ソフトウェア アップデートのインストール
システム データベースとシステム ソフトウェアの更新プログラムをインストールできます。ここでは、これらの更新プログラムのインストール方法について説明します。
システム データベースおよびフィードの更新
システムは、複数のデータベースおよびセキュリティ インテリジェンス フィードを使用して高度なサービスを提供します。シスコでは、セキュリティ ポリシーで最新の情報が使用されるよう、これらのデータベースおよびフィードに対する更新を提供しています。
システム データベースおよびフィードの更新の概要
Threat Defense は次のデータベースおよびフィードを使用して高度なサービスを提供します。
- 侵入ルール
-
新たな脆弱性が既知になると、Cisco Talos Intelligence Group(Talos) はユーザーがインポート可能な侵入ルールの更新をリリースします。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。
侵入ルールの更新には、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が含まれています。ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたり、デフォルトの変数値が変更されたりすることもあります。
侵入ルールの更新によって行われた変更を有効にするには、設定を再展開する必要があります。
侵入ルールの更新は量が多くなることがあるため、ルールのインポートはネットワークの使用量が少ないときに実行してください。低速ネットワークでは、更新の試行が失敗し、再試行が必要になることがあります。
- 位置情報データベース(GeoDB)
-
シスコの地理位置情報データベース(GeoDB)は、ルーティング可能な IP アドレスに関連する地理情報データ(国、都市、緯度と経度など)のデータベースです。
GeoDB の更新には、検出されたルーティング可能な IP アドレスにシステムが関連付けることが可能な物理的な場所に関する更新情報が含まれています。位置情報データは、アクセス コントロール ルールとして使用できます。
GeoDB の更新にかかる時間はアプライアンスによって異なります。インストールには通常、30 ~ 40 分かかります。GeoDB の更新は他のシステムの機能(実行中の地理情報の収集など)を中断することはありませんが、更新が完了するまでシステムのリソースを消費します。更新を計画する場合には、この点について考慮してください。
- 脆弱性データベース(VDB)
-
シスコの脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。ファイアウォールシステムはフィンガープリントと脆弱性を関連付けて、特定のホストがネットワークの侵害のリスクを増大させているかどうかを判断するのをサポートします。Cisco Talos Intelligence Group(Talos) では、VDB の定期的な更新を配布しています。
脆弱性のマッピングを更新するのにかかる時間は、ネットワーク マップ内のホストの数によって異なります。システムのダウンタイムの影響を最小にするために、システムの使用率が低い時間帯に更新をスケジュールすることをお勧めします。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ネットワーク上のホストの数を 1000 で割ります。
VDB を更新した後、更新されたアプリケーション ディテクタとオペレーティング システム フィンガープリントを有効にするために、設定を再展開する必要があります。
- Cisco Talos Intelligence Group(Talos) セキュリティ インテリジェンスのフィード
-
Talos は、セキュリティ インテリジェンス ポリシーで使用するため定期的に更新されるインテリジェンスフィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。これらのフィードには、既知の脅威のアドレスや URL が含まれています。システムによってフィードが更新される場合、再展開する必要はありません。後続の接続の評価には新しい一覧が使用されます。
- URL カテゴリ/レピュテーション データベース
-
システムは、Cisco Collective Security Intelligence(CSI)から URL カテゴリとレピュテーション データベースを取得します。カテゴリとレピュテーションに関してフィルタリングする URL フィルタリング アクセス制御ルールを設定すると、要求された URL がデータベースと照合されます。
でデータベースの更新といくつかのその他の URL フィルタリング設定を設定できます。URL カテゴリ/レピュテーション データベースの更新は、他のシステム データベースの更新を管理する方法では管理できません。
システム データベースの更新
必要に応じて、手動でシステム データベースの更新を取得して適用できます。更新はシスコサポート サイトから取得されます。そのため、システムの管理アドレスからインターネットへのパスが必要です。
