SOURCEFIRE 3D SYSTEM リ リ ース ノ ー ト バージ ョ ン 5.3 初版 : 2014 年 4 月 21 日 最終更新日 : 2015 年 3 月 18 日 こ の リ リ ース ノ ー ト は、 Sourcefire 3D System のバージ ョ ン 5.3 に適用 さ れま す。 更新プ ロ セ スに精通 し てい る場合 も 、 こ れ ら の リ リ ース ノ ー ト を精読 し 、 内容を理解する よ う に し て く だ さ い。 リ リ ース ノ ー ト ではサポー ト さ れてい る プ ラ ッ ト フ ォ ーム、 新機能および変更 さ れた機能、 既知の問題 と 解決済みの問 題、 製品 と Web ブ ラ ウザの互換性について説明 さ れています。 また、 次のア プ ラ イ ア ン スの前提条件、 警告、 および特定のイ ン ス ト ールの手順の詳細 も含まれ ています。 • シ リ ーズ 2 お よび シ リ ーズ 3 防御セ ン タ ー (DC500 Rev. 1 および 2、 DC750、 DC1000、 DC1500、 DC3000 および DC3500) • シ リ ーズ 2 お よびシ リ ーズ 3 管理対象デバイ ス (3D500、 3D1000、 3D2000、 3D2100、 3D2500、 3D3500、 3D4500、 3D6500、 7000 Series、 8000 Series、 3D9900、 AMP7150 お よび AMP8150) • Sourcefire Software for X-Series • 64 ビ ッ ト 仮想防御セ ン タ ーお よび管理対象デバイ ス ヒ ン ト Sourcefire 3D System の詳細については、 オ ン ラ イ ン ヘルプ を参照する か、 サポー ト サイ ト か ら 『Sourcefire 3D System User Guide』 を ダウ ン ロー ド し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 1 新機能 と 更新 さ れた機能 バージ ョ ン 4.10.3.x か ら バージ ョ ン 5.3 へは直接更新で き ませんが、バージ ョ ン 4.10.3.x (パ ッ チ 4.10.3.5 以降) か らバージ ョ ン 5.2.0.x への限定的な移行を実 行 し 、 その後に移行 さ れた展開をバージ ョ ン 5.3 に更新で き ます。 移行に関する 詳細については、 『Sourcefire 3D System Migration Guide』 を参照 し て く だ さ い。 X-Series ア プ ラ イ ア ン スに Sourcefire Software for X-Series のバージ ョ ン 5.3 を イ ン ス ト ールする には、 以前のバージ ョ ン を ア ン イ ン ス ト ール し 、 既存の Sourcefire ソ フ ト ウ ェ ア パ ッ ケージ を削除する必要があ り ます。 更新情報につ いては、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 Sourcefire 3D System のバージ ョ ン 5.2.0.4 以上を実行 し てい る他のア プ ラ イ ア ン ス をすべてバージ ョ ン 5.3 に更新する には、 「ア プ ラ イ ア ン スの更新」 (P.16) に概説 さ れている手順を参照 し て く だ さ い。 重要 最新の拡張機能 と セキ ュ リ テ ィ 修正を利用する には、 最新のパ ッ チに更 新する必要があ り ます。 詳細については、 そのバージ ョ ンの 『Sourcefire 3D System リ リ ース ・ ノ ー ト 』 を参照 し て く だ さ い。 バージ ョ ン 5.3 の更新の詳細については、 次の各項を参照 し て く だ さ い。 • 「新機能 と 更新 さ れた機能」 (P.2) • 「Sourcefire ド キ ュ メ ン ト の更新」 (P.11) • 「は じ めに : 重要な更新 と 互換性に関する注意事項」 (P.12) • 「製品互換性」 (P.15) • 「ア プ ラ イ ア ン スの更新」 (P.16) • 「バージ ョ ン 5.3 で解決 さ れた問題」 (P.28) • 「既知の問題」 (P.31) • 「サポー ト 」 (P.37) 新機能 と 更新 さ れた機能 リ リ ース ノ ー ト の こ のセ ク シ ョ ン では、 Sourcefire 3D System のバージ ョ ン 5.3 に含まれる新機能および更新 さ れた機能を ま と めています。 バージ ョ ン 5.3 • 「高度なマルウ ェ ア保護機能」 (P.3) • 「次世代侵入防御 (NGIPS) 機能」 (P.5) • 「次世代 フ ァ イ アウ ォ ール (NGFW) の機能」 (P.7) • 「FirePOWER ア プ ラ イ ア ン ス機能」 (P.7) • 「プ ラ ッ ト フ ォ ーム サポー ト 機能」 (P.9) • 「変更 さ れた機能」 (P.9) Sourcefire 3D System リ リ ース ・ ノ ー ト 2 新機能 と 更新 さ れた機能 詳細については、 『Sourcefire 3D System User Guide』、 『Installation Guide』、 『Virtual Installation Guide』、 および 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 高度なマルウ ェ ア保護機能 フ ァ イルのキ ャ プ チ ャ と 保存 ラ イ セ ン ス : マルウ ェ ア サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 フ ァ イル キ ャ プ チ ャ機能は フ ァ イル タ イ プ ま たは フ ァ イル配置に基づいて、 ネ ッ ト ワー ク ト ラ フ ィ ッ クか ら 目的の フ ァ イルを自動的に分割する機能を提供 し ます。 一度キ ャ プ チ ャ さ れる と 、 フ ァ イルはロー カルで FirePOWER ア プ ラ イ ア ン スに保存 さ れるか、 Sourcefire のク ラ ウ ド ベースのサン ド ボ ッ ク ス テ ク ノ ロ ジーであ る動態分析を使用 し た、 追加のマルウ ェ ア分析のために自動的に送信 で き ます。 フ ァ イル キ ャ プ チ ャは フ ァ イル ポ リ シーの一部 と し て設定 さ れます。 フ ァ イル を一意に識別 し 、 フ ァ イル ス ト レージ での重複を減 ら すために、 フ ァ イルご と に SHA-256 が計算 さ れています。 キ ャ プ チ ャ さ れた フ ァ イルは FirePOWER ア プ ラ イ ア ン スのプ ラ イ マ リ ハー ド ド ラ イ ブに保存 さ れます。 キ ャ プ チ ャ さ れた フ ァ イルは動態分析のために手動で送信するか、 または、 イ ベ ン ト テーブル ビ ュ ー、 ネ ッ ト ワー ク フ ァ イルの File Trajectory 機能、 お よび キ ャ プ チ ャ フ ァ イルのテーブル ビ ュ ーを使 っ て FirePOWER ア プ ラ イ ア ン スか ら ダウ ン ロー ド で き ます。 動態分析、 脅威ス コ ア、 および要約レポー ト ラ イ セ ン ス : マルウ ェ ア サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 バージ ョ ン 5.3 では、 ク ラ ウ ド ベースのテ ク ノ ロ ジーを使用する こ と に よ り 、 ネ ッ ト ワー クの新 し いゼロデ イの悪意のあ る動作を迅速に特定する機能を最大化 する、 動態分析が導入 さ れています。 こ の機能を設定 し た場合、 未知の場所にあ る以前には検知で き なか っ た フ ァ イルを Sourcefire ク ラ ウ ド に送信 し 、 フ ァ イ ルの動作を掘 り 下げて分析する こ と がで き ます。 その動作に基づいて脅威ス コ ア が判定 さ れ、 防御セ ン タ ーに通知 さ れます。 脅威ス コ アが高いほど、 フ ァ イルが 悪意のあ る ものであ る可能性が高 く 、 脅威ス コ アのレ ベルに基づいて対応策を実 行で き ます。 Sourcefire はまた、 分析に関する詳細 と 、 なぜ脅威ス コ アが フ ァ イルに割 り 当て ら れたかを示す、 関連する動態分析要約レ ポー ト も提供 し ます。 こ の追加情報は マルウ ェ アの識別 と 検出機能の調整に役立ち ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 3 新機能 と 更新 さ れた機能 自動的に フ ァ イルをキ ャ プ チ ャ し 、 動態分析のために送信する よ う にシ ス テムを 設定する こ と も 、 分析のために フ ァ イルを オ ンデマ ン ド で送信する こ と も で き ま す。 