本ドキュメントでは、以下のよくあるトラブル事例とその原因、対応例について紹介します。
トラブル事例
- Connection Eventsより 圧縮されたマルウェアファイルの通過が確認できる
- File Eventsより ファイルサイズが 0.13KBであることがわかる
原因
圧縮ファイルなどのアーカイブファイルの検査には、そのアーカイブファイルの検査の事前有効化が必要です。また、検査対象のアーカイブファイルのファイルサイズは、最小 6KB ~ 最大 1MBのため、この範囲外の場合、詳細検査は行われません。
対応例
本件問題の発生を防ぐには、以下の対応が有効です。
- アーカイブファイルの検査を有効化
- 詳細検査の対象となるファイルサイズのチューニング
各対応について順に説明します。
1. アーカイブファイルの検査を有効化
デフォルトでアーカイブファイルの検査は無効のため、Policies > Malware & File > Advanced より、"Inspect Archives"の有効化をしてください。
2. 詳細検査の対象となるファイルサイズのチューニング
アーカイブファイルの詳細検査には ファイルのキャプチャが必要となり、デフォルトのキャプチャ可能なファイルサイズは 最小 6KB ~ 最大 1MBです。必要に応じて、Policies > Access Control > Advanced から、サイズのチューニングをしてください。
なお、キャプチャ対象のファイルサイズの枠を広げるほど、検査対象のファイルが増加し、それは負荷増大原因となります。どの程度のサイズのファイルまでネットワーク機器で検査しブロックを行うか、どの程度のサイズのファイルからは(多くの場合 エンドポイントでもアンチマルウェアソフトウェアを導入しているため) エンドポイント側での検査に任せるか、メリハリ付けが、パフォーマンスを最適に保つうえで重要となります。 Firepower Systemのデフォルト値の利用が推奨となり、過少や過大なサイズの設定は控えることをお勧めします。
参考情報
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191