または、インターネットから更新パッケージを取得して、ワークステーションからアップロードできます。この方法は、主に、シスコから更新を取得するためのインターネットへのパスがないエアギャップネットワークを対象としています。software.cisco.com のシステム ソフトウェア アップグレードをダウンロードするのと同じフォルダから更新をダウンロードします。
(注) |
2022 年 5 月、GeoDB が 2 つのパッケージに分割されました。IP アドレスを国/大陸にマッピングする国コードパッケージと、ルーティング可能な IP アドレスに関連付けられた追加のコンテキストデータを含む IP パッケージです。Device Manager は IP パッケージの情報を使用しません。また、これまでに使用したこともありません。この分割により、ローカルで管理されたThreat Defense 展開においてディスク容量が大幅に節約されます。シスコからご自身で GeoDB を入手する場合は、古いオールインワンパッケージと同じファイル名を持つ国コードパッケージ(Cisco_GEODB_Update-date-build)を入手してください。 |
またデータベースの更新を取得して適用するよう、定期的なスケジュールを設定することもできます。これらの更新はサイズが大きい場合があるため、ネットワーク アクティビティが少ない時間帯にスケジュールしてください。
(注) |
データベース更新が進行中の場合、ユーザー インターフェイスのアクションへの応答が遅くなる場合があります。 |
始める前に
保留中の変更に対して潜在的な影響を与えることを避けるため、これらのデータベースを手動で更新する前に、デバイスに設定を展開します。
VDB および URL カテゴリを更新すると、アプリケーションまたはカテゴリが削除される可能性があることに注意してください。変更を展開する前に、これらの廃止された項目を使用しているアクセス制御ルールまたは SSL 復号ルールを更新する必要があります。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、[更新(Updates)] のサマリーで [設定の表示(View Configuration)] をクリックします。 これによって、[更新(Updates)] ページが開きます。このページの情報には、各データベースの現在のバージョン、および各データベースの最終更新日時が表示されます。 |
||
ステップ 2 |
データベースを手動で更新するには、そのデータベースのセクションで次のいずれかのオプションをクリックします。
ルールおよび VDB の更新では、アクティブにするための設定の展開が必要です。クラウドから更新する場合、今すぐ展開するかどうかを尋ねられるので、[はい(Yes)] をクリックします。[いいえ(No)] をクリックする場合は、都合の良いときにできるだけ早く展開ジョブを開始してください。 独自のファイルをアップロードする場合は、必ず手動で変更を展開する必要があります。
|
||
ステップ 3 |
(オプション)定期的なデータベース更新スケジュールを設定するには、次の手順に従います。
|
Cisco Security Intelligence フィードの更新
Cisco Talos Intelligence Group(Talos)は、定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムによってフィードが更新される場合、再展開する必要はありません。後続の接続の評価には新しい一覧が使用されます。
システムがフィードをインターネットから更新するタイミングを厳密に制御したい場合は、そのフィードの自動更新を無効にできます。ただし、自動更新を行えば、最新の関連するデータであることが確実になります。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、[更新(Updates)] のサマリーで [設定の表示(View Configuration)] をクリックします。 これによって、[更新(Updates)] ページが開きます。ページには、[セキュリティインテリジェンスフィード(Security Intelligence Feeds)] の現在のバージョン、およびフィードの最終更新日時が表示されます。 |
ステップ 2 |
フィードを手動で更新するには、[セキュリティインテリジェンスフィード(Security Intelligence Feeds)] グループで [今すぐ更新(Update Now)] をクリックします。 ハイ アベイラビリティ グループ内の 1 台の装置のフィードを手動で更新する場合は、その他の装置のフィードも手動で更新して一貫性を確保する必要があります。 |
ステップ 3 |
(オプション)定期的な更新の頻度を設定するには: |
のアップグレードThreat Defense
この手順を使用して、スタンドアロンの Threat Defense デバイスをアップグレードします。FXOS を更新する必要がある場合は、それを最初に実行します。高可用性脅威防御をアップグレードするには、ハイアベイラビリティ Threat Defense のアップグレードを参照してください。
注意 |
