2024年1月 追記:
Snotr 3.0 では SRUや Deployment のロールバックに対応しています (紹介動画)。また、「Pass」Actionによる、個別条件による検知無効化にも対応しております。
--------------------------------------------------------
概要
IPSの場合は、シグネチャのロールバックは対応していましたが、FirePOWERの場合は、SRU/VDBのロールバックは原則対応しておらず、基本的にはFirePOWERのSRU/VDBは最新版を利用することを推奨しております。
SRU/VDBのロールバックは原則対応をしていないため、SRU/VDB適用後に何か問題が発生した場合は該当のルールをDisableにするか最新版に更新することをご案内させて頂いており、本topicではsnort ruleを無効化(disable)する手順についてご案内させて頂きます。
snort rule を無効化(disable)する手順
1.FMCにログインします。
2.Policies ⇒ Access control ⇒Intrusion の順で選択します。
3.編集必要なポリシーから Edit(鉛筆マーク)ボタンをクリックします。
4.左ペインの Policy Information の Rules に選択します。
5.右のペインの Filter の空欄に編集必要なシグネチャIDもしくはキーワードを入力し検索します。
6.検索結果から右側の緑色の右向き矢印アイコンをクリックし、Disabled に選択します。
7.左ペインから Policy Information に選択し、Commit Changes を選択します。
8.Deploy ボタンから該当機器に上記の設定を適用します。
SRU/VDBの更新方法について
VDBの更新方法については、以下のナレッジをご確認ください。
https://supportforums.cisco.com/ja/document/12427171
SRUの更新方法については、以下のナレッジをご確認ください。
https://supportforums.cisco.com/ja/document/12426731