設定を含める（Include Policy Configuration）] オプションは、ポリシーの変更のレコードを変更調整レポートに含めるかどうかを制御します。これには、アクセス制御、侵入、システム、ヘルス、およびネットワーク検出の各ポリシーの変更が含まれます。このオプションを選択しなかった場合は、ポリシーの変更はどれもレポートに表示されません。このオプションは Firepower Management Center のみで使用できます。

[すべての変更履歴を表示する（Show Full Change History）] オプションは、過去 24 時間のすべての変更のレコードを変更調整レポートに含めるかどうかを制御します。このオプションを選択しなかった場合は、変更がカテゴリごとに統合された形でレポートに表示されます。

ポリシー変更のコメント

ユーザがアクセスコントロールポリシー、侵入ポリシー、またはネットワーク分析ポリシーを変更した場合、それらのポリシー関連の変更をコメント機能を使用してトラッキングするように Firepower システムを設定することができます。

ポリシー変更のコメントが有効にされていると、管理者はコメントにアクセスして、導入で重要なポリシーが変更された理由を素早く評価できます。オプションで、侵入ポリシーおよびネットワーク分析ポリシーに対する変更を監査ログに書き込むこともできます。

ポリシーの変更を追跡するコメントの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

ユーザがアクセスコントロールポリシー、侵入ポリシー、またはネットワーク分析ポリシーを変更する場合に、コメントの入力を要求するように Firepower システムを設定できます。コメントを使用して、ユーザのポリシーの変更の理由を追跡できます。ポリシーの変更に関するコメントを有効にした場合、コメントをオプションまたは必須に設定できます。システムは、ポリシーに対する新しい変更が保存されるたびに、ユーザにコメントを入力するようプロンプトを出します。

手順

ステップ 1	[System] > [Configuration]を選択します。システム設定オプションは、左側のナビゲーションパネルに表示されます。
ステップ 2	次のいずれかのポリシーコメントの設定を行います。アクセスコントロールポリシーのコメント設定には、[アクセスコントロールの設定（Access Control Preferences）] をクリックします。侵入ポリシーのコメント設定には、[侵入ポリシー設定（Intrusion Policy Preferences）] をクリックします。ネットワーク分析ポリシーのコメント設定には、[ネットワーク分析ポリシー設定（Network Analysis Policy Preferences）] をクリックします。
ステップ 3	各ポリシータイプに次の選択肢があります。 [無効化（Disabled）]：変更のコメントを無効にします。 [オプション（Optional）]：コメントの変更について記述するオプションをユーザに提供します。 [必須（Required）]：保存する前にコメントで変更について説明するようにユーザに要求します。
ステップ 4	侵入ポリシーまたはネットワーク分析ポリシーのコメントには、次のオプションがあります。侵入ポリシーのすべての変更を監査ログに書き込むには、[侵入ポリシーの変更を監査ログに書き込む（Write changes in Intrusion Policy to audit log）] をオンにします。ネットワーク分析ポリシーのすべての変更を監査ログに書き込むには、[ネットワーク分析ポリシーの変更を監査ログに書き込む（Write changes in Network Analysis Policy to audit log）] をオンにします。
ステップ 5	[保存（Save）] をクリックします。

アクセスリスト

IP アドレスとポートによって FMC へのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。

443（HTTPS）：Web インターフェイスアクセスに使用されます。
22（SSH）：CLI アクセスに使用されます。

さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。SNMP はデフォルトで無効になっているため、SNMP アクセスルールを追加する前に、まず SNMP を有効にする必要があります。詳細については、「SNMP ポーリングの設定」を参照してください。

注意	デフォルトでは、アクセスは制限されていません。よりセキュアな環境で運用するために、特定の IP アドレスに対するアクセスを追加してから、デフォルトの any オプションを削除することを検討してください。

アクセスリストの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

このアクセスリストは、外部データベースアクセスを制御しません。データベースへの外部アクセスの有効化を参照してください。

注意	FMC への接続に現在使用されている IP アドレスへのアクセスを削除し、「`IP=any port=443`」のエントリが存在しない場合、保存した時点でアクセスは失われます。

従来型デバイスのアクセスリストを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイス用のアクセスリストの設定を参照してください。

始める前に

デフォルトでは、アクセスリストには HTTPS と SSH のルールが含まれています。SNMP ルールをアクセスリストに追加するには、まず SNMP を有効にする必要があります。詳細については、SNMP ポーリングの設定を参照してください。

手順

ステップ 1	[System] > [Configuration] を選択します。
ステップ 2	（オプション）SNMP ルールをアクセスリストに追加する場合は、[SNMP] をクリックして SNMP を設定します。デフォルトでは、SNMP は無効になっています。SNMP ポーリングの設定を参照してください。
ステップ 3	[アクセスリスト（Access List）] をクリックします。
ステップ 4	1 つ以上の IP アドレスへのアクセスを追加するには、[ルールの追加（Add Rules）] をクリックします。
ステップ 5	[IP アドレス（IP Address）] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、`any` を入力します。
ステップ 6	[SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。
ステップ 7	[Add] をクリックします。
ステップ 8	[保存（Save）] をクリックします。

監査ログ

Firepower Management Center は、ユーザのアクティビティを読み取り専用監査ログに記録します。監査ログのデータは、いくつかの方法で確認できます。

Web インターフェイスの使用：システムの監査。

監査ログは標準イベントビューに表示され、監査ビュー内の任意の項目に基づいて監査ログメッセージを表示、ソート、およびフィルタリングできます。監査情報を簡単に削除したり、それに関するレポートを作成したりすることができ、ユーザが行った変更に関する詳細なレポートを表示することもできます。
syslog への監査ログメッセージのストリーミング：syslog への監査ログのストリーミング。.
HTTP サーバへの監査ログメッセージのストリーミング：HTTP サーバへの監査ログのストリーミング。

監査ログデータを外部サーバにストリーミングすると、FMC の容量を節約できますを参照してください。外部 URL に監査情報を送信すると、システムパフォーマンスに影響を与える場合があるので注意してください。

オプションで監査ログストリーミングのチャネルを保護するには、TLS 証明書を使用して TLS および相互認証を有効にします。監査ログ証明書を参照してください。

従来型デバイスも監査ログを保持します。従来型デバイスから監査ログをストリーミングする場合は、従来型デバイスからの監査ログのストリーミングを参照してください。

syslog への監査ログのストリーミング


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

この機能を有効にすると、監査ログレコードは、syslog に次の形式で表示されます。

Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action

現地の日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプションタグが続き、送信側デバイス名の後に監査ログメッセージが続きます。

たとえば、FROMMC のタグを指定した場合は、監査ログメッセージ例は次のように表示されます。

Mar 01 14:45:24 localhost [FROMMC] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View

メッセージに関連付ける重大度、ファシリティ、およびオプションタグを指定できます。タグは、syslog の監査ログメッセージと一緒に表示されます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。syslog メッセージにはファシリティおよび重大度は含まれません。これらの値は syslog メッセージを受信するシステムにメッセージの分類方法を示す値です。

従来型デバイスから監査ログをストリーミングするには、デバイスのプラットフォーム設定を使用します：従来型デバイスからの監査ログのストリーミング。

始める前に

FMC が syslog サーバと通信できることを確認します。設定を保存すると、システムはポート 7/UDP を使用して、syslog サーバが到達可能であることを確認します。次に、システムは 514/UDP を使用して監査ログをストリーミングします。チャネルを保護している場合（（オプション）監査ログ証明書を参照）、システムは 6514/TCP を使用します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[監査ログ（Audit Log）] をクリックします。
ステップ 3	[監査ログを Syslog に送信（Send Audit Log to Syslog）] ドロップダウンメニューから、[有効（Enabled）] を選択します。
ステップ 4	[ホスト（Host）] フィールドにある syslog サーバの IP アドレスまたは完全修飾名を使用して、監査情報の宛先ホストを指定します。
ステップ 5	Syslog アラートファシリティで説明されているとおりに、[ファシリティ（Facility）] リストからファシリティを選択します。
ステップ 6	syslog 重大度レベルで説明されているとおりに、[重大度（Severity）] リストから重大度を選択します。
ステップ 7	オプションで、[タグ（Tag）] フィールドに、syslog メッセージとともに表示するタグ名を入力します。たとえば、syslog に送信されるすべての監査ログレコードの先頭に「`FROMMC`」を付加したい場合に、このフィールドに「`FROMMC`」と入力します。
ステップ 8	[保存（Save）] をクリックします。システムは、ポート 7/UDP で syslog サーバにアクセスしようとします。

HTTP サーバへの監査ログのストリーミング


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

この機能を有効にすると、アプライアンスは、HTTP サーバに次の形式で監査ログレコードを送信します。

Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action

ローカルの日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプションタグが続き、送信側アプライアンスまたはデバイス名の後に監査ログメッセージが続きます。

たとえば、FROMMC のタグを指定した場合は、監査ログメッセージ例は次のように表示されます。

Mar 01 14:45:24 localhost [FROMMC] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View

従来型デバイスから監査ログをストリーミングするには、デバイスのプラットフォーム設定を使用します：従来型デバイスからの監査ログのストリーミング。

始める前に

デバイスが HTTP サーバと通信できることを確認します。オプションで、チャネルを保護します。監査ログ証明書を参照してください。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[監査ログ（Audit Log）] をクリックします。

ステップ 3

必要に応じて、[タグ（Tag）] フィールドに、メッセージとともに表示するタグ名を入力します。たとえば、すべての監査ログレコードの前に FROMMC を付けるには、このフィールドに FROMMC を入力します。

ステップ 4

[HTTP サーバへの監査ログの送信（Send Audit Log to HTTP Server）] ドロップダウンリストから、[有効（Enabled）] を選択します。

ステップ 5

[監査情報を送信する URL（URL to Post Audit）] フィールドに、監査情報の送信先 URL を指定します。次にリストした HTTP POST 変数を要求するリスナープログラムに対応する URL を入力します。

subsystem
actor
event_type
message
action_source_ip
action_destination_ip
結果
時刻
tag（定義されている場合。手順 3 を参照）

注意	暗号化されたポストを許可するには、HTTPS URL を使用します。外部 URL に監査情報を送信すると、システムパフォーマンスに影響を与える場合があります。

ステップ 6

[保存（Save）] をクリックします。

監査ログ証明書

Transport Layer Security（TLS）証明書を使用して、Firepower アプライアンスと信頼できる監査ログサーバ間の通信を保護することができます。

クライアント証明書（必須）

各アプライアンス（クライアント証明書は一意）については、証明書署名要求（CSR）を生成して、署名のために認証局（CA）に送信してから、署名付き証明書をアプライアンスにインポートする必要があります。

FMC を使用して、管理対象デバイスに監査ログ証明書をインポートすることはできません。これらの証明書は各アプライアンスに固有のものであり、各アプライアンスにログインして証明書をローカルにインポートする必要があります。

FMC の場合は、ローカルシステム設定を使用します。FMC の署名付き監査ログクライアント証明書の取得および FMC への監査ログクライアント証明書のインポート。
7000/8000 シリーズデバイスの場合は、ローカルシステム設定を使用します。7000/8000 シリーズデバイスでのセキュアな監査ログストリーミング用の署名付きクライアント証明書の取得。
ASA FirePOWER および NGIPSv の場合は、OpenSSL などのツールを使用して CSR を生成してから、CLI を使用して署名付き証明書をインポートします。configure audit_cert import 。

サーバ証明書（オプション）

セキュリティを強化するために、Firepower アプライアンスと監査ログサーバ間の相互認証を要求することを推奨します。相互認証を実現するには、1 つ以上の証明書失効リスト（CRL）をロードします。これらの CRL にリストされている失効した証明書を使用して、サーバに監査ログをストリーミングすることはできません。

Firepower は、識別符号化規則（DER）形式でエンコードされた CRL をサポートしています。これらの CRL は、システムが FMC Web インターフェイスの HTTPS クライアント証明書を検証するために使用する CRL と同じであることに注意してください。

有効な監査ログサーバ証明書を要求するには、FMC Web インターフェイスを使用します。

FMC の場合は、ローカルシステム設定を使用します。有効な監査ログサーバ証明書の要求。
従来型デバイス（7000/8000 シリーズを含む）の場合は、デバイスのプラットフォーム設定を使用します。従来型デバイス用の有効な監査ログサーバ証明書の要求。

監査ログのセキュアなストリーミング


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

信頼できる HTTP サーバまたは syslog サーバに監査ログをストリーミングする場合、Transport Layer Security（TLS）証明書を使用して FMC とサーバ間のチャネルを保護できます。監査するアプライアンスごとに一意のクライアント証明書を生成する必要があります。

従来型デバイスに監査ログをセキュアにストリーミングする場合は、従来型デバイスからの監査ログのストリーミングを参照してください。

始める前に

クライアントおよびサーバ証明書を必須とする場合の影響については、監査ログ証明書を参照してください。

手順

ステップ 1

署名付きクライアント証明書を入手し、FMC にインストールします。

FMC の署名付き監査ログクライアント証明書の取得：

システム情報と指定した ID 情報に基づいて、FMC で証明書署名要求（CSR）を生成します。

CSR を認識済みの信頼できる認証局（CA）に送信して、署名付きクライアント証明書を要求します。

FMC と監査ログサーバ間の相互認証が必要な場合、接続に使用するサーバ証明書に署名したのと同じ CA がクライアント証明書に署名する必要があります。
認証局から署名付き証明書を受信した後は、その証明書を FMC にインポートします。FMC への監査ログクライアント証明書のインポートを参照してください。

ステップ 2

Transport Layer Security（TLS）を使用するサーバとの通信チャネルを設定し、相互認証を有効にします。

有効な監査ログサーバ証明書の要求を参照してください。

ステップ 3

まだ行っていない場合は、監査ログストリーミングを設定します。

syslog への監査ログのストリーミングまたはHTTP サーバへの監査ログのストリーミングを参照してください。

FMC の署名付き監査ログクライアント証明書の取得


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
該当なし	いずれか（Any）	FMC	グローバルだけ。	Admin

管理対象の従来型デバイスの証明書を取得するには、7000/8000 シリーズデバイスでのセキュアな監査ログストリーミング用の署名付きクライアント証明書の取得を参照してください。

重要	ハイアベイラビリティ設定のスタンバイ Firepower Management Center では [監査ログ証明書（Audit Log Certificate）] ページを使用できません。スタンバイ Firepower Management Center からこのタスクを実行することはできません。

システムは、ベース 64 エンコードの PEM 形式で証明書要求のキーを生成します。

始める前に

次の点を考慮してください。

証明書をインストールするデバイスまたはアプライアンスで、証明書署名要求（CSR）を生成する必要があります。（たとえば、アプライアンス A でデバイス B の証明書署名要求は生成できません。）各デバイスおよびアプライアンスで固有の証明書署名要求を生成する必要があります。
セキュリティを確保するには、グローバルに認識された信頼できる認証局（CA）を使用して、証明書に署名します。
アプライアンスと監査ログサーバ間で相互認証が必要な場合は、同じ認証局によってクライアント証明書とサーバ証明書の両方が署名される必要があります。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[監査ログ証明書（Audit Log Certificate）] をクリックします。

ステップ 3

[新規 CSR の生成（Generate New CSR）] をクリックします。

ステップ 4

[国名（2 文字のコード）（Country Name (two-letter code)）] フィールドに国番号を入力します。

ステップ 5

[都道府県（State or Province）] フィールドに、都道府県名を入力します。

ステップ 6

[市区町村（Locality or City）] を入力します。

ステップ 7

[組織（Organization）] の名前を入力します。

ステップ 8

[組織単位（部署名）（Organizational Unit (Department)）] の名前を入力します。

ステップ 9

[共通名（Common Name）] フィールドに、証明書を要求するサーバの完全修飾ドメイン名を入力します。

（注）

共通名と DNS ホスト名が一致しないと、監査ログのストリーミングは失敗します。

ステップ 10

[生成（Generate）] をクリックします。

ステップ 11

テキストエディタで、新しい空のファイルを開きます。

ステップ 12

証明書要求のテキストブロック全体（BEGIN CERTIFICATE REQUEST 行と END CERTIFICATE REQUEST 行を含む）をコピーして、空のテキストファイルに貼り付けます。

ステップ 13

このファイルを clientname.csr として保存します。clientname は、証明書を使用する予定のアプライアンスの名前にします。

ステップ 14

[閉じる（Close）] をクリックします。

次のタスク

この手順の「はじめる前に」セクションのガイドラインを使用して選択した認証局に、証明書署名要求を送信します。
署名された証明書を受け取ったら、アプライアンスにインポートします。FMC への監査ログクライアント証明書のインポートを参照してください。

FMC への監査ログクライアント証明書のインポート


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

FMC ハイアベイラビリティ設定では、アクティブピアを使用する必要があります。

ASA FirePOWER および NGIPSv の場合は、CLI を使用して署名付き証明書をインポートします。configure audit_cert import 。7000/8000 シリーズデバイスの場合は、デバイスのローカル Web インターフェイスでシステム設定（[System] > [Configuration]）を使用します。7000/8000 シリーズデバイスでのセキュアな監査ログストリーミング用の署名付きクライアント証明書の取得。

始める前に

FMC の署名付き監査ログクライアント証明書の取得。
正しいアプライアンスの署名付き証明書をインポートしていることを確認します。各証明書は、アプライアンスやデバイスごとに異なります。
証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、必要な証明書チェーン（証明書パスとも呼ばれる）を提供します。クライアント証明書に署名した CA は、証明書チェーンのいずれの中間証明書に署名した CA と同じである必要があります。

手順

ステップ 1	FMC で、[System] > [Configuration] を選択します。
ステップ 2	[監査ログ証明書（Audit Log Certificate）] をクリックします。
ステップ 3	[監査クライアント証明書のインポート（Import Audit Client Certificate）] をクリックします。
ステップ 4	テキストエディタでクライアント証明書を開いて、`BEGIN CERTIFICATE` の行と `END CERTIFICATE` の行を含むテキストのブロック全体をコピーします。このテキストを [クライアント証明書（Client Certificate）] フィールドに貼り付けます。
ステップ 5	秘密キーをアップロードするには、秘密キーファイルを開いて、`BEGIN RSA PRIVATE KEY` の行と `END RSA PRIVATE KEY` の行を含むテキストのブロック全体をコピーします。このテキストを [秘密キー（Private Key）] フィールドに貼り付けます。
ステップ 6	必要な中間証明書をすべて開いて、それぞれのテキストのブロック全体をコピーして、[証明書チェーン（Certificate Chain）] フィールドに貼り付けます。
ステップ 7	[保存（Save）] をクリックします。

有効な監査ログサーバ証明書の要求


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

システムは、識別符号化規則（DER）形式でインポートされている CRL を使用した、監査ログサーバ証明書の検証をサポートしています。

（注）

CRL を使用して証明書を確認する場合、システムは、監査ログサーバ証明書の検証と、アプライアンスと Web ブラウザの間の HTTP 接続を保護する証明書の検証の両方に、同じ CRL を使用します。

重要	ハイアベイラビリティペアのスタンバイ Firepower Management Center でこの手順を実行することはできません。

始める前に

相互認証を必須とし、証明書失効リスト（CRL）を使用して証明書の有効性を保持する場合の影響について説明します。監査ログ証明書を参照してください。
監査ログのセキュアなストリーミングに記載されている手順およびその手順で参照されているトピックに従って、クライアント証明書を取得してインポートします。

手順

ステップ 1

FMC で、[System] > [Configuration] を選択します。

ステップ 2

[監査ログ証明書（Audit Log Certificate）] をクリックします。

ステップ 3

Transport Layer Security を使用して監査ログを安全に外部サーバへストリーミングするには、[TLSの有効化（Enable TLS）] 選択します。

ステップ 4

検証せずにサーバ証明書を受け入れる場合（非推奨）、次を実行します。

[相互認証の有効化（Enable Mutual Authentication）] をオフにします。
[保存（Save）] をクリックして、残りの手順をスキップします。

ステップ 5

監査ログサーバの証明書を検証するには、[相互認証の有効化（Enable Mutual Authentication）] をオンにします。

ステップ 6

（相互認証を有効にした場合）無効な証明書を自動的に認識するには、次を実行します。

[CRLの取得の有効化（Enable Fetching of CRL）] をオンにします。

（注）

CRL のフェッチを有効にすると、定期的に CRL を更新するスケジュールタスクが作成されます。

既存の CRL ファイルへの有効な URL を入力して、[CRL の追加（Add CRL）] をクリックします。

最大 25 個まで CRL の追加を繰り返します。
[CRL の更新（Refresh CRL）] をクリックして現在の CRL をロードするか、指定した URL から CRL をロードします。

ステップ 7

クライアント証明書を作成したものと同じ認証局によって生成された有効なクライアント証明書があることを確認します。

ステップ 8

[保存（Save）] をクリックします。

次のタスク

（オプション）CRL 更新の頻度を設定します。証明書失効リストのダウンロードの設定を参照してください。

FMC での監査ログクライアント証明書の表示


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

ログインしているアプライアンスの監査ログクライアント証明書のみ表示できます。 FMC ハイアベイラビリティペアでは、アクティブピアのみで証明書を表示できます。

従来型デバイスで監査ログ証明書を表示するには、7000/8000 シリーズデバイスの Web インターフェイスでシステム設定を使用するか、CLI で show audit_cert を使用します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[監査ログ証明書（Audit Log Certificate）] をクリックします。

ダッシュボード設定

ダッシュボードでは、ウィジェットを使用することにより、現在のシステムステータスが一目でわかります。ウィジェットは小さな自己完結型コンポーネントであり、Firepower システムのさまざまな側面に関するインサイトを提供します。Firepower システムには、事前定義された複数のダッシュボードウィジェットが付属しています。

[カスタム分析（Custom Analysis）] ウィジェットがダッシュボードで有効になるように、Firepower Management Center を設定できます。

ダッシュボードのカスタム分析ウィジェットの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

[カスタム分析（Custom Analysis）] ダッシュボードウィジェットを使用して、柔軟でユーザによる構成が可能なクエリに基づいてイベントのビジュアル表現を作成します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[ダッシュボード（Dashboard）] をクリックします。
ステップ 3	ユーザが [カスタム分析（Custom Analysis）] ウィジェットをダッシュボードに追加できるようにするには、[カスタム分析ウィジェットの有効化（Enable Custom Analysis Widgets）] チェックボックスをオンにします。
ステップ 4	[保存（Save）] をクリックします。

DNS キャッシュ

イベント表示ページで、IP アドレスを自動的に解決するようにシステムを設定できます。また、アプライアンスによって実行される DNS キャッシュの基本的なプロパティを設定できます。DNS キャッシングを設定すると、追加のルックアップを実行せずに、以前に解決した IP アドレスを識別できます。これにより、IP アドレスの解決が有効になっている場合に、ネットワーク上のトラフィックの量を減らし、イベントページの表示速度を速めることができます。

DNS キャッシュプロパティの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

DNS 解決のキャッシングは、以前に解決された DNS ルックアップのキャッシングを許可するシステム全体の設定です。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[DNS キャッシュ（DNS Cache）] を選択します。
ステップ 3	[DNS 解決のキャッシング（DNS Resolution Caching）] ドロップダウンリストから、次のいずれかを選択します。 [有効化（Enabled）]：キャッシングを有効にします。 [無効化（Disabled）]：キャッシングを無効にします。
ステップ 4	[DNS キャッシュタイムアウト（分）（DNS Cache Timeout（in minutes））] フィールドで、非アクティブのために削除されるまで DNS エントリがメモリ内にキャッシュされる時間（分単位）を入力します。デフォルトは 300 分（5 時間）です。
ステップ 5	[保存（Save）] をクリックします。

電子メールの通知

次の処理を行う場合は、メールホストを設定します。

イベントベースのレポートの電子メール送信
スケジュールされたタスクのステータスレポートの電子メール送信
変更調整レポートの電子メール送信
データプルーニング通知の電子メール送信
検出イベント、インパクトフラグ、相関イベントアラート、侵入イベントアラート、およびヘルスイベントアラートでの電子メールの使用

電子メール通知を設定する場合、システムとメールリレーホスト間の通信に使用する暗号化方式を選択し、必要に応じて、メールサーバの認証クレデンシャルを指定できます。設定した後、接続をテストできます。

メールリレーホストおよび通知アドレスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[電子メール通知（Email Notification）] をクリックします。

ステップ 3

[メールリレーホスト（Mail Relay Host）] フィールドで、使用するメールサーバのホスト名または IP アドレスを入力します。入力したメールホストはアプライアンスからのアクセスを許可している必要があります。

ステップ 4

[ポート番号（Port Number）] フィールドに、電子メールサーバで使用するポート番号を入力します。

一般的なポートには次のものがあります。

25。暗号化を使用しない場合
465。SSLv3 を使用する場合
587。TLS を使用する場合

ステップ 5

[暗号化方式（Encryption Method）] を選択します。

[TLS]：Transport Layer Security を使用して通信を暗号化します。
[SSLv3]：セキュアソケットレイヤを使用して通信を暗号化します。
[なし（None）]：暗号化されていない通信を許可します。

（注）

アプライアンスとメールサーバとの間の暗号化された通信では、証明書の検証は不要です。

ステップ 6

[送信元アドレス（From Address）] フィールドに、アプライアンスから送信されるメッセージの送信元電子メールアドレスとして使用する有効な電子メールアドレスを入力します。

ステップ 7

必要に応じて、メールサーバに接続する際にユーザ名とパスワードを指定するには、[認証を使用（Use Authentication）] を選択します。[Username] フィールドにユーザ名を入力します。パスワードを [Password] フィールドに入力します。

ステップ 8

設定したメールサーバを使用してテストメールを送信するには、[Test Mail Server Settings] をクリックします。

テストの成功または失敗を示すメッセージがボタンの横に表示されます。

ステップ 9

[保存（Save）] をクリックします。

言語の選択

[言語（Language）] ページを使用して、Web インターフェイス用に異なる言語を指定できます。

Web インターフェイスの言語の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

ここで指定した言語は、すべてのユーザの Web インターフェイスに使用されます。次の中から選択できます。

英語
中国語（簡体字）
中国語（繁体字）
日本語
韓国語

7000/8000 シリーズデバイスの言語を設定するには、デバイスのプラットフォーム設定を使用します。7000/8000 シリーズ Web インターフェイスの言語の設定。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[言語（Language）] をクリックします。
ステップ 3	使用する言語を選択します。
ステップ 4	[保存（Save）] をクリックします。

ログインバナー

[ログインバナー（Login Banner）] ページを使用して、セキュリティアプライアンスまたは共有ポリシーのセッションバナー、ログインバナー、カスタムメッセージバナーを指定できます。

バナーのテキストにはスペースを使用できますが、タブは使用できません。バナーには複数行のテキストを指定できます。テキストに空の行が含まれている場合、バナーでは、その行が改行（CR）として表示されます。使用できるのは、改行（Enter キーを押す）を含む ASCII 文字だけです。改行は 2 文字としてカウントされます。

Telnet または SSH を介してセキュリティアプライアンスにアクセスしたときに、バナーメッセージを処理するのに十分なシステムメモリがなかった場合や、バナーメッセージの表示を試行して TCP 書き込みエラーが発生した場合には、セッションが閉じます。

ログインバナーのカスタマイズ


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

従来型デバイスのログインバナーをカスタマイズするには、デバイスのプラットフォーム設定を使用します。従来型デバイス用のログインバナーのカスタマイズを参照してください。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[ログインバナー（Login Banner）] を選択します。
ステップ 3	[カスタムログインバナー（Custom Login Banner）] フィールドに、使用するログインバナーテキストを入力します。
ステップ 4	[保存（Save）] をクリックします。

SNMP ポーリング

Simple Network Management Protocol （SNMP）のポーリングを有効にできます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、3 をサポートします。この機能を使用すると、標準 Management Information Base（MIB）にアクセスできます。MIB には、連絡先、管理、場所、サービス情報、IP アドレッシングやルーティングの情報、トランスミッションプロトコルの使用状況の統計などのシステムの詳細が含まれます。

（注）

SNMP プロトコルの SNMP バージョンを選択する場合、SNMPv2 では読み取り専用コミュニティのみがサポートされ、SNMPv3 では読取り専用ユーザのみがサポートされることに注意してください。SNMPv3 は、AES128 での暗号化をサポートします。

SNMP ポーリングを有効にすると、システムで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になります。

SNMP ポーリングの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

従来型デバイスで SNMP ポーリングを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイスでの SNMP ポーリングの設定を参照してください。

始める前に

使用するコンピュータごとに SNMP アクセスを追加し、システムをポーリングします。アクセスリストの設定を参照してください。

（注）

SNMP MIB には展開の攻撃に使用される可能性がある情報が含まれています。SNMP アクセスのアクセスリストを MIB のポーリングに使用される特定のホストに制限することを推奨します。SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨します。

手順

ステップ 1

[System] > [Configuration] を選択します。

ステップ 2

[SNMP] をクリックします。

ステップ 3

[SNMPバージョン（SNMP Version）] ドロップダウンリストから、使用する SNMP バージョンを選択します。

[Version 1] または [Version 2]：[Community String] フィールドに読み取り専用の SNMP コミュニティ名を入力してから、手順の最後までスキップします。

（注）

SNMP コミュニティストリング名には、特殊文字（< > / % # & ? ', etc.）を使用できません。

[バージョン3（Version 3）]：[ユーザを追加（Add User）] をクリックすると、ユーザ定義ページが表示されます。SNMPv3 は、読み取り専用ユーザと AES128 による暗号化のみをサポートしています。

ステップ 4

ユーザ名を入力します。

ステップ 5

[認証プロトコル（Authentication Protocol）] ドロップダウンリストから、認証に使用するプロトコルを選択します。

ステップ 6

[認証パスワード（Authentication Password）] フィールドに SNMP サーバの認証に必要なパスワードを入力します。

ステップ 7

[パスワードの確認（Verify Password）] フィールドに、認証パスワードを再度入力します。

ステップ 8

使用するプライバシープロトコルを [プライバシープロトコル（Privacy Protocol）] リストから選択するか、プライバシープロトコルを使用しない場合は [なし（None）] を選択します。

ステップ 9

[プライバシーパスワード（Privacy Password）] フィールドに SNMP サーバで必要な SNMP プライバシーキーを入力します。

ステップ 10

[パスワードの確認（Verify Password）] フィールドに、プライバシーパスワードを再度入力します。

ステップ 11

[Add] をクリックします。

ステップ 12

[保存（Save）] をクリックします。

時刻および時刻同期

FirePOWER システムを正常に動作させるには、Firepower Management Center とその管理対象デバイスのシステム時刻を同期させることが不可欠です。FMC 初期設定時に NTP サーバを指定することを推奨しますが、初期設定の完了後に、このセクションの情報を使用して、時刻同期設定を確立または変更することができます。

FMC とすべてのデバイスのシステム時刻を同期させるには、Network Time Protocol（NTP）サーバを使用します。

注意	Firepower Management Center と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。

FMC と管理対象デバイスの時刻を同期するには、次を参照してください。

推奨： FMC の時刻を NTP サーバに同期

このトピックには、FMC と同期するように管理対象デバイスを設定する手順のリンクが含まれています。
その他の場合：ネットワーク NTP サーバにアクセスせずに時刻を同期

このトピックには、FMC と同期するように管理対象デバイスを設定する手順のリンクが含まれています。

FMC の時刻を NTP サーバに同期


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

Firepower Management Center とすべての管理対象デバイス間で適切な時刻同期を維持する最適な方法は、ネットワークで NTP サーバを使用することです。

始める前に

次の点に注意してください。

FMC および管理対象デバイスがネットワーク NTP サーバにアクセスできない場合は、この手順を使用しないでください。代わりに、ネットワーク NTP サーバにアクセスせずに時刻を同期を参照してください。
信頼できない NTP サーバを指定しないでください。
NTP サーバへの接続では、構成されたプロキシ設定は使用されません。

注意	Firepower Management Center が再起動され、ここで指定したものとは異なる NTP サーバレコードを DHCP サーバが設定した場合、DHCP 提供の NTP サーバが代わりに使用されます。この状況を回避するには、同じ NTP サーバを設定するように DHCP サーバを設定します。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[Time Synchronization] をクリックします。
ステップ 3	[NTPを使用して時間を提供（Serve Time via NTP）] が [有効（Enabled）] の場合、[無効（Disabled）] を選択して、NTP サーバの FMC を無効にします。
ステップ 4	[マイクロックの設定（Set My Clock）] オプションには、[NTPの接続元（Via NTP from）] を選択して、NTP サーバのホスト名または IP アドレスを入力します。組織内に連携する NTP サーバがある場合は、複数の NTP サーバをカンマ区切りのリストで入力します。
ステップ 5	[保存（Save）] をクリックします。

次のタスク

管理対象デバイスでは同じ NTP サーバを使用して同期するように設定します。

デバイスのプラットフォーム設定の構成：脅威に対する防御のための NTP 時刻同期の設定および従来型デバイスの時刻を NTP サーバに同期。
設定変更を展開します。設定変更の展開を参照してください。

ネットワーク NTP サーバにアクセスせずに時刻を同期


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

デバイスがネットワーク NTP サーバに直接アクセスできない、または組織内にネットワーク NTP サーバがない場合は、物理ハードウェア Firepower Management Center を NTP サーバとして使用できます。

重要	仮想 Firepower Management Center を NTP サーバとして使用しません。

手順

ステップ 1

Firepower Management Center でシステム時刻を手動で設定するには、次の手順を実行します。

[System] > [Configuration]を選択します。
[Time Synchronization] をクリックします。
[NTP を使用して時間を提供（Serve Time via NTP）] が [有効（Enabled）] の場合、[無効（Disable）] を選択します。
[保存（Save）] をクリックします。
[マイクロックの設定（Set My Clock）] で、[ローカル設定で手動（Manually in Local Configuration）] を選択します。
[Save（保存）] をクリックします。
画面の左側のナビゲーションパネルで [時間（Time）] をクリックします。
[時間の設定（Set Time）] ドロップダウンリストを使用して時間を設定します。
表示されるタイムゾーンが UTC ではない場合、クリックして、タイムゾーンを [UTC] に設定します。
[Save（保存）] をクリックします。
[Done] をクリックします。
[Apply] をクリックします。

ステップ 2

Firepower Management Center を NTP サーバとして機能するように設定します。

画面の左側のナビゲーションパネルで [時刻同期（Time Synchronization）] をクリックします。
[NTPを使用して時間を提供（Serve Time via NTP）] で、[有効（Enabled）] を選択します。
[Save（保存）] をクリックします。