アップグレード中にトラフィックがドロップされます。システムが非アクティブまたは無反応に見えても、アップグレード中は手動で再起動またはシャットダウンしないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。失敗した(または進行中)のメジャーおよびメンテナンスアップグレードを手動でキャンセルし、失敗したアップグレードを再試行できます。問題が解消されない場合は、Cisco TAC にお問い合わせください。 アップグレード中に発生する可能性のあるこれらの問題およびその他の問題の詳細については、Threat Defense のアップグレードのトラブルシューティングを参照してください。 |
始める前に
事前アップグレードのチェックリストを完了します。正常に展開され、通信が確立されていることを確認します。
ヒント |
アップグレード前のチェックリストには、計画(Cisco Secure Firewall Threat Defense リリースノート を読むことから開始)、バックアップの作成、アップグレードパッケージの取得、および関連するアップグレード(Firepower 4100/9300 の FXOS など)の実行が含まれます。また、必要な構成変更のチェック、準備状況のチェック、ディスク容量のチェック、実行中のタスクとスケジュールされたタスクの両方のチェックも含まれます。アップグレード手順の詳細については、アップグレード前のチェックリストを含め、お使いのバージョンの『Device Manager 用 Cisco Secure Firewall Threat Defense アップグレードガイド』を参照してください。 |
手順
ステップ 1 |
[デバイス(Device)] を選択し、[更新(Updates)] パネルの [設定の表示(View Configuration)] をクリックします。 |
ステップ 2 |
アップグレードパッケージをアップロードします。 アップロードできるパッケージは 1 つだけです。新しいパッケージをアップロードすると、古いパッケージが置き換えられます。ターゲットバージョンとデバイスモデルに適したパッケージがあることを確認してください。[参照(Browse)] または [ファイルの置き換え(Replace File)] をクリックしてアップロードを開始します。 アップロードが完了すると、確認ダイアログボックスが表示されます。[OK] をクリックする前に、必要に応じて [すぐにアップグレードを実行(Run Upgrade Immediately)] を選択して、ロールバックオプションを選択し、今すぐアップグレードします。今すぐアップグレードする場合は、アップグレード前のチェックリストをできるだけ多く完了することが特に重要です(次のステップを参照)。 |
ステップ 3 |
準備状況チェックを含む、アップグレード前の最終チェックを実行します。 アップグレード前のチェックリストを再確認します。関連するすべてのタスク、特に最終チェックを完了していることを確認してください。 準備状況チェックを手動で実行しない場合、アップグレードの開始時に実行されます。準備状況チェックに失敗すると、アップグレードはキャンセルされます。詳細については、アップグレード準備状況チェックの実行を参照してください。 |
ステップ 4 |
[今すぐアップグレード(Upgrade Now)] をクリックしてアップグレードを開始します。 |
ステップ 5 |
可能なときに再度ログインし、アップグレードが成功したことを確認します。 [デバイスの概要(Device Summary)] ページには、現在実行中のソフトウェアのバージョンが表示されます。 |
ステップ 6 |
アップグレード後のタスクを完了します。
|
アップグレード準備状況チェックの実行
アップグレードパッケージがインストールされる前に、準備状況チェックが実行されて、システムに有効なアップグレードであるか確認されます。また、他にもアップグレードの成功を妨げる可能性のある項目がないかチェックされます。準備状況チェックに失敗した場合は、インストールを再試行する前に問題を修正する必要があります。チェックに失敗した場合、次回インストールを試みると、チェック失敗についてのプロンプトが表示され、強制的にインストールを実行するオプションが与えられます。
次の手順の説明に従って、アップグレードを開始する前に手動で準備状況チェックを実行することもできます。
始める前に
チェックするアップグレードパッケージをアップロードします。
手順
ステップ 1 |
[デバイス(Device)] をクリックし、[更新サマリー(Updates summary)] の [設定の表示(View Configuration)] をクリックします。 [システムアップグレード(System Upgrade)] セクションには、現在実行中のソフトウェア バージョン、およびすでにアップロードされた更新が表示されます。 |
ステップ 2 |
[Readiness Check] セクションを確認します。
|
ステップ 3 |
準備状況チェックに失敗した場合は、アップグレードパッケージをインストールする前に問題を解決する必要があります。詳細情報には、指摘された問題の修正方法に関するヘルプが含まれています。失敗したスクリプトについては、[Show Recovery Message] リンクをクリックすると情報が表示されます。 一般的な問題のいくつかを以下に示します。
|
アップグレードのモニタリング Threat Defense
Threat Defense のアップグレードを開始すると、自動的にログオフされ、アップグレードの進捗を監視できるステータスページに移動します。また、このページには、進行中のインストールをキャンセルするオプションが含まれています。自動ロールバックを無効にしてアップグレードが失敗した場合は、このページから、アップグレードを手動でキャンセルするか、再試行できます。
デバイスに SSH で接続し、CLI(show upgrade status )を使用することもできます。ログエントリが生成されたときにそれらを表示するには continuous キーワードを追加します。また、詳細情報を表示するには detail キーワードを追加します。両方のキーワードを追加して、継続的な詳細情報を取得します
アップグレードが完了した後は、デバイスがリブートすると、ステータスページと CLI にアクセスできなくなります。
Threat Defense のアップグレードのキャンセルまたは再試行
アップグレードステータスのページまたは CLI を使用して、失敗した(または進行中)のメジャーおよびメンテナンスアップグレードを手動でキャンセルし、失敗したアップグレードを再試行することができます。
-
アップグレードステータスのページ:進行中のアップグレードをキャンセルするには、[アップグレードのキャンセル(Cancel Upgrade)] をクリックします。アップグレードが失敗した場合は、[アップグレードのキャンセル(Cancel Upgrade)] をクリックしてジョブを停止し、アップグレード前のデバイスの状態に戻すことができます。また、[続行(Continue)] をクリックしてアップグレードを再試行することができます。
-
CLI:進行中のアップグレードをキャンセルするには、upgrade cancel を使用します。アップグレードが失敗した場合は、upgrade cancel を使用してジョブを停止し、アップグレード前のデバイスの状態に戻すことができます。また、upgrade retry を使用してアップグレードを再試行することができます。
(注) |
デフォルトでは、Threat Defense はアップグレードが失敗すると自動的にアップグレード前の状態に復元されます(「自動キャンセル」)。失敗したアップグレードを手動でキャンセルまたは再試行できるようにするには、アップグレードを開始するときに自動キャンセルオプションを無効にします。高可用性の展開では、自動キャンセルは各デバイスに個別に適用されます。つまり、1 つのデバイスでアップグレードが失敗した場合、そのデバイスだけが元に戻ります。 |
これらのオプションは、パッチではサポートされていません。正常なアップグレードを元に戻す方法については、Threat Defense の復元を参照してください。
Threat Defense の復元
メジャーアップグレードまたはメンテナンスアップグレードに成功したにもかかわらず、システムが期待どおりに機能しない場合は、復元が可能です。Threat Defense を復元すると、ソフトウェアは、最後のメジャーアップグレードまたはメンテナンスアップグレードの直前の状態に戻ります。アップグレード後の設定変更は保持されません。パッチ適用後に復元すると、パッチも必然的に削除されます。個々のパッチまたはホットフィックスを元に戻すことはできないので注意してください。
次の手順では、Device Manager から復元する方法について説明します。Device Manager にアクセスできない場合は、 upgrade revert コマンドを使用して SSH セッションの Threat Defense コマンドラインから復元できます。show upgrade revert-info コマンドを使用すると、システムがどのバージョンに戻るのかを確認できます。
始める前に
ユニットがハイアベイラビリティペアの一部である場合は、両方のユニットを元に戻す必要があります。理想的には、フェールオーバーの問題なしに設定を復元できるように、両方のユニットで復元を同時に開始します。両方のユニットでセッションを開き、それぞれで復元が可能であることを確認してから、プロセスを開始します。復元時にトラフィックが中断されることに注意してください。そのため、可能であれば、これを業務時間外に実行してください。
Firepower 4100/9300 シャーシの場合、Firepower のメジャーバージョンには特別に認定および推奨されている付随の Threat Defense バージョンがあります。これは、Threat Defense ソフトウェアを復元した後に、推奨されていない(新しすぎる)バージョンの FXOS を実行している可能性があることを意味します。新しいバージョンの FXOS は旧バージョンの Threat Defense と下位互換性がありますが、シスコでは推奨の組み合わせについて拡張テストを実施しています。FXOS をダウングレードすることはできないため、このような状況下で推奨の組み合わせを稼働するには、デバイスの再イメージ化が必要になります。
手順
ステップ 1 |
[Device] を選択し、次に [Updates summary] の [View Configuration] をクリックします。 |
