スケジューリング機能について
FMCの Scheduling機能を用いる事で、指定時間に 1回 もしくは 定期的に、指定機器に、以下などのタスクの自動実行が可能です。
- FMC/FTD 自動バックアップ (※FTDの自動バックアップは version 6.4から対応)
- ポリシーのデプロイ
- 最新のSoftwareやVDBのダウンロード
- ダウンロードしたSoftwareやVDBの適用
- URLデータベースのアップデート
なお、以下の更新は Scheduling機能ではできません。代わりに、Syetem > Updates から設定可能です。詳しくは、当ドキュメントの「よくある問い合わせ」を参照してください。
- Snort Rule Update (SRU)
- Geolocation Database (GeoDB)
Scheduling機能を用いて、タスクを深夜帯など通信影響の少ない時間帯に実施する事で、運用負荷や通信影響リスクを抑える事ができます。
本手順では Firepower System バージョン 6.0.0.1を用いて確認、作成しております。
FMCのタスクの設定
System > Tools > Scheduling に移動します。
Add Taskボタンをクリックします。
以下ページに遷移するため、任意タスクを設定します。
Job Typeは、以下などより選択できます。
- Backup (バックアップ)
- Deploy Policies (ポリシーのデプロイ)
- Download Latest Update (最新のSoftwareやVDBのダウンロード)
- Install Latest Update (ダウンロードしたSoftwareやVDBの適用)
- Update URL Filtering Database (URLデータベースのアップデート)
タスクの実行間隔は、Once(1回だけ) or Recurring(定期) から選択できます。 Recurringは、毎時・毎日・毎週・毎月から設定可能です。
以下は 毎週日曜 AM3:00に、URLデータベースの自動アップデートを行うための タスクの設定例です。
任意Job名を設定し Saveボタンをクリックします。
以下は設定適用後のカレンダーの出力です。 想定の日付にタスクがセットされたことを確認します。
タスクの設定例
VDBの自動ダウンロードと更新 (毎月 1回実施)
Vulnerability Database (VDB)は、アプリケーション検知や、どのホストが どの脆弱性の影響下にあるか分析等に利用できるデータベースです。 FMCに適用し、管理ネットワークの脆弱性影響の管理や分析に役立てることができます。
VDBの自動アップデートには、以下 2つのステップを踏む必要があります。
- VDBアップデートのダウンロード
- VDBアップデートのインストール
ダウンロードが完了した後に インストールが可能なため、ダウンロードとインストールの実行間隔は、十分にあける事をお勧めしております。(例:ダウンロードを土曜日深夜に、インストールは日曜深夜に実行する、など。)
次に、FMCでの実際の設定と動作確認例を示します。
まず、System > Tools > Scheduling の Add Taskより、VDBアップデートのダウンロードタスクを設定します。
次に、同様の手順で、VDBアップデートのインストールタスクを設定します。
カレンダーを確認し、想定のタスク状態である事を確認します。なお、次の月を確認したい場合は、カレンダー右上の > ボタンをクリックします。
タスクの実行状況は、Task Details欄で確認できます。 以下は、指定時間経過後、VDBアップデートのダウンロードタスクが成功したときの画面です。
System > Updates > Product Updates より、最新のVDBバージョンがダウンロードされている事を確認できます。
以下は、指定時間経過後、VDBアップデートのインストールタスクが成功したときの画面です。
以下は、実行中(VDB適用中)のタスク。
Help > About より、VDBバージョンが更新されたことを確認します。
よくある問い合わせ
SRUの自動更新もスケジューリング機能で可能ですか
いいえ、Snort Rule Update (SRU)は別途 自動アップデート機能がありますので、System > Updates > Rule Updates から任意間隔で自動アップデートと その後の アップデートデプロイの設定を実施してください。設定例についてより詳しくは、ご利用バージョンの 定期的な侵入ルール更新の設定 などを参照してください。例えば以下は、毎日 AM 2:00 に SRUの自動アップデートとデプロイの設定例です。
Geolocation DB の自動更新もスケジューリング機能で可能ですか
いいえ、Geolocation Database (GeoDB) は別途 自動アップデート機能がありますので、System > Updates > Geolocation Updates から任意間隔で自動アップデートを実施してください。地理情報はアップデートされると、自動で地理情報を利用して通信制御がされるようになるため、特にデプロイは不要です。例えば以下は、毎週日曜 AM 9:00 に GeoDBの自動アップデートの設定例です。
セキュリティ インテリジェンス の自動更新設定もスケジューリング機能で可能ですか
いいえ、Security Intelligence Feed の更新間隔や 更新状況は、Objects > Object Management > Security Intelligence から確認や変更が可能です。詳しくは、Firepower: セキュリティ インテリジェンス: 疑いのあるIPアドレスの自動ブロック方法 を参照してください。
スケジューリング機能を用いて FTDデバイスの自動バックアップは可能ですか
はい、Firepower System バージョン 6.4以降で対応しています。 詳しくは以下ドキュメントを参照ください。
https://www.cisco.com/c/en/us/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/task_scheduling.html
以下はスケジューリング機能を用いて、FTD-HA構成の毎月の各FTDデバイスの自動バックアップ設定例です。
参考情報
Firepower Management Center Configuration Guide, Version 6.0
- Chapter: Task Scheduling (FMC管理時)
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/configuration/guide/fpmc-config-guide-v60/Scheduling_Tasks.html
Cisco ASA with FirePOWER Services Local Management Configuration Guide, Version 6.0
- Chapter: Scheduling Tasks (ASDM管理時)
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/asa-fp-services/asa-with-firepower-services-local-management-configuration-guide-v60/Scheduling-Tasks.html
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733