ステップ 3

管理対象デバイスでは Firepower Management Center NTP サーバを使用して同期するように設定します。

管理対象デバイスに割り当てられたプラットフォーム設定ポリシーの [Time Synchronization] 設定で、[Via NTP from Management Center] に同期するようにクロックを設定します。
管理対象デバイスへの変更を導入します。

手順については、次を参照してください。

Firepower Threat Defense デバイスの場合は、次を参照してください。脅威に対する防御のための NTP 時刻同期の設定
その他すべてのデバイスについては、次を参照してください。従来型デバイスの時刻を NTP サーバに同期

時刻同期の設定の変更について

NTP を使用して時刻を提供するように FMC を設定してから、後でそれを無効にした場合、管理対象デバイスの NTP サービスは引き続き FMC と時刻を同期しようとします。新しい時刻ソースを確立するには、すべての該当するプラットフォーム設定ポリシーを更新および再展開する必要があります。
Firepower Management Center を NTP サーバとして設定した後に時刻を手動で変更する必要がある場合、NTP オプションを無効にして時刻を手動で変更してから NTP オプションを再度有効にする必要があります。

現在のシステム時刻、ソース、および NTP サーバ接続ステータスの表示


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

[ユーザ設定（User Preferences）] の [タイムゾーン（Time Zone）] ページで設定したタイムゾーン（デフォルトでは America/New York）を使用すると、ほとんどのページでローカル時刻で時刻設定が表示されますが、アプライアンスには UTC 時間を使用して格納されます。

さらに、現在の時刻は [時間（Time）] ページの上部に UTC で表示されます（ローカル時刻は手動時計設定オプションで表示されます（有効になっている場合））。

制約事項

タイムゾーン機能（[ユーザ設定（User Preferences）]）は、デフォルトのシステムクロックが UTC 時間に設定されていることを前提としています。システム時刻を変更しようとしないでください。システム時刻の UTC からの変更はサポートされていません。また、システム時刻を変更した場合はデバイスを再イメージ化してサポートされていない状態から回復させる必要があります。

（注）

7000 および 8000 シリーズハードウェアデバイスで時刻および時刻源情報を表示する場合は、7000/8000 シリーズデバイスのシステム時刻の表示を参照してください。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[時間（Time）] をクリックします。

アプライアンスで NTP サーバを使用する場合、テーブルエントリについては、NTP サーバのステータスを参照してください。

NTP サーバのステータス

NTP サーバから時刻を同期する場合は、[時間（Time）] ページ（[システム（System）] > [設定（Configuration）] を選択）で接続ステータスを確認できます。

表 6. NTP ステータス
カラム	説明
NTP サーバ	設定済みの NTP サーバの IP アドレスまたは名前。
ステータス	NTP サーバの時間同期のステータス。 [使用中（Being Used）] は、アプライアンスが NTP サーバと同期していることを示します。 [Available] は、NTP サーバが使用可能であるものの、時間がまだ同期していないことを示します。 [Not Available] は、NTP サーバが構成に含まれているものの、NTP デーモンがその NTP サーバを使用できないことを示します。 [Pending] は、NTP サーバが新しいか、または NTP デーモンが最近再起動されたことを示します。この値は、時間の経過とともに [Being Used]、[Available]、または [Not Available] に変わるはずです。 [不明（Unknown）] は、NTP サーバのステータスが不明であることを示します。
オフセット	アプライアンスと構成済みの NTP サーバ間の時間の差（ミリ秒）。負の値はアプライアンスの時間が NTP サーバより遅れていることを示し、正の値は進んでいることを示します。
Last Update	NTP サーバと最後に時間を同期してから経過した時間（秒数）。NTP デーモンは、いくつかの条件に基づいて自動的に同期時間を調整します。たとえば、更新時間が大きい（300 秒など）場合、それは時間が比較的安定しており、NTP デーモンが小さい更新増分値を使用する必要がないと判断したことを示します。

グローバルユーザ構成時の設定

グローバルユーザの設定は、Firepower Management Center のすべてのユーザに影響します。[User Configuration] ページで次の設定を行います（[System] > [Configuration] > [User Configuration]）。

[パスワード再使用制限（Password Reuse Limit）]：ユーザの最新の履歴の中で再利用できないパスワードの数。この制限は、すべてのユーザの Web インターフェイスに適用されます。admin ユーザの場合、これは CLI/シェルアクセスにも適用されます。システムは各アクセス形式に対して個別のパスワードリストを維持します。制限をゼロに設定すると（デフォルト）パスワードの再利用に制限は課せられません。パスワードの再使用制限の設定を参照してください。
[成功したログインの追跡（Track Successful Logins）]：Firepower Management Center へのログインの成功をユーザごとにアクセス方式（Web インターフェイスまたは CLI/シェル）別に追跡する日数。ユーザがログインすると、使用しているインターフェイスで成功したログイン回数が表示されます。[成功したログインの追跡（Track Successful Logins）] をゼロに設定すると（デフォルト）、システムは成功したログインアクティビティを追跡せず、レポートもしません。成功したログインの追跡を参照してください。
[ログイン失敗の最大数（Max Number of Login Failures）]：ユーザが誤った Web インターフェイスのログインクレデンシャルを連続して入力できる回数。この回数を超えると、設定されている時間にわたって一時的にアカウントにアクセスできなくなります。一時的なロックアウトが適用されている間にユーザがログインを試行し続けた場合：
- 一時的なロックアウトが適用されていることをユーザに通知せず、（有効なパスワードを使用したとしても）システムはそのアカウントへのアクセスを拒否します。
- ログイン試行のたびにシステムはそのアカウントの失敗ログイン数を増やし続けます。
- ユーザが個人の [ユーザ設定（User Configuration）] ページでそのアカウントに設定した [ログイン失敗の最大数（Maximum Number of Failed Logins）] を超えた場合、管理者ユーザがそのアカウントを再アクティブ化するまではそのアカウントはロックアウトされます。
[一時的にユーザをロックアウトする分単位の時間の設定（Set Time in Minutes to Temporarily Lockout Users）]：[ログイン失敗の最大数（Max Number of Failed Logins）] がゼロ以外の場合にユーザが一時的に Web インターフェイスからロックアウトされる分単位の時間。

パスワードの再使用制限の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバル	Admin

[パスワード再利用の制限（Password Reuse Limit）] を有効にすると、システムに FMC ユーザの暗号化されたパスワード履歴が保持されます。ユーザはパスワード履歴内のパスワードを再利用できません。各ユーザの保存されたパスワードの数をアクセス方式（Web インターフェイスまたは CLI/シェル）ごとに指定できます。ユーザの現在のパスワードはこの番号に対してカウントされます。制限を低くすると、システムは履歴から古い順にパスワードを削除します。制限を高くすると、削除されたパスワードが復元されません。

手順

ステップ 1	[System] > [Configuration] を選択します。
ステップ 2	[ユーザ設定（User Configuration）] をクリックします。
ステップ 3	[パスワード再利用制限（Password Reuse Limit）] を履歴に維持したいパスワードの数（最大 256）に設定します。パスワード再利用のチェックを無効にするには、0 を入力します。
ステップ 4	[保存（Save）] をクリックします。

成功したログインの追跡


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバル	Admin

この手順を使用して、各ユーザの成功したログインの追跡を指定した日数の間、有効にします。この追跡が有効になっている場合は、ユーザが Web インターフェイスまたは CLI/シェルにログインしたときにシステムは成功したログイン数を表示します。

（注）

日数を少なくすると、システムはログインのレコードを古いものから削除します。制限値を大きくすると、システムはその日数からカウントを復元しません。その場合、成功したログインの復元された数は、一時的に実際の番号よりも少なくなる場合があります。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[ユーザ設定（User Configuration）] をクリックします。
ステップ 3	[成功したログイン日数の追跡（Track Successful Login Days）] を成功したログインを追跡する日数（最大 365）に設定します。ログインの追跡を無効にするには、0 を入力します。
ステップ 4	[保存（Save）] をクリックします。

一時的なロックアウトの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバル	Admin

システムがロックアウトを有効にする前に連続して失敗したログイン試行を許可する回数を指定して、一時的な時限ロックアウト機能を有効にします。

手順

ステップ 1	[System] > [Configuration] を選択します。
ステップ 2	[ユーザ設定（User Configuration）] をクリックします。
ステップ 3	[ログイン失敗の最大数（Max Number of Login Failures）] をユーザが一時的にロックアウトされるまで連続して失敗できるログイン試行の最大回数に指定します。一時的なロックアウトを無効にするには、ゼロを入力します。
ステップ 4	[ユーザを一時的にロックアウトする分単位の時間（Time in Minutes to Temporarily Lockout Users）] は一時的なロックアウトをトリガーしたユーザをロックアウトする分数に設定します。この値がゼロの場合は、[ログイン失敗最大数（Max Number of Login Failures）] がゼロ以外でも、ユーザはログインの再試行を待機する必要はありません。
ステップ 5	[保存（Save）] をクリックします。

セッションタイムアウト

無人ログインセッションは、セキュリティ上のリスクを生じさせる場合があります。ユーザのログインセッションが非アクティブになったためにタイムアウトするまでのアイドル時間を設定できます。

システムを長期間にわたってパッシブかつセキュアにモニタする予定のシナリオでは、特定の Web インターフェイスのユーザがタイムアウトしないように設定できることに注意してください。メニューオプションへの完全なアクセス権がある管理者ロールのユーザは、侵害が生じる場合、余分のリスクを生じさせますが、セッションタイムアウトから除外することはできません。

セッションタイムアウトの設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

従来型デバイスのセッションタイムアウトを設定するには、デバイスのプラットフォーム設定を使用します。従来型デバイスのセッションタイムアウトの設定を参照してください。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[シェルタイムアウト（Shell Timeout）] をクリックします。
ステップ 3	セッションタイムアウトの設定 Web インターフェイス（FMC のみ）：[ブラウザセッションタイムアウト（分）（Browser Session Timeout (Minutes)）] を設定します。デフォルトの値は `60` で、最大値は `1440`（24 時間）です。このセッションタイムアウトからユーザを除外する場合は、Web インターフェイスでの内部ユーザの追加を参照してください。 CLI：[シェルタイムアウト（分）（Shell Timeout (Minutes)）] フィールドを設定します。デフォルトの値は `0` で、最大値は `1440`（24 時間）です。
ステップ 4	[保存（Save）] をクリックします。

脆弱性マッピング

サーバのディスカバリイベントデータベースにアプリケーション ID が含まれており、トラフィックのパケットヘッダにベンダーおよびバージョンが含まれる場合、Firepower システムは、そのアドレスから送受信されるすべてのアプリケーションプロトコルトラフィックについて、脆弱性をホスト IP アドレスに自動的にマップします。

パケットにベンダー情報もバージョン情報も含まれないサーバすべてに対して、システムでこれらのベンダーとバージョンレスのサーバのサーバトラフィックと脆弱性を関連付けるかどうかを設定できます。

たとえば、ホストがヘッダーにベンダーまたはバージョンが含まれていない SMTP トラフィックを提供しているとします。システム設定の [脆弱性マッピング（Vulnerability Mapping）] ページで SMTP サーバを有効にしてから、そのトラフィックを検出するデバイスを管理する Firepower Management Center にその設定を保存した場合、SMTP サーバと関連付けられているすべての脆弱性がそのホストのホストプロファイルに追加されます。

ディテクタがサーバ情報を収集して、それをホストプロファイルに追加しますが、アプリケーションプロトコルディテクタは脆弱性のマッピングに使用されません。これは、カスタムアプリケーションプロトコルディテクタにベンダーまたはバージョンを指定できず、また脆弱性マッピング用のサーバを選択できないためです。

サーバの脆弱性のマッピング


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
任意	保護	FMC	グローバルだけ	Admin

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[脆弱性マッピング（Vulnerability Mapping）] を選択します。

ステップ 3

次の選択肢があります。

ベンダーまたはバージョンの情報が含まれていないアプリケーションプロトコルトラフィックを受信するホストに、サーバの脆弱性がマップされないようにするには、そのサーバのチェックボックスをオフにします。
ベンダーまたはバージョンの情報が含まれていないアプリケーションプロトコルトラフィックを受信するホストに、サーバの脆弱性がマップされるようにするには、そのサーバのチェックボックスをオフにします。

ヒント

[有効（Enabled）] の横にあるチェックボックスを使用すると、すべてのチェックボックスを一度にオンまたはオフにできます。

ステップ 4

[保存（Save）] をクリックします。

リモートコンソールのアクセス管理

サポート対象システム上でリモートアクセスを行うため、VGA ポート（デフォルト）または物理アプライアンス上のシリアルポートを介して Linux システムのコンソールを使用できます。[コンソール設定（Console Configuration）] ページを使用して組織の Firepower 展開環境の物理レイアウトに最も適したオプションを選択します。

（注）

[コンソール設定（Console Configuration）] ページからは、リモートコンソールのアクセス管理を設定する他に、Firepower Management Center の CLI を有効または無効にすることができます。詳細については、Firepower Management Center のコマンドラインリファレンスを参照してください。

サポートされている物理ハードウェアベースの Firepower システムでは、Serial Over LAN（SOL）接続のデフォルト管理インターフェイス（eth0）で Lights-Out 管理（LOM）を使用すると、システムの管理インターフェイスにログインすることなく、リモートでシステムをモニタまたは管理できます。アウトオブバンド管理接続のコマンドラインインターフェイスを使用すると、シャーシのシリアル番号の表示や状態（ファン速度や温度など）のモニタなどの、限定タスクを実行できます。

LOM は、システムとシステムを管理するユーザの両方で有効にする必要があります。システムとユーザを有効にした後、サードパーティ製の Intelligent Platform Management Interface（IPMI）ユーティリティを使用し、システムにアクセスして管理します。

システム上のリモートコンソール設定の構成


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	グローバルだけ	LOM アクセス権限のある Admin

始める前に

デバイスの管理インターフェイスに接続されたサードパーティスイッチング装置で、スパニングツリープロトコル（STP）を無効にします。

手順

ステップ 1

[System] > [Configuration]を選択します。

ステップ 2

[コンソール構成（Console Configuration）] をクリックします。

ステップ 3

リモートコンソールアクセスのオプションを選択します。

アプライアンスの VGA ポートを使用するには、[VGA] を選択します。
アプライアンスのシリアルポートを使用するか、Firepower Management Center、Firepower 7050、または 8000 シリーズデバイス上で LOM/SOL を使用する場合には、[物理シリアルポート（Physical Serial Port）] を選択します。
7000 シリーズデバイス（Firepower 7050 以外）で LOM/SOL を使用する場合は、[Lights-Out Management] を選択します。これらのデバイスでは、SOL と通常のシリアル接続を同時に使用することはできません。

（注）

リモートコンソールを [物理シリアルポート（Physical Serial Port）] から [Lights-Out Management] に変更した場合や、70xx ファミリのデバイス（Firepower 7050 以外）で [Lights-Out Management] から [物理シリアルポート（Physical Serial Port）] に変更した場合は、アプライアンスを 2 回リブートしないと、期待どおりのブートプロンプトが表示されないことがあります。

ステップ 4

SOL 経由で LOM を設定するには、必要な IPv4 設定を入力します。

システムのアドレス構成（[DHCP] または [Manual（手動）]）を選択します。

LOM に使用する IP アドレスを入力します。

（注）

LOM IP アドレスは、システムの管理インターフェイスの IP アドレスとは異なる必要があります。

システムのネットマスクを入力します。
システムのデフォルトゲートウェイを入力します。

ステップ 5

[保存（Save）] をクリックします。

次のタスク

Lights-Out Management を設定した場合は、Lights-Out Management ユーザを有効にします。Lights-Out 管理のユーザアクセス設定を参照してください。

Lights-Out 管理のユーザアクセス設定

Lights-Out 管理機能を使用するユーザに対して、この機能の権限を明示的に付与する必要があります。LOM ユーザには、次のような制約もあります。

ユーザに Administrator ロールを割り当てる必要があります。
ユーザ名に使用できるのは最大 16 個の英数字です。LOM ユーザに対し、ハイフンやそれより長いユーザ名はサポートされていません。
71xx ファミリデバイスへの設定を除き、パスワードには最大 20 文字の英数字を使用できます。Firepower 7110、7115、7120、または 7125 デバイスで LOM が有効になっている場合、パスワードには最大 16 文字の英数字を使用できます。ユーザの LOM パスワードは、そのユーザのシステムパスワードと同じです。辞書に載っていない複雑な最大長のパスワードをアプライアンスに対して使用し、それを 3 か月ごとに変更することを推奨します。
物理 Firepower Management Center および 8000 シリーズデバイスには最大 13 人の LOM ユーザを設定でき、8000 シリーズデバイスには最大 8 人の LOM ユーザを設定できます。

あるロールを持つユーザのログイン中に LOM でそのロールを非アクティブ化してから再アクティブ化した場合や、ユーザのログインセッション中にそのユーザまたはユーザロールをバックアップから復元した場合、そのユーザは IPMItool コマンドへのアクセスを回復するために Web インターフェイスにログインし直す必要があります。

Lights-Out 管理ユーザアクセスの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	グローバルだけ	LOM アクセス権限のある Admin

