購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2652
閲覧回数
11
いいね!
0
コメント

Cisco Secure Firewall (FTD): SRU 更新時のバージョン・SRU 詳細内容の確認方法

sisozumi
Cisco Employee
Cisco Employee

‎2022-01-30 10:37 PM ‎2024-04-16 06:19 PM 更新

 

 

 

はじめに

Firepower Management System (FMC) において、Intrusion Rules 等の Intrusion Prevention System (IPS) としての機能を最新にアップデートするために SRU の更新をFirepower Thread Defense (FTD) 等の被管理デバイスへDeploy することがあります。

本ドキュメントでは、更新のDeployをする際の注意点や確認点を紹介します。

 

  

1. バージョン確認

現在適用されている SRU の確認方法は、管理デバイスと被管理デバイスでそれぞれ異なります。

・FMC の確認方法

[FMC 6.7 以前]
FMC の GUI へログイン後、System > Updates > Rule Updates より確認することができます。

SRU1.png

上記の例では、FMC には 2018-10-10-001-vrt のSRUがインポートされている状態です。
CLI での確認方法については FMC: CLI からModel,UUID,SRU,VDB を確認する方法 をご参照ください。

[FMC 7.0 以降]
FMC の GUI ログイン後、System > Updates > Rule Updates より確認することができます。

sisozumi_0-1713258996010.png

Snort Rule update version は Snort 2 に対応しているルールを指します。
Lightweight Security Package (LSP) は Snort 3 に対応しているルールを指します。

・FTD / SFR Module の確認方法

FTD の CLI へログイン後、下記の expert コマンドを使用することで FTD へ適用されている SRU を確認することができます。

> expert
admin@firepower:~ $ cd /var/sf/SRU
admin@caacon12:/var/sf/SRU$ ls -l
total 136020
-rw-r--r-- 1 root root         0 Nov  8 06:41 CIP_rules.fixed
-rwxr-xr-x 1 www  www  139141120 Apr 23  2019 Cisco_Firepower_SRU-2018-10-10-001-vrt.sh.REL.ta

上記の例では、FTD には 2018-10-10-001-vrt のSRUが適用されている状態です。

Snort 3 で対応する LSP の場合は、下記の directory を確認します。

admin@FMC7-0:~$ cd /var/sf/lsp
admin@FMC7-0:/var/sf/lsp$ ls -l
total 4
lrwxrwxrwx 1 root   root    33 Feb  9  2021 active-lsp -> /var/sf/lsp/lsp-rel-20210129-1557
lrwxrwxrwx 1 root   root    33 Feb  9  2021 installed-lsp -> /var/sf/lsp/lsp-rel-20210129-1557
drwxr-xr-x 5 370411 62307 4096 Feb  9  2021 lsp-rel-20210129-1557

 

2. SRU の詳細確認

SRU の更新には、既存の Rule や Policy の変更が含まれることがあります。新規に適用させたい SRU の情報を確認したい場合、Software Download ページより変更点を確認することができます。
Software Download ページへアクセス後、Firepower Coverage and Content Updates より、SRU を選択し、ダウンロード対象のファイル名へマウスオーバーすることで詳細な情報を確認することができます。

SRU2.png

各項目の内容は次の情報を含みます。

New Rules 新規に追加される Rule の GID, SID, Rule Group, Rule Message, Policy 情報
Modified Rules 更新される Rule の GID, SID, Rule Group, Rule Message, Policy 情報
SRU yyyy-mm-dd-xxx 追加・更新される Rule の数、Policy の変更、対応する脆弱性等の情報
Advisories 確認しているソフトウェアのSecurity Advisories, Responses and Notices ページ

 

 

 

3. その他 SRU 関連の注意事項

・SRU インストール方法に関して

SRU(Sourcefire Rule Update) インストール方法 をご参照ください。
Snort 3 の LSP についてはSnort 3 使用時のルール更新について (SRU/LSP)をご参照ください。

 

・更新時の通信断に関して

FMC から Policy をデプロイする際に、FTD のバージョン 6.3.0 (Snort 2.9.13) 以前をご利用の場合、Snort Restart により通信断が発生することがあります。
詳細については SRU更新に伴うShared Object変更時のSnort Restartについて をご参照ください。

 

・更新時のシグネチャ対応バージョンに関して

Snort のバージョンによって、適用可能な SRU 内のシグネチャ (SID) が限定されていることがあります。
詳細については FirePOWER:特定のシグネチャが存在しない事象について をご参照ください。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents