ファイル ポリシーと高度なマルウェア防御について
マルウェアを検出してブロックするには、ファイル ポリシーを使用します。また、ファイル ポリシーを使用して、ファイル タイプごとにトラフィックを検出および制御することもできます。
Firepower の高度なマルウェア防御(AMP)は、ネットワーク トラフィックでのマルウェアの伝送を検出、キャプチャ、追跡、分析、ロギング、および必要に応じてブロックできます。Firepower Management Center Web インターフェイスでは、この機能は ネットワーク向け AMP と呼ばれ、以前は AMP for Firepower とも呼ばれていました。高度なマルウェア防御は、シスコ クラウドからインラインおよび脅威データを展開した管理対象デバイスを使用してマルウェアを特定します。
すべてのアクセス コントロール設定に含まれるネットワーク トラフィックを処理するアクセス コントロール ルールとファイル ポリシーを関連付けます。
システムがネットワーク上のマルウェアを検出すると、ファイルおよびマルウェア イベントを生成します。ファイルおよびマルウェア イベント データを分析するには、ファイル/マルウェア イベントとネットワーク ファイル トラジェクトリを参照してください。
ファイル ポリシー
ファイル ポリシーは、いくつかの設定からなるセットです。システムは全体的なアクセス コントロール設定の一部としてこれを使用して、マルウェア防御とファイル制御を実行できます。この関連付けにより、アクセス コントロール ルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。次の図のような、インライン展開での単純なアクセス コントロール ポリシーがあるとします。
このポリシーには 2 つのアクセス コントロール ルールがあり、両方とも許可アクションを使用し、ファイル ポリシーに関連付けられています。このポリシーのデフォルト アクションもまた「トラフィックの許可」ですが、ファイル ポリシー インスペクションはありません。このシナリオでは、トラフィックは次のように処理されます。
-
ルール 1
に一致するトラフィックはファイル ポリシー A
で検査されます。 -
ルール 1
に一致しないトラフィックはルール 2
に照らして評価されます。ルール 2
に一致するトラフィックはファイル ポリシー B
で検査されます。 -
どちらのルールにも一致しないトラフィックは許可されます。デフォルト アクションにファイル ポリシーを関連付けることはできません。
1 つのファイル ポリシーを、[許可(Allow)]、[インタラクティブ ブロック(Interactive Block)]、または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] アクションを含むアクセス コントロール ルールに関連付けることができます。その後、システムはそのファイル ポリシーを使用して、アクセス コントロール ルールの条件を満たすネットワーク トラフィックを検査します。
異なるファイル ポリシーを個々のアクセス コントロール ルールに関連付けることにより、ネットワークで伝送されるファイルを識別/ブロックする方法をきめ細かく制御できます。