各システムのローカル Web インターフェイスを使用して、システムごとに LOM と LOM ユーザを設定します。つまり、Firepower Management Center を使用して管理対象デバイスで LOM を設定することはできません。同様に、ユーザはアプライアンスごとに個別に管理されるため、Firepower Management Center で LOM 対応ユーザを有効化または作成しても、管理対象デバイスのユーザにはその機能は転送されません。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[コンソール構成（Console Configuration）] をクリックします。
ステップ 3	[Lights Out 管理（Lights Out Management）] をクリックします。
ステップ 4	次の選択肢があります。既存のユーザに LOM ユーザアクセスを許可するには、リスト内のユーザ名の横にある編集アイコン（）をクリックします。新しいユーザに LOM ユーザアクセスを許可するには、[Create User] をクリックします。
ステップ 5	[ユーザの設定（User Configuration）] で、Administrator ロールを有効にします。
ステップ 6	[Lights-Out 管理アクセスの許可（Allow Lights-Out Management Access）] チェックボックスをオンにします。
ステップ 7	[保存（Save）] をクリックします。

Serial over LAN 接続の設定

アプライアンスへの Serial over LAN 接続を作成するには、コンピュータ上でサードパーティ製の IPMI ユーティリティを使用します。Linux 系環境または Mac 環境を使用するコンピュータでは IPMItool を使用し、Windows 環境では IPMIutil を使用します。

（注）

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。

Linux

多くのディストリビューションで IPMItool が標準となっており、使用可能です。

Mac

Mac では、IPMItool をインストールする必要があります。最初に、Mac に Apple の XCode Apple Developer Tools がインストールされていることを確認します。これにより、コマンドライン開発用のオプションコンポーネント（新しいバージョンでは UNIX Development and System Tools、古いバージョンでは Command Line Support）がインストールされていることを確認できます。次に、MacPorts と IPMItool をインストールします。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。


	https://developer.apple.com/technologies/tools/
	http://www.macports.org/

Windows

Windows では、IPMIutil をコンパイルする必要があります。コンパイラにアクセスできない場合は、IPMIutil 自体を使用してコンパイルできます。詳細については、好みの検索エンジンを使用するか、次のサイトを参照してください。


	http://ipmiutil.sourceforge.net/

IPMI ユーティリティのコマンドについて

IPMI ユーティリティで使用するコマンドは、次の IPMItool の例に示したセグメントで構成されます。


ipmitool -I lanplus -H IP_address -U user_name command

引数の説明

ipmitool はユーティリティを起動します
-I lanplus はセッションの暗号化を有効にします
-H IP_address はアクセスするアプライアンスの IP アドレスを示します
-U user_name は権限を持つユーザの名前です

- command は指定するコマンドの名前です

（注）

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。

Windows 用の同等のコマンドは次のとおりです。


ipmiutil command -V 4 -J 3 -N IP_address -Uuser_name

このコマンドは、アプライアンスのコマンドラインにユーザを接続します。これによって、ユーザは物理的にそのアプライアンスの近くにいるときと同じようにログインできます。場合によっては、パスワードの入力を求められます。

IPMItool を使用した Serial Over LAN の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	いずれか（Any）	LOM アクセス権限のある Admin

手順

IPMItool を使用して、次のコマンドと、プロンプトが表示されたらパスワードを入力します:


ipmitool -I lanplus -H IP_address -U user_name sol activate

IPMIutil を使用した Serial Over LAN の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	いずれか（Any）	LOM アクセス権限のある Admin

手順

IPMIutil を使用して、次のコマンドと、プロンプトが表示されたらパスワードを入力します。


ipmiutil -J 3 -H IP_address -U username sol -a

Lights-Out 管理の概要

Lights-Out 管理（LOM）では、システムにログインすることなく、デフォルトの管理インターフェイス（eth0）から SOL 接続を介して一連の限定操作を実行できます。SOL 接続を作成するコマンドに続いて、次のいずれかの LOM コマンドを使用します。コマンドが完了すると、接続は終了します。電源制御コマンドの中には、70xx Family デバイスに対して有効でないものもあります。

（注）

Firepower 71xx、Firepower 82xx、または Firepower 83xx デバイスのベースボード管理コントローラ（BMC）は、ホストの電源がオンのときにのみ 1 Gbps のリンク速度でアクセスできます。デバイスの電源がオフの場合、BMC は 10/100 Mbps でのみイーサネットリンクを確立できます。したがって、デバイスにリモートから電源供給するために LOM を使用している場合は、10/100 Mbps のリンク速度だけを使用してデバイスをネットワークに接続してください。

注意	まれに、コンピュータがシステムの管理インターフェイスとは異なるサブネットにあり、そのシステムに DHCP が構成されている場合は、LOM 機能にアクセスしようとすると失敗することがあります。この場合は、システムの LOM を無効にして再び有効にするか、または同じサブネット上のコンピュータをシステムとして使用して、その管理インターフェイスを ping することができます。その後、LOM を使用できるようになるはずです。

注意	シスコでは、Intelligent Platform Management Interface（IPMI）標準（CVE-2013-4786）に内在する脆弱性を認識しています。システムの Lights-Out 管理（LOM）を有効にすると、この脆弱性にさらされます。この脆弱性を軽減するために、信頼済みユーザだけがアクセス可能なセキュアな管理ネットワークにシステムを展開し、辞書に載っていない複雑な最大長のパスワードをシステムに対して使用し、それを 3 か月ごとに変更してください。この脆弱性のリスクを回避するには、LOM を有効にしないでください。

システムへのアクセス試行がすべて失敗した場合は、LOM を使用してリモートでシステムを再起動できます。SOL 接続がアクティブなときにシステムが再起動すると、LOM セッションが切断されるか、またはタイムアウトする可能性があります。

注意	システムが別の再起動の試行に応答している間は、システムを再起動しないでください。リモートでシステムを再起動すると、通常の方法でシステムがリブートしないため、データが失われる可能性があります。

表 7. Lights-Out 管理のコマンド
IPMItool	IPMIutil	説明
（非該当）	`-V 4`	IPMI セッションの管理者権限を有効にします
`-I lanplus`	`-J 3`	IPMI セッションの暗号化を有効にします
`-H`	`-N`	リモートアプライアンスの IP アドレスを指定します
`-U`	`-U`	認可された LOM アカウントのユーザ名を指定します
`sol activate`	`sol -a`	SOL セッションを開始します
`sol deactivate`	`sol -d`	SOL セッションを終了します
`chassis power cycle`	`power -c`	アプライアンスを再起動します（70xx Family デバイスでは無効）。
`chassis power on`	`power -u`	アプライアンスの電源を投入します
`chassis power off`	`power -d`	アプライアンスの電源をオフにします（70xx Family デバイスでは無効）。
`sdr`	`sensor`	アプライアンスの情報（ファン速度や温度など）を表示します

たとえば、アプライアンスの情報のリストを表示する IPMItool のコマンドは、次のとおりです。


ipmitool -I lanplus -H IP_address -U user_name sdr

（注）

シスコでは、IPMItool バージョン 1.8.12 以降の使用を推奨しています。

IPMIutil ユーティリティの同等のコマンドは次のとおりです。


ipmiutil sensor -V 4 -J 3 -N IP_address -U user_name

IPMItool による Lights-Out Management の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	いずれか（Any）	LOM アクセス権限のある Admin

手順

プロンプトが表示されたら、IPMItool の次のコマンドとパスワードを入力します。


ipmitool -I lanplus -H IP_address -U user_name command

IPMIutil による Lights-Out Management の設定


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC 7000 & 8000 シリーズ	いずれか（Any）	LOM アクセス権限のある Admin

手順

プロンプトが表示されたら、IPMIutil の次のコマンドとパスワードを入力します。


ipmiutil -J 3 -H IP_address -U username command

REST API 設定

Firepower の REST API は、サードパーティアプリケーションで REST クライアントおよび標準 HTTP メソッドを使用してアプライアンス設定を表示および管理するための軽量のインターフェイスを提供します。Firepower の REST API の詳細については、『Firepower REST API Quick Start Guide』を参照してください。

デフォルトでは、Firepower Management Center はアプリケーションからの REST API を使用した要求を許可します。このアクセスをブロックするように Firepower Management Center を設定できます。

REST API アクセスの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	いずれか（Any）	Admin

（注）

Firepower Management Center ハイアベイラビリティを使用する展開では、この機能は、アクティブな Firepower Management Center でだけ使用できます。

手順

ステップ 1	[System] > [Configuration] を選択します。
ステップ 2	[REST API 設定（REST API Preferences）] をクリックします。
ステップ 3	Firepower Management Center への REST API アクセスを有効または無効にするには、[REST API の有効化（Enable REST API）] チェックボックスをオンまたはオフにします。
ステップ 4	[保存（Save）] をクリックします。

VMware Tools と仮想システム

VMware Tools は、仮想マシン向けのパフォーマンスを向上させるためのユーティリティスイートです。これらのユーティリティを使用すると、VMware 製品の便利な機能をフルに活用できます。VMware で実行されている Firepower 仮想アプライアンスは、次のプラグインをサポートします。

guestInfo
powerOps
timeSync
vmbackup

サポートされるすべてのバージョンの ESXi で VMware Tools を有効にすることもできます。サポートされているバージョンの一覧については、『Cisco Firepower NGIPSv（VMware 向け）クイックスタート』を参照してください。VMware Tools のすべての機能については、VMware の Web サイト（http://www.vmware.com/）を参照してください。