ステップ 2 |
[System Upgrade] セクションで、[Revert Upgrade] リンクをクリックします。 現在のバージョンと復元されるバージョンを示す確認ダイアログボックスが表示されます。復元できるバージョンがない場合、[Revert Upgrade] リンクは表示されません。 |
ステップ 3 |
ターゲットバージョンが許容できるバージョンである場合(かつ使用可能な場合)、[Revert] をクリックします。 復元後、デバイスを Smart Software Manager に再登録する必要があります。 |
Threat Defense のアップグレードのトラブルシューティング
以下の問題は、スタンドアロンまたはハイアベイラビリティペアのデバイスをアップグレードするときに発生する可能性があります。ハイアベイラビリティのアップグレードに固有の問題をトラブルシューティングするには、ハイアベイラビリティ Threat Defense のアップグレードのトラブルシューティングを参照してください。
- アップグレードパッケージのエラー。
-
適切なアップグレードパッケージを見つけるには、使用しているモデルを シスコ サポートおよびダウンロード サイト で選択または検索し、適切なバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、ソフトウェアバージョン、およびビルドが反映されています。
バージョン 6.2.1 以降のアップグレードパッケージは署名されており、ファイル名の最後は .sh.REL.tar です。署名付きのアップグレード パッケージは解凍しないでください。 アップグレードパッケージの名前を変更したり、電子メールで転送したりしないでください。
- アップグレード中にデバイスにまったく到達できない。
-
デバイスは、アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止します。アップグレードする前に、ユーザーの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。
- アップグレード中にデバイスが非アクティブまたは無反応に見える。
-
進行中のメジャーおよびメンテナンスアップグレードは手動でキャンセルできます。Threat Defense のアップグレードのキャンセルまたは再試行を参照してください。デバイスが応答しない場合、またはアップグレードをキャンセルできない場合は、Cisco TAC にお問い合わせください。
- アップグレードは成功したが、システムが予期どおりに機能しない。
-
まず、キャッシュされた情報が更新されていることを確認します。単にブラウザウィンドウを更新して再度ログインするのではなく、URL から「余分な」パスを削除し、ホームページに再接続します(たとえば、http://threat-defense.example.com/)。
- アップグレードが失敗する。
-
メジャーアップグレードまたはメンテナンスアップグレードを開始する場合は、[アップグレードに失敗すると自動的にキャンセルされる...(Automatically cancel on upgrade failure...)] (自動キャンセル)オプションを使用して、次のように、アップグレードが失敗した場合の動作を選択します。
-
[自動キャンセルが有効(Auto-cancel enabled)](デフォルト):アップグレードが失敗すると、アップグレードがキャンセルされ、デバイスは自動的にアップグレード前の状態に復元されます。問題を修正し、後で再試行してください。
-
[自動キャンセルが無効(Auto-cancel disabled)]:アップグレードが失敗した場合、デバイスはそのままになります。問題を修正してすぐに再試行するか、手動でアップグレードをキャンセルして後で再試行してください。
詳細については、Threat Defense のアップグレードのキャンセルまたは再試行を参照してください。再試行またはキャンセルできない場合、または問題が解消されない場合は、Cisco TAC にお問い合わせください。
-
デバイスの再イメージ化
デバイスを再イメージ化すると、デバイス設定が消去され、新しいソフトウェア イメージがインストールされます。再イメージ化の目的は、工場出荷時のデフォルト設定でクリーン インストールすることです。
次の場合に、デバイスを再イメージ化します。
-
ASA ソフトウェアから Threat Defense ソフトウェアにシステムを変換する場合。ASA イメージを実行しているデバイスを Threat Defense イメージを実行しているデバイスにアップグレードすることはできません。
-
デバイスが正しく機能せず、設定の修正ですべての試行が失敗した場合。
デバイスの再イメージ化の詳細については、ご使用のデバイスモデルの『Reimage the Cisco ASA or Threat Defense Device』または Threat Defense のクイックスタートガイドを参照してください。これらのガイドは、http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html で入手できます。