VMware 向け Firepower Management Center での VMware ツールの有効化


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	Firepower Management Center	グローバルだけ。	Admin

NGIPSv には Web インターフェイスがないため、そのプラットフォームで VMware ツールを有効にするには CLI を使用する必要があります（Cisco Firepower NGIPSv（VMware 向け）クイックスタートを参照）。

手順

ステップ 1	[System] > [Configuration]を選択します。
ステップ 2	[VMware ツール（VMware Tools）] をクリックします。
ステップ 3	[VMware ツールの有効化（Enable VMware Tools）] をクリックします。
ステップ 4	[保存（Save）] をクリックします。

（オプション）Web 分析トラッキングのオプトアウト


スマートライセンス	従来のライセンス	サポートされるデバイス数	サポートされるドメイン数	アクセス
いずれか（Any）	いずれか（Any）	FMC	グローバルだけ。	Admin

デフォルトでは、Firepower 製品の向上のために、ページの閲覧内容、ブラウザのバージョン、製品バージョン、ユーザの場所、Firepower Management Center アプライアンスの管理 IP アドレスまたはホスト名など、個人を特定できない使用データがシスコによって収集されます。

このデータの収集を拒否する場合は、次の手順を実行してオプトアウトできます。

手順

ステップ 1	[システム（System）] > [設定（Configuration）] を選択します。
ステップ 2	[Web 分析（Web Analytics）] をクリックします。
ステップ 3	適切に選択してから、[保存（Save）] をクリックします。

次のタスク

（オプション）Cisco Success Network 経由でデータを共有するかどうかを決定します。

システム設定の履歴


機能	バージョン	詳細
管理インターフェイスで重複アドレス検出（DAD）を無効にする機能	6.4	IPv6 を有効にすると、DAD を無効にすることができます。DAD を使用することによってサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。新規/変更された画面： [システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [インターフェイス（Interfaces）] > [インターフェイスの編集（Edit Interface）] ダイアログボックス > [IPv6 DAD] チェックボックスサポートされるプラットフォーム：FMC、7000 および 8000 シリーズデバイス
管理インターフェイス上の ICMPv6 エコー応答と宛先到達不能メッセージを無効にする機能	6.4	IPv6 を有効にすると、ICMPv6 エコー応答および宛先到達不能メッセージを無効できるようになりました。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。新規/変更された画面： [システム（System）] > [設定（Configuration）] > [管理インターフェイス（Management Interfaces）] > [ICMPv6] 新規/変更されたコマンド：configure network ipv6 destination-unreachable 、configure network ipv6 echo-reply サポートされるプラットフォーム：FMC（Web インターフェイスのみ）、 7000 および 8000 シリーズ、 FTD（CLI のみ）、ASA FirePOWER モジュール（CLI のみ）、NGIPSv（CLI のみ）
グローバルユーザ構成時の設定	6.3	[成功したログインの追跡（Track Successful Logins）]の設定を追加しました。システムは、選択した日数までに各 FMC アカウントが実行し、成功したログインの回数を追跡できます。この機能を有効にすると、ログイン中のユーザには、設定した過去の日数内にシステムへのログインが何回成功したかを報告するメッセージが表示されます（Web インターフェイスとシェル/CLI アクセスに適用）。 [パスワード再利用制限（Password Reuse Limit）] の設定を追加しました。設定可能な過去のパスワード数について各アカウントのパスワードの履歴を追跡できます。システムは、すべてのユーザがその履歴に表示されているパスワードを再利用できないようにします（Web インターフェイスとシェル/CLI アクセスに適用）。 [ログイン失敗の最大数（Max Number of Login Failures）] と [ユーザを一時的にロックアウトする分単位の時間の設定（Set Time in Minutes to Temporarily Lockout Users）] の設定を追加しました。これらの機能によって、管理者はシステムが設定可能な時間にわたってアカウントを一時的にブロックするまでに、ユーザが誤った Web インターフェイスのログインクレデンシャルを連続して入力できる回数を制限できます。新規画面：[システム（System）] > [設定（Configuration）] > [ユーザ設定（User Configuration）] サポート対象プラットフォーム： FMC
HTTPS 証明書	6.3	現在、システムとともに提供されるデフォルトの HTTPS サーバクレデンシャルは 3 年で期限が切れます。バージョン 6.3 にアップグレードされる前に生成されたデフォルトのサーバ証明書をアプライアンスが使用している場合、サーバ証明書は最初に生成されたときから 20 年後に期限切れとなります。デフォルトの HTTPS サーバ証明書を使用している場合、システムはその証明書を更新する機能を提供しています。新規/変更された画面： [システム（System）] > [設定（Configuration）] > [HTTPS 証明書（HTTPS Certificate）] ページ > [HTTPS 証明書の更新（Renew HTTPS Certificate）] ボタン。サポートされるプラットフォーム：物理 FMC、7000 および 8000 シリーズデバイス
の CLI アクセスを有効化および無効化する機能 FMC	6.3	新しい/変更された画面： FMC の Web インターフェイスで管理者が使用可能な新しいチェックボックス：[System] > [Configuration] の [CLI アクセスの有効化（Enable CLI Access）] > [コンソール設定（Console Configuration）] ページ。オン： SSH を使用して FMC にログインすると CLI にアクセスします。オフ：SSH を使用して FMC にログインすると Linux シェルにアクセスします。これは、バージョン 6.3 の新規インストールと、以前のリリースからバージョン 6.3 にアップグレードした場合のデフォルトの状態です。バージョン 6.3 より前では、[コンソール設定（Console Configuration）] ページには 1 つの設定のみしかなく、物理デバイスのみに適用されていました。そのため、[コンソール設定（Console Configuration）] ページは仮想 FMC には使用できませんでした。この新しいオプションを追加することで、[コンソール設定（Console Configuration）] ページに物理とともに仮想 FMC が表示されるようになりました。ただし、仮想 FMC の場合、このページに表示されるのはこのチェックボックスのみです。サポートされるプラットフォーム FMC

Firepower Management Center バージョン 6.4 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： システム設定

システム設定

システムの設定について

Firepower Management Center システム設定のナビゲーション

手順

システム設定

アプライアンス情報（Appliance Information）

HTTPS 証明書

デフォルト HTTPS サーバ証明書

カスタム HTTPS サーバ証明書

HTTPS サーバ証明書の要件

HTTP クライアント証明書

現在の HTTPS サーバ証明書の表示

手順

HTTPS サーバの証明書署名要求の作成

手順

次のタスク

HTTPS サーバ証明書のインポート

始める前に

手順

有効な HTTPS クライアント証明書の強制

始める前に

手順

デフォルトの HTTPS サービス証明書の更新

手順

次のタスク

外部データベース アクセスの設定

データベースへの外部アクセスの有効化

手順

データベース イベント数の制限

データベース イベント数の制限の設定

始める前に

手順

データベース イベント数の制限

管理インターフェイス

管理インターフェイスについて

Firepower Management Center 上の管理インターフェイス

管理対象デバイス上の管理インターフェイス

管理インターフェイスのサポート

管理インターフェイス上のネットワーク ルート

管理およびイベント トラフィック チャネルの例

管理インターフェイスの設定

Firepower Management Center 管理インターフェイスの設定

始める前に

手順

CLI でのデバイス管理インターフェイスの設定

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

例:

例:

シャットダウンまたは再起動

FMC のシャットダウンまたは再起動

手順

リモート ストレージ管理

ローカル ストレージの設定

手順

リモート ストレージの NFS の設定

始める前に

手順

リモート ストレージの SMB の設定

始める前に

手順

リモート ストレージの SSH の設定

始める前に

手順

リモート ストレージ管理の詳細オプション

変更調整

変更調整の設定

始める前に

章のタイトル：システム設定

外部データベースアクセスの設定

データベースイベント数の制限

データベースイベント数の制限の設定

データベースイベント数の制限

管理インターフェイス上のネットワークルート

管理およびイベントトラフィックチャネルの例

リモートストレージ管理

ローカルストレージの設定

リモートストレージの NFS の設定

リモートストレージの SMB の設定

リモートストレージの SSH の設定

リモートストレージ管理の詳細オプション

アクセスリスト

アクセスリストの設定

FMC の署名付き監査ログクライアント証明書の取得

FMC への監査ログクライアント証明書のインポート

有効な監査ログサーバ証明書の要求

FMC での監査ログクライアント証明書の表示

DNS キャッシュプロパティの設定

メールリレーホストおよび通知アドレスの設定

ログインバナー

ログインバナーのカスタマイズ

グローバルユーザ構成時の設定