フ ァ イル キ ャ プ チ ャ 機能の詳細については、 「 フ ァ イルのキ ャ プ チ ャ と 保 存」 (P.3) を参照 し て く だ さ い。 カ ス タ ム検出 ラ イ セ ン ス : マルウ ェ ア サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 カ ス タ ム フ ァ イル検出は、 Sourcefire がフ ァ イルを悪意があ る と 識別 し なか っ た場合で も、 ネ ッ ト ワー ク を移動する任意の フ ァ イルを識別 し 、 ブ ロ ッ ク する た めに使用で き ます。 こ れ らの探索の実行には ク ラ ウ ド 接続を必要 と し ないため、 カ ス タ ム フ ァ イル検出は任意の種類のプ ラ イ ベー ト な イ ン テ リ ジ ェ ン ス デー タ に対 し て使用する場合に最適です。 悪意のあ る フ ァ イルを特定 し た場合、 その フ ァ イル固有の SHA-256 値を カ ス タ ム フ ァ イル検出 リ ス ト に追加する こ と で、 自動的にその フ ァ イルを ブ ロ ッ ク で き ます。 カ ス タ ム検出 リ ス ト を ク リ ーン リ ス ト (特定の フ ァ イルを ク リ ーン で あ る と マー ク で き る) と 組み合わせて使用で き ます。 カ ス タ ム フ ァ イル検出 リ ス ト と ク リ ーン リ ス ト を併用する こ と で、 ユーザ個々 の環境に対する マルウ ェ ア保護対策を カ ス タ マ イ ズで き ます。 カ ス タ ム フ ァ イ ル検出 リ ス ト と ク リ ーン リ ス ト は、 各 フ ァ イル ポ リ シーにデ フ ォ ル ト で含まれ てお り 、 ポ リ シーご と にいずれかの リ ス ト 、 ま たは両方の リ ス ト を使用 し ない こ と を選択で き ます。 Spero エ ン ジ ン ラ イ セ ン ス : マルウ ェ ア サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 Spero エ ン ジ ン機能はビ ッ グ デー タ を使用 し て、 実行可能 フ ァ イル内の疑わ し いマルウ ェ アや潜在的な新 し いマルウ ェ ア を検出する ための、 新たな ク ラ ウ ド ベースの方法を提供 し ます。 Spero は実行可能 フ ァ イルの構造情報、 参照 さ れる ダ イ ナ ミ ッ ク リ ン ク ラ イ ブ ラ リ (DLL)、 および移植可能な実行可能フ ァ イル (PE) ヘ ッ ダーの メ タ デー タ に基づ き、 実行可能 フ ァ イルのシグニチ ャ を作成 し ます。 その後に、 こ の機能はマ シ ンが取得 し たデー タ ツ リ ーを分析 し 、 フ ァ イ ルにマルウ ェ アが含まれているかど う かを判定 し ます。 Spero 分析結果は フ ァ イ ルの配置 と 共に考慮 さ れ、 実行可能 フ ァ イルの最終的な配置を生成 し ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 4 新機能 と 更新 さ れた機能 SMB フ ァ イルの検出 ラ イ セ ン ス : 保護 サポー ト さ れるデバイ ス : 機能に依存 サポー ト さ れる防御セ ン タ ー : 機能に依存 バージ ョ ン 5.3 では、 サーバ メ ッ セージ ブ ロ ッ ク (SMB) 経由で転送 さ れた フ ァ イルを含む、 NetBIOS-ssn (NetBIOS Send-Sequence-Number) ト ラ フ ィ ッ ク で転送 さ れる フ ァ イルを検出、 検査、 ブ ロ ッ ク で き る よ う にな り ま し た。 AMP ク ラ ウ ド 接続 ラ イ セ ン ス : マルウ ェ ア、 URL フ ィ ル タ リ ン グ サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 バージ ョ ン 5.3 以前は、 Sourcefire ク ラ ウ ド に接続する には TCP ポー ト 32137 およ び防御セ ン タ ーか ら ク ラ ウ ド への直接接続 を 使用 し な ければな り ません で し た。 バージ ョ ン 5.3 では、 マルウ ェ アの検出 と 動態分析を行 う ための Sourcefire ク ラ ウ ド への接続に、 プ ロキシのサポー ト が導入 さ れま し た。 以前は、 TCP ポー ト 32137 を使用 し なければな り ませんで し たが、 現在ではデ フ ォ ル ト で TCP ポー ト 443 を介 し て接続 さ れる ため、 よ り 多 く の組織が接続 し て Sourcefire の高度 な マルウ ェ ア イ ン テ リ ジ ェ ン ス を利用で き る よ う にな っ ています。 ポー ト 32137 の使用はま だサポー ト さ れて い ま すが、 も う デ フ ォ ル ト 設定ではあ り ま せん。 以前のバージ ョ ンの Sourcefire 3D System か ら バージ ョ ン 5.3 に更新する と 、 レ ガシー ポー ト 32137 の使用はデ フ ォ ル ト で有効にな っ ている こ と に注意 し て く だ さ い。 更新後にポー ト 443 を介 し て接続する場合は、 [Cloud Services] ペー ジ ([System] > [Local] > [Configuration] > [Cloud Services]) のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 次世代侵入防御 (NGIPS) 機能 ホス ト と イ ベン ト の相関 IOC 形式 (セキ ュ リ テ ィ 侵害の表示) ラ イ セ ン ス : FireSIGHT + 保護 または FireAMP サブ ス ク リ プ シ ョ ン サポー ト さ れるデバイ ス : 機能に依存 サポー ト さ れる防御セ ン タ ー : 機能に依存 ホス ト と イ ベン ト を相関 さ せる こ と に よ り 、 攻撃に よ っ てセキ ュ リ テ ィ が侵害 さ れた可能性のあ る ネ ッ ト ワー クのホス ト を特定する こ と がで き る よ う にな り ま す。 ホス ト と イ ベ ン ト の相関は、 侵入イ ベン ト 、 接続イ ベ ン ト 、 セキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス イ ベン ト 、 および FireAMP イ ベン ト か ら のデー タ を集計する こ と に よ り 、 ネ ッ ト ワー ク のセキ ュ リ テ ィ 違反 を 迅速に診断 し 、 こ れ を 阻止 し ま す。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 5 新機能 と 更新 さ れた機能 こ の機能は、 シ ス テムが特定の種類のセキ ュ リ テ ィ 侵害に対 し て侵害の痕跡 (IOC) イ ベ ン ト を生成するかど う か、 そ し てそれ らのイ ベ ン ト を当該ホス ト と 相関 さ せるかど う かをユーザが制御で き る、 Sourcefire 提供の IOC ルールを導 入 し ます。 イ ベン ト 生成時に、 シ ス テムはその IOC イ ベン ト の影響を受け る ホ ス ト に IOC タ グ を設定 し ます。 固有の検出 ソ ースか ら 最 も 多 く の IOC イ ベン ト を関連付け られたホス ト は、 セキ ュ リ テ ィ 侵害の可能性が一番高いホス ト です。 違反が解決 さ れる と 、 IOC タ グは削除 さ れます。 IOC イ ベ ン ト お よびホス ト の タ グはホス ト プ ロ フ ァ イル、 ネ ッ ト ワー ク マ ッ プ、 コ ン テキス ト エ ク ス プ ロー ラ 、 ダ ッ シ ュ ボー ド 、 お よび イ ベ ン ト ビ ュ ーア で表示で き ます。 拡張セキ ュ リ テ ィ イ ン テ リ ジ ェ ン スのイ ベン ト ス ト レージおよび ビ ュー ラ イ セ ン ス : 保護 サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 シ ス テムがセキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス デー タ に基づ き ト ラ フ ィ ッ ク を ブ ラ ッ ク リ ス ト に登録する、 またはブ ラ ッ ク リ ス ト に登録 さ れた ト ラ フ ィ ッ ク を監 視する よ う に設定 さ れている場合、 ダ ッ シ ュ ボー ド と コ ン テキス ト エ ク ス プ ロー ラ でセキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス イ ベン ト を表示で き る よ う にな り ま し た。 セキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス イ ベン ト は、 接続イ ベン ト と 似ています が、 別々に保存、 切 り 分け ら れ、 独自のイ ベ ン ト ビ ュ ー、 ワー ク フ ロー、 カ ス タ ム分析ダ ッ シ ュ ボー ド ウ ィ ジ ェ ッ ト のプ リ セ ッ ト を持 っ ています。 簡素化 さ れた侵入ポ リ シーの変数管理 ラ イ セ ン ス : 保護 サポー ト さ れるデバイ ス : 任意 サポー ト さ れる防御セ ン タ ー : 任意 変数セ ッ ト の追加はオブ ジ ェ ク ト マネージ ャ での変数管理を簡素化 し 、 一元化 し ます。 カ ス タ ム変数セ ッ ト を作成 し 、 ネ ッ ト ワー ク環境に合わせてデ フ ォ ル ト の変数セ ッ ト を カ ス タ マ イ ズ し ます。 デ フ ォル ト の変数セ ッ ト は、 Sourcefire の 提供するデ フ ォ ル ト 変数 と ユーザが作成 し た カ ス タ ム変数の両方を含むマス タ ー キー と し て機能 し 、 カ ス タ ム変数セ ッ ト を自動入力する ために使用で き ます。 こ のセ ッ ト の変数を カ ス タ マ イ ズする と 、 その変数を含む他のすべての変数セ ッ ト に変更が伝播 さ れます。 バージ ョ ン 5.2 か ら バージ ョ ン 5.3 への更新では既存の変数が変数セ ッ ト に自動 的に移行 し ます。 シ ス テム レ ベルの既存の変数はデ フ ォ ル ト 変数セ ッ ト 内で カ ス タ ム変数にな り ます。 侵入ポ リ シー レ ベルで設定 さ れた カ ス タ ム変数は、 侵 入ポ リ シーに よ り 新 し い カ ス タ ム変数セ ッ ト にグループ化 さ れます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 6 新機能 と 更新 さ れた機能 次世代フ ァ イ アウ ォ ール (NGFW) の機能 ジオ ロ ケーシ ョ ン と ア ク セス制御 ラ イ セ ン ス : FireSIGHT サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想 サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 バージ ョ ン 5.3 では、 ア ク セス制御ポ リ シー内の送信元または宛先の国ご と に ト ラ フ ィ ッ ク を フ ィ ル タ する機能が導入 さ れています。 ジオ ロ ケーシ ョ ン フ ィ ル タ を使用する には、 個々の国を指定するか、 ま たはア ク セス制御ポ リ シー ルー ルで ジオ ロ ケーシ ョ ン オブ ジ ェ ク ト を参照 し ます。 ジオ ロ ケーシ ョ ン オブ ジ ェ ク ト はオブ ジ ェ ク ト マネージ ャ で設定 さ れ、 シ ス テ ムが監視対象ネ ッ ト ワー クの ト ラ フ ィ ッ ク で識別 し た 1 つ以上の国を表 し ます。 国のカ ス タ ム グループ を保存 し 、 構成する ジオ ロ ケーシ ョ ン オブ ジ ェ ク ト を作 成 し ます。 URL フ ィ ル タ リ ング ラ イ セ ン スの変更 ラ イ セ ン ス : 保護 + URL フ ィ ル タ リ ン グ サポー ト さ れるデバイ ス : シ リ ーズ 3、 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : DC500 を除 く 全種 Sourcefire では URL フ ィ ル タ リ ン グ を有効にする制御ラ イ セ ン スが不要にな り ま し た。 保護 ラ イ セ ン スのみが必要です。 URL フ ィ ル タ リ ン グ ラ イ セ ン ス を初 めて追加する と 、 防御セ ン タ ーは URL フ ィ ル タ リ ン グおよび自動更新を自動的 に有効に し ます。 FirePOWER ア プ ラ イ ア ン ス機能 シ リ ーズ 3 FirePOWER ア プ ラ イ ア ン スの 8300 フ ァ ミ リ サポー ト さ れるデバイ ス : 3D8350、 3D8360、 3D8370、 3D8390 バージ ョ ン 5.3 には シ リ ーズ 3 FirePOWER 管理対象デバイ スの強力な 8300 フ ァ ミ リ が導入 さ れています。 8300 フ ァ ミ リ は既存の シ リ ーズ 3 8000 Series の管理対象デバイ スのス タ ッ キン グ、 ク ラ ス タ リ ン グ、 既存のすべての NetMod、 お よびその他のすべての機能をサポー ト し ています。 さ ら に、 3D8350 では 15Gbps、 3D8360 では 30Gbps、 3D8370 では 45Gbps、 3D8390 では 60Gbps の、 よ り 速い接続ス ピー ド を実現する機能強化が行われています。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 7 新機能 と 更新 さ れた機能 専用の AMP ア プ ラ イ ア ン ス サポー ト さ れるデバイ ス : AMP7150 および AMP8150 また、 バージ ョ ン 5.3 は、 Sourcefire の AMP 機能のパフ ォ ーマ ン ス を最大化す る追加処理能力を備え て設計 さ れた 2 つの新 し い シ リ ーズ 3 FirePower 管理対 象デバイ ス も取 り 入れ られています。 AMP7150 は 32GB の RAM と 120GB の ハー ド ド ラ イ ブ を備え、 Small Form-Factor Pluggable (SFP) ト ラ ン シーバをサ ポー ト する 71xx フ ァ ミ リ のデバイ ス です。 AMP8150 は 96GB の RAM、 2 つの CPU、 24 の コ ア、 および 400 GB のハー ド ド ラ イ ブ を搭載 し た 81xx フ ァ ミ リ のデバイ スです。 デ ィ ス ク マネージ ャの機能強化 ラ イ セ ン ス : 任意 サポー ト さ れるデバイ ス : シ リ ーズ 2、 シ リ ーズ 3、 X-Series サポー ト さ れる防御セ ン タ ー : シ リ ーズ 2、 シ リ ーズ 3 バージ ョ ン 5.3 では Sourcefire に よ り 、 すべてのア プ ラ イ ア ン スにおいてデ ィ ス ク 容量の管理 と フ ァ イル プルーニ ン グが改善 さ れま し た。 こ れ ら の機能強化は フ ァ イルのキ ャ プ チ ャ 機能をサポー ト し 、 全体的なパ フ ォ ーマ ン ス を向上 さ せま す。 詳細につい ては、 「 フ ァ イルのキ ャ プ チ ャ と 保存」 (P.3) を 参照 し て く だ さ い。 マルウ ェ ア ス ト レージ パ ッ ク サポー ト さ れるデバイ ス : 8000 Series Sourcefire では、 キ ャ プ チ ャ フ ァ イル用のロー カル ス ト レージ と 、 イ ベン ト お よび設定ス ト レ ージ用に メ イ ン ハー ド ド ラ イ ブ上の空き スペース を提供する、 Sourcefire 付属のセ カ ン ド ハー ド ド ラ イ ブ、 すなわち マルウ ェ ア ス ト レージ パ ッ ク の取 り 付けがサポー ト さ れる よ う にな り ま し た。 すべての 8000 Series 管 理対象デバイ スにマルウ ェ ア ス ト レージ パ ッ ク を追加で き ます (追加ス ト レー ジが付属 し て出荷 さ れる AMP8150 を除 く )。 マルウ ェ ア ス ト レージ パ ッ ク はス タ ッ ク型または ク ラ ス タ 型 8000 Series デバイ ス で も サポー ト さ れています (AMP8150 を除 く )。 マルウ ェ ア ス ト レ ージ パ ッ クが追加 さ れた場合、 互換性のあ る管理対象デバイ スは こ れを検出 し 、 既存の フ ァ イル キ ャ プ チ ャ を追加 さ れた ド ラ イ ブに自動転 送 し て、 メ イ ン ド ラ イ ブの容量を空けます。 詳細については、 「 フ ァ イルのキ ャ プ チ ャ と 保存」 (P.3) を参照 し て く だ さ い。 警告 サー ド パーテ ィ のハー ド ド ラ イ ブは取 り 付けないで く だ さ い。 サポー ト さ れていないハー ド ド ラ イ ブ を取 り 付け る と 、 デバイ スが破損する可能性があ り ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 8 新機能 と 更新 さ れた機能 プ ラ ッ ト フ ォ ーム サポー ト 機能 Sourcefire Software for X-Series サポー ト さ れるデバイ ス : X-Series バージ ョ ン 5.3 の Sourcefire 3D System は、 X-Series オペ レ ーテ ィ ン グ シ ス テ ム (XOS) バージ ョ ン 9.7.2 (以降) と バージ ョ ン 10.0 (以降) を実行する X-Series ア プ ラ イ ア ン ス でサポー ト さ れる よ う にな り ま し た。 以前のバージ ョ ン の XOS を使用 し ている場合は、 Blue Coat シ ス テム サポー ト にお問い合わせ く だ さ い。 X-Series の詳細については、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 仮想ア プ ラ イ ア ン スの初期設定の改善 ラ イ セ ン ス : 任意 サポー ト さ れるデバイ ス : 仮想、 X-Series サポー ト さ れる防御セ ン タ ー : 仮想 バージ ョ ン 5.3 では、 vSphere ハイパーバイザまたは vCloud Director を使用 し て、 vCloud のワー ク フ ローを離れる こ と な く 、 仮想デバイ スの初期設定を行 う こ と がで き ます。 初期設定時のデ フ ォル ト パスワー ド の変更やネ ッ ト ワーキン グの設定、 初期検出モー ド の設定、 管理元の防御セ ン タ ーの設定のために、 仮想 デバイ スの コ ン ソ ールに接続する必要がな く な り ま し た。 こ れ らの設定手順は、 vCloud 展開ワー ク フ ロー中にすべて実行で き ます。 ESXi を使用 し て展開する こ と も可能ですが、 それには VMware コ ン ソ ールで追加の設定が必要な こ と に注 意 し て く だ さ い。 変更 さ れた機能 次の リ ス ト で、 Sourcefire 3D System の既存の機能に対する変更点を説明 し ます。 • 実行時間の長い ク エ リ の検索 と 停止に、 シ ェ ル ベースの ク エ リ 管理ツール を使用で き る よ う にな り ま し た。 ク エ リ 管理ツールでは指定 し た分数よ り も 実行時間が長い ク エ リ を検索 し 、 それ ら の ク エ リ を停止する こ と がで き ます。 ユーザが ク エ リ を停止する と 、 こ のツールに よ り 監査ロ グ と syslog に イ ベン ト が記録 さ れます。 こ のツールにア ク セス で き るのは、 防御セ ン タ ーのシ ェ ル ア ク セス権限を 持つ管理ユーザだけであ る こ と に注意 し て く だ さ い。 詳細については、 防 御セ ン タ ーのシ ェ ルで query_manager -h を入力するか、 または 『Sourcefire 3D System User Guide』 の 「Stopping Long-Running Queries」 を参照 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 9 新機能 と 更新 さ れた機能 • Sourcefire は参照 さ れた接続の Web ア プ リ ケーシ ョ ン と し て Web サーバ に よ っ て参照 さ れる ト ラ フ ィ ッ ク を識別する よ う にな り ま し た。 た と え ば、 advertising.com で ア ク セス さ れたア ド バ タ イ ジ ン グが実際は CNN.com に よ っ て参照 さ れている場合、 Sourcefire は Web ア プ リ ケー シ ョ ン と し て CNN.com を識別 し ます。 • 次のいずれかのポー ト 条件を含むア ク セス制御ルールは設定で き な く な り ま し た。 IP 0、 IP-ENCAP 4、 IPv6 41、 IPv6-ROUTE 43、 IPv6-FRAG 44、 GRE 47、 または IPv6-OPTS 60。 以前のバージ ョ ンの Sourcefire 3D System か ら更新する と 、 ア ク セス制御 ポ リ シー ルール エデ ィ タ が警告を付けて無効な規則を マー ク し 、 オブ ジ ェ ク ト マネージ ャが無効なポー ト オブ ジ ェ ク ト の値を TCP に リ セ ッ ト し ます。 バージ ョ ン 5.3 • ス タ ッ ク または ク ラ ス タ を壊 し た場合、 デバイ スはプ ラ イ マ リ デバイ ス グループに留ま る よ う にな り ま し た。 バージ ョ ン 5.3 以前では、 シ ス テム は、 デバイ スがス タ ッ ク ま たは ク ラ ス タ に加入する前に属 し ていたグルー プにデバイ ス を戻 し ていま し た。 • NetFlow デー タ 収集 と ロ グ作成のパ フ ォ ーマ ン ス と 安定性が向上 し ま し た。 Sourcefire はまた、 NetFlow を有効に し たデバイ スに よ り エ ク スポー ト さ れた接続のために、 次の新 し い フ ィ ール ド を追加 し ま し た。 [NetFlow Destination/Source Autonomous System]、 [NetFlow Destination/Source Prefix]、 [NetFlow Destination/Source TOS]、 お よび [NetFlow SNMP Input/Output]。 • 認証オブ ジ ェ ク ト の作成に、 IPv6 ア ド レ ス を使用で き る よ う にな り ま し た。 シ ェ ル ア カ ウ ン ト の認証には IPv6 ア ド レ スに よ る認証オブ ジ ェ ク ト を使用で き ない こ と に注意 し て く だ さ い。 • IPv6 高速パス ルールを シ リ ーズ 3 管理対象デバイ スに作成する際に、 固 有のイ ニ シ エー タ IP ア ド レ ス と レ スポン ダ IP ア ド レ ス を指定で き る よ う にな り ま し た。 バージ ョ ン 5.3 以前では、 フ ィ ール ド は固定 さ れ、 [Any] に 設定 さ れていま し た。 • バージ ョ ン 5.3 を シ リ ーズ 3 管理対象デバイ スに新規に イ ン ス ト ールする 場合、 Automatic Application Bypass (AAB) 機能はデ フ ォ ル ト で有効に な っ ています。 以前のバージ ョ ンの Sourcefire 3D System か ら 更新 し た場 合は、 AAB の設定は影響を受けません。 単一パケ ッ ト の処理に事前設定 し た時間が経過 し た場合にだけ、 AAB が有効にな る こ と に注意 し て く だ さ い。 AAB が有効な場合、 影響を受ける Snort プ ロ セスはシ ス テムに よ り 強 制終了 さ れます。 • バージ ョ ン 5.3 への更新時に、 シ ス テムは現在適用 さ れている ア ク セス制 御ポ リ シー と 、 最大 10 個の保存 さ れているが適用 さ れていないア ク セス 制御ポ リ シーに対する リ ビ ジ ョ ン を、 変更を保ち なが ら 保存で き る よ う に な り ま し た。 Sourcefire 3D System リ リ ース ・ ノ ー ト 10 Sourcefire ド キ ュ メ ン ト の更新 • 複数のレ ポー ト 生成 タ ス ク を同時にスケジ ュ ール し た場合、 シ ス テムは タ ス ク を待ち行列に入れます。 それ ら は [Task Status] ページ ([System] > [Monitoring] > [Task Status]) で表示で き ます。 • ポン ド 記号 (#) を使用 し てセキ ュ リ テ ィ ゾーン オブ ジ ェ ク ト を指定する こ と はで き ません。 • 侵入ルール icode 引数範囲の最小値 と し て -1 を使用で き る よ う にな り ま し た。 最小値 と し て -1 を選択する と 、 範囲に ICMP コ ー ド 0 を含める こ と がで き ます。 • Cyrus SASL 認証に対する攻撃を検出する、 新規の SMTP プ リ プ ロ セ ッ サ ア ラ ー ト が追加 さ れま し た。 • タ イ プ 502 侵入イ ベ ン ト について、 フ ァ イル ポ リ シーの UUID メ タ デー タ が含まれる よ う にな り ま し た。 • フ ァ イル配置 [Neutral] は [Unknown] にな り ま し た。 [Unknown] 配置の フ ァ イルは、 ク ラ ウ ド が配置を割 り 当て る前にマルウ ェ アの ク ラ ウ ド 参照 が発生 し た こ と を示 し ます。 • 不正な認証ヘ ッ ダーを含むパケ ッ ト を識別する複数の新 し い Snort デ コ ー ダ ルールが追加 さ れま し た。 • 接続サマ リ ー テーブルの [Ingress Interface]、 [Ingress Security Zone]、 [Egress Interface]、 または [Egress Security Zone] フ ィ ール ド に基づ く カ ス タ ム分析ダ ッ シ ュ ボー ド ウ ィ ジ ェ ッ ト は設定で き な く な り ま し た。 • すでにシ ス テムに イ ン ス ト ール さ れているバージ ョ ンの Sourcefire 位置情 報デー タ ベース (GeoDB) を イ ン ス ト ール し よ う と する と 、 シ ス テムがア ラ ー ト を出すよ う にな り ま し た。 • [Application Protocol Category]、 [Client Category]、 および [Web Application Category] 条件 と の相関ルールを作成で き る よ う にな り ま し た。 • バージ ョ ン 5.3 では、 LDAP ユーザ名で大文字 と 小文字が区別 さ れます。 バージ ョ ン 5.3 よ り 前では、 ユーザ名の大文字 と 小文字の区別があ り ませ んで し た。 Sourcefire ド キ ュ メ ン ト の更新 バージ ョ ン 5.3 では、 新機能の追加 と 変更 さ れた機能を反映 し 、 報告 さ れてい る ド キ ュ メ ン ト の問題を取 り 上げる ために、 次の ド キ ュ メ ン ト が更新 さ れま し た。 バージ ョ ン 5.3 • Sourcefire 3D System User Guide • Sourcefire 3D System Online Help • Sourcefire 3D System Installation Guide • Sourcefire 3D System Virtual Installation Guide • Sourcefire Software for X-Series Installation and Configuration Guide • Sourcefire 3D System eStreamer Integration Guide Sourcefire 3D System リ リ ース ・ ノ ー ト 11 は じ めに : 重要な更新 と 互換性に関する注意事項 • Sourcefire 3D System Database Access Guide • Sourcefire 3D System Malware Storage Pack Guide • Sourcefire 8000 Series Devices Quick Start Guide さ ら に、 『Sourcefire 3D System User Agent Configuration Guide』 は、 バージ ョ ン 5.3 で リ リ ース さ れたエージ ェ ン ト のバージ ョ ン 2.2 向けに更新 さ れま し た。 更新 さ れた ド キ ュ メ ン ト はすべて Sourcefire サポー ト サイ ト か ら ダウ ン ロー ド で き ます。 は じ めに : 重要な更新 と 互換性に関する注意事項 バージ ョ ン 5.3 の更新プ ロ セス を開始する前に、 互換性の問題や更新前または更 新後に必要な設定変更、 および更新プ ロ セスの実行中または実行後のシ ス テムの 動作を よ く 理解 し てお く 必要があ り ます。 重要 設定に [Correlation Events] テーブルおよび [Applications] テーブル (共通 フ ィ ール ド と し て [Source IP] を選択) のデー タ が自動入力 さ れた カ ス タ ム テー ブルが含まれてい る場合、 バージ ョ ン 5.3 への更新は失敗 し ます。 設定に こ の タ イ プのカ ス タ ム テーブルが含まれる場合は、 カ ス タ ム テーブルを削除 し 、 バー ジ ョ ン 5.3 への更新が完了 し た後で テーブルを再作成 し ます。 警告 Sourcefire では、 更新は保守期間に、 または中断が展開に及ぼす影響が 最小の と き に実行する こ と を強 く 推奨 し ます。 詳細については、 次の項を参照 し て く だ さ い。 バージ ョ ン 5.3 • 「設定 と イ ベン ト のバ ッ ク ア ッ プのガ イ ド ラ イ ン」 (P.13) • 「更新中の ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク検査」 (P.13) • 「更新中の監査ロ グ」 (P.14) • 「以前のバージ ョ ンへの復帰」 (P.15) Sourcefire 3D System リ リ ース ・ ノ ー ト 12 は じ めに : 重要な更新 と 互換性に関する注意事項 設定 と イ ベン ト のバ ッ ク ア ッ プのガ イ ド ラ イ ン 更新を始める前に、 Sourcefire ではア プ ラ イ ア ン ス上に存在するバ ッ ク ア ッ プ フ ァ イルを削除または移動 し 、 現在のイ ベン ト および設定デー タ を外部ロ ケー シ ョ ン にバ ッ ク ア ッ プする こ と を強 く 推奨 し ます。 防御セ ン タ ーを使用 し て、 そのイ ベン ト デー タ と 設定デー タ 、 および管理対象 デバイ スのイ ベン ト デー タ と 設定デー タ をバ ッ ク ア ッ プ し ます。 バ ッ ク ア ッ プ お よび リ ス ト ア機能の詳細については、 『Sourcefire 3D System User Guide』 を 参照 し て く だ さ い。 重要 防御セ ン タ ーは以前の更新のバ ッ ク ア ッ プ を破棄 し ます。 保存 さ れた バ ッ ク ア ッ プ を保持する には、 そのバ ッ ク ア ッ プ を外部に保存 し ます。 更新中の ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク検査 更新プ ロ セスに よ り 、 管理対象デバイ スは再起動 し ます。 デバイ スの設定方法 と 展開方法に応 じ て、 次の機能に影響が及びます。 • ト ラ フ ィ ッ ク検査 (ア プ リ ケーシ ョ ンの認知 と 制御、 URL フ ィ ル タ リ ン グ、 セキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス、 侵入検出および防御、 接続のロギン グ を含む) • ト ラ フ ィ ッ ク フ ロー (ス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 VPN、 関連機 能を含む) • リ ン ク ス テー ト ク ラ ス タ デバイ ス を更新する際、 シ ス テムは ト ラ フ ィ ッ ク の中断を避ける ため に一度に 1 台のデバイ スの更新を実行する こ と に注意 し て く だ さ い。 ト ラ フ ィ ッ ク検査および リ ン ク ス テー ト イ ン ラ イ ン展開では、 管理対象デバイ ス (モデルに よ っ て異な る) がア プ リ ケー シ ョ ン制御、 ユーザ制御、 URL フ ィ ル タ リ ン グ、 セキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス、 侵入防御、 ス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 および VPN を介 し て ト ラ フ ィ ッ ク フ ローに影響を与え る こ と があ り ます。 パ ッ シ ブ展開では、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク フ ローに影響を与え る こ と な く 侵入検出を実行 し 、 デ ィ ス カバ リ デー タ を収集で き ます。 ア プ ラ イ ア ン スの機能の詳細については、 『Sourcefire 3D System Installation Guide』 を参照 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 13 は じ めに : 重要な更新 と 互換性に関する注意事項 次の表に、 ト ラ フ ィ ッ ク フ ロー、 ト ラ フ ィ ッ ク検査、 リ ン ク ス テー ト が、 展開 に応 じ て更新中にどのよ う な影響を受けるかの詳細を示 し ます。 イ ン ラ イ ン設定 方法に関係な く 、 ス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 お よび VPN は、 更新プ ロ セス中に実行 さ れない こ と に注意 し て く だ さ い。 . ネ ッ ト ワー ク ト ラ フ ィ ッ ク の中断 展開 ネ ッ ト ワー ク ト ラ フ ィ ッ ク が中断 さ れたか 設定可能なバイパス を持つ イ ン ラ イ ン ネ ッ ト ワー ク ト ラ フ ィ ッ クは、 更新時に 2 つの時点で中断 さ れます。 • 更新プ ロ セスの開始時に、 リ ン ク がダウ ン し てか ら復旧 (フ ラ ッ プ) し 、 ネ ッ ト ワー ク カ ー ド がハー ド ウ ェ ア バイパスに切 り 替わる間に ト ラ フ ィ ッ クが一時的に中断 さ れます。 ト ラ フ ィ ッ クは、 ハー ド ウ ェ ア バイパス では 検査 さ れません。 • 更新が終了する と 、 リ ン ク フ ラ ッ プ と ネ ッ ト ワー ク カ ー ド がバイパスか ら 切 り 替わる間に ト ラ フ ィ ッ クが も う 一度、 一時的に中断 さ れます。 エ ン ド ポ イ ン ト がセ ンサのイ ン タ ー フ ェ イ スに再接続 し 、 リ ン クが再確立 さ れた 後、 ト ラ フ ィ ッ クは再度検査 さ れます。 (イ ン ラ イ ン設定に 対 し て有効に さ れた 設定可能なバイパス オプ シ ョ ン) 重要 : 設定可能なバイパス オプ シ ョ ンは、 仮想デバイ ス、 8000 Series デバ イ スの非バイパス NetMods、 または 71xx フ ァ ミ リ デバイ スの SFP ト ラ ン シーバではサポー ト さ れていません。 インライン ネ ッ ト ワー ク ト ラ フ ィ ッ クは更新中常にブ ロ ッ ク さ れます。 パッ シブ ネ ッ ト ワーク ト ラ フ ィ ッ クは更新時に中断 さ れませんが、 検査も さ れません。 ス イ ッ チ ングおよびルーテ ィ ング 管理対象デバイ スは、 更新時にス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 VPN、 また は関連機能を実行 し ません。 ス イ ッ チ ン グ と ルーテ ィ ン グのみを実行する よ う に デバイ ス を設定 し た場合、 ネ ッ ト ワー ク ト ラ フ ィ ッ クは更新中常にブ ロ ッ ク さ れます。 更新中の監査ログ Web イ ン タ ー フ ェ イ ス を持つア プ ラ イ ア ン スの更新時には、 Sourcefire 3D System が更新前 タ ス ク を完了 し 、 簡素化 さ れた更新イ ン タ ー フ ェ イ スのページ が表示 さ れた後は、 更新プ ロ セスが完了 し て ア プ ラ イ ア ン スが再起動する ま で、 ロ グ イ ン試行が監査ロ グに反映 さ れません。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 14 は じ めに : 重要な更新 と 互換性に関する注意事項 製品互換性 バージ ョ ン 5.3 を実行するデバイ ス を管理する には、 防御セ ン タ ーのバージ ョ ン 5.3 以上を使用する必要があ り ます。 バージ ョ ン 5.3 を実行 し てい る防御セ ン タ ーは、 バージ ョ ン 5.2.0.4 以上を実行 し ている物理デバイ ス と 仮想デバイ スおよびバージ ョ ン 5.3 を管理で き ます。 Web ブ ラ ウザの互換性 Sourcefire 3D System 用の Web イ ン タ ー フ ェ イ スのバージ ョ ン 5.3 は、 次の表 に示すブ ラ ウザで テ ス ト 済みです。 Web ブ ラ ウザの互換性 ブ ラ ウザ 必須の有効化オプ シ ョ ン と 設定 Chrome 30 JavaScript、 ク ッ キー Firefox 24 JavaScript、 ク ッ キー、 Secure Sockets Layer (SSL) v3 Microsoft Internet Explorer 9 お よ び 10 JavaScript、 ク ッ キー、 Secure Sockets Layer (SSL) v3、 128 ビ ッ ト 暗号、 [Active scripting] のセキ ュ リ テ ィ 設定、 互換性表示、 [Check for newer versions of stored pages] を [Automatically] に設定 画面解像度の互換性 Sourcefire では幅が 1280 ピ ク セル以上の画面解像度を選択する こ と を推奨 し て います。 ユーザ イ ン タ ー フ ェ イ スは低い解像度 と 互換性があ り ますが、 よ り 高 い解像度に よ り 、 表示が最適化 さ れます。 以前のバージ ョ ンへの復帰 何 らかの理由に よ り お使いのア プ ラ イ ア ン ス を Sourcefire 3D System の以前の リ リ ースに戻す必要がある場合は、 Sourcefire サポー ト にお問い合わせ く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 15 ア プ ラ イ ア ン スの更新 ア プ ラ イ ア ン スの更新 バージ ョ ン 4.10.x の Sourcefire 3D System を実行 し ている ア プ ラ イ ア ン ス を、 直接、 バージ ョ ン 5.3 に更新する こ と はで き ません。 代わ り に、 物理ア プ ラ イ ア ン スのイ メ ージ を再作成 し てか ら仮想ア プ ラ イ ア ン ス を再作成する必要があ り ま す。 イ メ ージの再作成の結果、 ア プ ラ イ ア ン ス上のほ と んどすべての設定 と イ ベ ン ト デー タ は失われますので注意 し て く だ さ い。 ア プ ラ イ ア ン スのイ メ ージ再 作成 と ア プ ラ イ ア ン スの再作成の詳細については、 『Sourcefire 3D System Installation Guide』 を参照 し て く だ さ い。 ヒ ン ト 必須設定 と イ ベン ト デー タ を保持する場合は、 バージ ョ ン 4.10.3.x (パ ッ チ 4.10.3.5 以降) か ら バージ ョ ン 5.2.0.x に限定的な移行を実行 し てか ら、 移行 し た展開をバージ ョ ン 5.3 に更新 し ます。 詳細については、 『Sourcefire 3D SystemMigration Guide』 を参照 し て く だ さ い。 X-Series ア プ ラ イ ア ン スに Sourcefire Software for X-Series のバージ ョ ン 5.3 を イ ン ス ト ールする には、 以前のバージ ョ ン を ア ン イ ン ス ト ール し 、 既存の Sourcefire ソ フ ト ウ ェ ア パ ッ ケージ を削除する必要があ り ます。 更新情報につ いては、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 Sourcefire 3D System のバージ ョ ン 5.2.0.4 以上を実行 し てい る他のア プ ラ イ ア ン ス をすべてバージ ョ ン 5.3 に更新する には、 以下に概説 さ れている手順を参照 し て く だ さ い。 以下の各項で、 バージ ョ ン 5.3 の更新の準備 と イ ン ス ト ールがで き ます。 • 「更新の計画」 (P.17) • 「防御セ ン タ ーの更新」 (P.21) • 「管理対象デバイ スの更新」 (P.24) • 「更新の実行にシ ェ ルを使用する」 (P.27) 警告 ロ グ イ ン プ ロ ン プ ト が表示 さ れる ま では、 更新中にア プ ラ イ ア ン ス を再 起動 し た り シ ャ ッ ト ダウ ン し た り し ないで く だ さ い。 シ ス テムは更新の事前 チ ェ ッ ク の部分では機能 し ていないよ う に見え る こ と があ り ますが、 こ れは予期 さ れた動作で、 ア プ ラ イ ア ン ス を再起動 し た り 、 シ ャ ッ ト ダウ ン し た り する必 要はあ り ません。 ヒ ン ト シ ス テムが無関係な[Module Disk Usage: Frequent drain... ヘルス ア ラ ー ト を生成する こ と があ り ます。 バージ ョ ン 5.3 への更新時に こ のヘルス ア ラ ー ト が表示 さ れた場合、 こ れを無視で き ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 16 ア プ ラ イ ア ン スの更新 更新の計画 更新を始める前に、 こ れ らの リ リ ース ノ ー ト 、 特に 「は じ めに : 重要な更新 と 互換性に関する注意事項」 (P.12) を精読 し 、 理解する必要があ り ます。 問題な く 更新プ ロ セス を実行する ためには、 以下の各項 も一読する必要があ り ます。 Sourcefire 3D System のバージ ョ ン要件 バージ ョ ン 5.3 に更新する には、 ア プ ラ イ ア ン スがバージ ョ ン 5.2.0.4 以上を実 行 し ている必要があ り ます。 それ以前のバージ ョ ンが実行 さ れてい る場合、 Sourcefire サポー ト サイ ト か ら 更新を取得で き ます 管理対象デバイ ス をバージ ョ ン 5.3 に更新する には、 防御セ ン タ ーがバージ ョ ン 5.3 以上を実行 し てい る必要があ り ます。 ア プ ラ イ ア ン スの現在のバージ ョ ンが リ リ ース バージ ョ ン (バージ ョ ン 5.3) に 近いほど、 更新にかかる時間は短 く な り ます。 オペ レーテ ィ ング シス テムの要件 次のホス テ ィ ン グ環境で 64 ビ ッ ト 仮想 Sourcefire 仮想ア プ ラ イ ア ン ス を ホス ト で き ます。 • VMware vSphere Hypervisor/VMware ESXi 5.0 • VMware vSphere Hypervisor/VMware ESXi 5.1 • VMware vCloud Director 5.1 詳細については、 『Sourcefire 3D System Virtual Installation Guide』 を参照 し て く だ さ い。 XOS バージ ョ ン 9.7.2 以降お よびバージ ョ ン 10.0 以降を実行する X-Series ア プ ラ イ ア ン スで Sourcefire Software for X-Series を実行で き ます。 詳細について は、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参 照 し て く だ さ い。 時間 と デ ィ ス ク スペース要件 次の表に、 バージ ョ ン 5.3 更新のデ ィ ス ク 容量 と 時間の目安を示 し ます。 管理対 象デバ イ ス を更新す る ために防御セ ン タ ー を使用す る と き には、 防御セ ン タ ー の /Volume パーテ ィ シ ョ ンに追加のデ ィ ス ク容量が必要である こ と に注意 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 17 ア プ ラ イ ア ン スの更新 更新プ ロ セス中のどの時点で も、 更新を再開始 し た り ア プ ラ イ ア ン ス を再起動 し た り し ないで く だ さ い。 Sourcefire では目安 と し て時間の見積 り を提供 し ていま すが、 実際の更新時間はア プ ラ イ ア ン スのモデル、 展開、 お よび設定に よ っ て異 な り ます。 シ ス テムは更新の事前チ ェ ッ ク 部分および再起動後に機能 し ていない よ う に見え る こ と があ り ますが、 こ れは予期 さ れた動作です。 ヒ ン ト 更新での再起動の部分にはデー タ ベースのチ ェ ッ ク が含まれます。 デー タ ベースのチ ェ ッ ク中にエ ラ ーが検出 さ れた場合、 更新が完了する ためには さ ら に時間が必要です。 デー タ ベース と 対話する シ ス テム デーモ ンは、 デー タ ベー スのチ ェ ッ ク および修復中は動作 し ません。 更新の進行状況で問題が発生 し た場合は、 Sourcefire サポー ト に連絡 し て く だ さ い。 時間 と デ ィ ス ク スペース要件 アプ ラ イアンス 必要容量 ボ リ ュ ーム当た り の容量 マネージ ャ のボ リ ュ ー ム当た り の 容量 時間 シ リ ーズ 2 防御セ ン タ ー 50 MB 5.5 GB n/a 40 ~ 55 分 シ リ ーズ 2 管理対象デバイ ス 40 MB 2.2 GB 268 MB 45 ~ 60 分 シ リ ーズ 3 防御セ ン タ ー 150 MB 4.3 GB n/a 50 ~ 65 分 シ リ ーズ 3 管理対象デバイ ス 50 MB 3 GB 388 MB 30 ~ 45 分 3D9900 管理対象デバイ ス 75 MB 2 GB 388 MB 55 ~ 70 分 仮想防御セ ン タ ー 150 MB 388 MB n/a ハー ド ウ ェ ア に依存 仮想管理対象デバイ ス 50 MB 3 GB 388 MB ハー ド ウ ェ ア に依存 設定 と イ ベン ト のバ ッ ク ア ッ プのガ イ ド ラ イ ン 更新を始める前に、 Sourcefire ではア プ ラ イ ア ン ス上に存在するバ ッ ク ア ッ プ フ ァ イルを削除または移動 し 、 現在のイ ベン ト および設定デー タ を外部ロ ケー シ ョ ン にバ ッ ク ア ッ プする こ と を強 く 推奨 し ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 18 ア プ ラ イ ア ン スの更新 防御セ ン タ ーを使用 し て、 そのイ ベン ト デー タ と 設定デー タ 、 および管理 し て い るデバイ スのイ ベン ト デー タ と 設定デー タ をバ ッ ク ア ッ プ で き ます。 バ ッ ク ア ッ プおよび リ ス ト ア機能の詳細については、 『Sourcefire 3D System User Guide』 を参照 し て く だ さ い。 更新を実行する タ イ ミ ング 更新プ ロ セスは ト ラ フ ィ ッ ク 検査、 ト ラ フ ィ ッ ク フ ロー、 リ ン ク ス テー ト に影 響を与え る可能性があ る ため、 Sourcefire では更新を保守期間に、 または中断が 展開に及ぼす影響が最小の と き に実行する こ と を強 く 推奨 し ます。 イ ン ス ト ール方法 更新を実行する には、 防御セ ン タ ーの Web イ ン タ ー フ ェ イ ス を使用 し ます。 ま ず防御セ ン タ ー を更新 し てか ら 、 それを使用 し て、 管理す る デバ イ ス を更新 し ます。 バージ ョ ン 4.10.x を実行 し てい る X-Series ア プ ラ イ ア ン ス をバージ ョ ン 5.3 に 更新する こ と はで き ません。 代わ り に、 以前のバージ ョ ン を ア ン イ ン ス ト ール し てか らバージ ョ ン 5.3 を イ ン ス ト ールする必要があ り ます。 詳細については、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 イ ン ス ト ールの順序 ご使用の防御セ ン タ ー を更新 し た後に、 それ ら が管理す る デバ イ ス を更新で き ます。 ペアの防御セ ン タ ーに対する更新のイ ン ス ト ール 高可用性ペアの片方の防御セ ン タ ーの更新を開始する と 、 も う 一方の防御セ ン タ ーがプ ラ イ マ リ にな り ます (ま だプ ラ イ マ リ にな っ ていなか っ た場合)。 また、 ペアの防御セ ン タ ーは設定情報の共有を止めます。 ペアの防御セ ン タ ーは、 定期 的な同期プ ロ セスの一部 と し て ソ フ ト ウ ェ ア ア ッ プデー ト を受信 し ません。 運用の継続性を保証する には、 ペアの防御セ ン タ ーを同時に更新 し ないで く だ さ い。 まず、 セ カ ン ダ リ 防御セ ン タ ーの更新手続き を完了 し てか ら、 プ ラ イ マ リ 防 御セ ン タ ーを更新 し ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 19 ア プ ラ イ ア ン スの更新 ク ラ ス タ 型デバイ スに対する更新のイ ン ス ト ール ク ラ ス タ 型デバイ スに更新を イ ン ス ト ールする場合、 シ ス テムは一度に 1 台の デバイ スに対 し て更新を実行 し ます。 更新が始ま る と 、 シ ス テムはまずそれを セ カ ン ダ リ デバイ スに適用 し 、 必要なすべてのプ ロ セスが再起動 し てデバイ スが ト ラ フ ィ ッ ク を再び処理する ま で、 そのデバイ スは保守モー ド にな り ます。 シ ス テムは次に更新を プ ラ イ マ リ デバイ スに適用 し 、 プ ラ イ マ リ デバイ ス も同 じ プ ロ セス を た ど り ます。 ス タ ッ ク 型デバイ スに対する更新のイ ン ス ト ール ス タ ッ ク 型デバイ ス で更新を イ ン ス ト ールする場合、 シ ス テムは更新を同時に実 行 し ます。 各デバイ スは、 更新が完了する と 通常の動作を再開 し ます。 次の点に 注意 し て く だ さ い。 • すべてのセ カ ン ダ リ デバイ スの更新が完了する 前に プ ラ イ マ リ デバイ ス の更新が完了する と 、 すべてのデバイ スで更新が完了する ま で ス タ ッ クは 限定的な、 バージ ョ ンが混在 し ている状態で動作 し ます。 • すべてのセ カ ン ダ リ デバイ スの更新が完了 し た 後に プ ラ イ マ リ デバイ ス の更新が完了 し た場合、 プ ラ イ マ リ デバイ ス で更新が完了 し た時点でス タ ッ クは通常の動作を再開 し ます。 X-Series デバイ ス バージ ョ ン 4.10.x を実行 し てい る X-Series ア プ ラ イ ア ン ス をバージ ョ ン 5.3 に 更新する こ と はで き ません。 代わ り に、 以前のバージ ョ ン を ア ン イ ン ス ト ール し てか らバージ ョ ン 5.3 を イ ン ス ト ールする必要があ り ます。 詳細については、 『Sourcefire Software for X-Series Installation and Configuration Guide』 を参照 し て く だ さ い。 イ ン ス ト ール後 防御セ ン タ ーまたは管理対象デバイ スのいずれかの更新を実行 し た後に、 デバイ ス設定 と ア ク セス制御ポ リ シーを再適用する必要があ り ます。 ア ク セス制御ポ リ シーを適用する と 、 ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク処理で一時的に停止が 発生 し た り 、 一部のパケ ッ ト が検査な し で通過する こ と があ り ます。 詳細につい ては、 『Sourcefire 3D System User Guide』 を参照 し て く だ さ い。 展開環境が正常に動作 し ている こ と を保証する ために、 ユーザが実行 し なければ な ら ないい く つか追加の更新後の手順があ り ます。 次の作業を行います。 バージ ョ ン 5.3 • 更新が成功 し た こ と の検証 • 展開環境のすべてのア プ ラ イ ア ン スが正常に通信 し ている こ と の確認 Sourcefire 3D System リ リ ース ・ ノ ー ト 20 ア プ ラ イ ア ン スの更新 • 最新の拡張機能 と セキ ュ リ テ ィ 修正を利用する ために、 バージ ョ ン 5.3 の 最新のパ ッ チ (あ る場合) への更新 • 侵入ルール と 脆弱性デー タ ベース (VDB) の更新 (必要に応 じ て) 重要 シ ス テム ソ フ ト ウ ェ アの更新が完了 し た ら、 VDB ビル ド 156 以降を 防御セ ン タ ーに イ ン ス ト ール し て、 ア ク セス制御ポ リ シーを再適用 し ます。 • 「新機能 と 更新 さ れた機能」 (P.2) の情報に基づ き、 必要な設定変更を実行 し ます。 次の各項に、 更新の実行および更新後の手順の完了に関する詳細情報を示 し ま す。 こ れ ら すべての タ ス ク を完了 し て く だ さ い。 防御セ ン タ ーの更新 仮想防御セ ン タ ーを含む、 ご使用の防御セ ン タ ーを更新する には、 こ の項の手順 を使用 し ます。 バージ ョ ン 5.3 の更新では、 防御セ ン タ ー が再起動 し ます。 警告 防御セ ン タ ーを更新する前に、 すべての管理対象デバイ スにア ク セス制 御ポ リ シーを再適用 し ます。 そ う し ない場合、 管理対象デバイ スの最終的な更新 が失敗する こ と があ り ます。 警告 ロ グ イ ン プ ロ ン プ ト が表示 さ れる ま では、 更新中にア プ ラ イ ア ン ス を再 起動 し た り シ ャ ッ ト ダウ ン し た り し ないで く だ さ い。 シ ス テムは更新の事前 チ ェ ッ ク の部分では機能 し ていないよ う に見え る こ と があ り ますが、 こ れは予期 さ れた動作で、 ア プ ラ イ ア ン ス を再起動 し た り 、 シ ャ ッ ト ダウ ン し た り する必 要はあ り ません。 重要 防御セ ン タ ーをバージ ョ ン 5.3 に更新する と 、 ア プ ラ イ ア ン スか ら既存 のア ン イ ン ス ト ー ラ が削除 さ れます。 防御セ ン タ ーを更新する には、 次の手順に従います。 1. こ の リ リ ース ノ ー ト を参照 し 、 必要な更新前処理 タ ス ク を完了 し ます。 詳細については、 「は じ めに : 重要な更新 と 互換性に関する注意事項」 (P.12) および 「更新の計画」 (P.17) を参照 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 21 ア プ ラ イ ア ン スの更新 2. 次の更新プ ロ グ ラ ムを Sourcefire サポー ト サイ ト か ら ダウ ン ロー ド し ます。 • シ リ ーズ 2 防御セ ン タ ー の場合 : Sourcefire_3D_Defense_Center_ア ッ プグ レー ド -5.3.0-XXX.sh • シ リ ーズ 3 お よび仮想防御セ ン タ ーの場合 : Sourcefire_3D_Defense_Center_S3_ア ッ プグ レー ド -5.3.0-XXX.sh 重要 サポー ト サイ ト か ら更新プ ロ グ ラ ムを直接ダウ ン ロー ド し ます。 電 子 メ ールで更新 フ ァ イルを転送する と 、 破損する可能性があ り ます。 3. [System] > [Updates] を選択 し 、 次に [Product Updates] タ ブ で [Upload Update] を ク リ ッ ク し て、 防御セ ン タ ーに更新プ ロ グ ラ ムを ア ッ プ ロー ド し ます。 更新を参照 し 、 [Upload] を ク リ ッ ク し ます。 更新が防御セ ン タ ーにア ッ プ ロー ド さ れます。 4. 展開環境内のア プ ラ イ ア ン スが正常に通信 し ている こ と 、 お よびヘルス モ ニ タ に よ っ て報告 さ れた問題がない こ と を確認 し ます。 5. タ ス ク キ ュ ーを調べ ([System] > [Monitoring] > [Task Status])、 進行中の タ ス クがない こ と を確認 し ます。 更新の開始時に実行中の タ ス クは停止 さ れ、 失敗 し た タ ス ク と な り 、 再開で き ません。 こ れ らは更新が完了 し た後に タ ス ク キ ュ ーか ら 手動で削除する 必要があ り ます。 タ ス ク キ ュ ーは 10 秒ご と に自動的に リ フ レ ッ シ ュ さ れま す。 更新を始める前に、 実行時間の長い タ ス クが完了する ま で待つ必要があ り ます。 6. [System] > [Updates] を選択 し ます。 [Product Updates] タ ブが表示 さ れます。 7. ア ッ プ ロー ド し た更新の横にあ る イ ン ス ト ール ア イ コ ン を ク リ ッ ク し ます。 [Install Update] ページが表示 さ れます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 22 ア プ ラ イ ア ン スの更新 8. 防御セ ン タ ーを選択 し 、 [Install] を ク リ ッ ク し ます。 更新を イ ン ス ト ールす る こ と 、 お よび防御セ ン タ ーを再起動する こ と を確認 し ます。 更新プ ロ セスが開始 さ れます。 タ ス ク キ ュ ー ([System] > [Monitoring] > [Task Status]) で更新の進行状況の監視を開始で き ます。 ただ し 、 防御セ ン タ ーに よ る更新前のチ ェ ッ ク が完了する と 、 ユーザはロ グアウ ト さ れます。 再度ロ グ イ ンする と 、 [Upgrade Status] ページが表示 さ れます。 [Upgrade Status] ページには経過表示バーが表示 さ れ、 現在実行中のス ク リ プ ト に関 する詳細が示 さ れます。 更新が何 らかの理由で失敗 し た場合、 失敗の日時お よび更新が失敗 し た と き に実行中だ っ たス ク リ プ ト を示すエ ラ ー メ ッ セージ と 、 サポー ト への問い 合わせ方法の説明がページに表示 さ れます。 更新を再開 し ないで く だ さ い。 警告 更新時に他の問題が発生 し た場合は ([Update Status] ページ を手動 で リ フ レ ッ シ ュ し て も 、 数分間にわた っ て進行状況が表示 さ れないな ど)、 更新 を 再開 し な い で く だ さ い。 代わ り に、 サポー ト に連絡 し て く だ さ い。 更新が完了する と 、 防御セ ン タ ーは成功 メ ッ セージ表示 し て再起動 し ます。 9. 更新が終了 し た ら、 ブ ラ ウザ キ ャ ッ シ ュ を ク リ ア し 、 ブ ラ ウザで リ ロー ド を強制 し ます。 そ う し ない場合、 ユーザ イ ン タ ー フ ェ イ スが予期 し ない動 作を示す こ と があ り ます。 10. 防御セ ン タ ーに ロ グ イ ン し ます。 11. エ ン ド ユーザ ラ イ セ ン ス契約書 (EULA) を確認 し 、 承認 し ます。 EULA を 承認 し ない場合、 ア プ ラ イ ア ン スか ら ロ グ ア ウ ト す る こ と に注意 し て く だ さ い。 12. [Help] > [About] を選択 し 、 ソ フ ト ウ ェ アのバージ ョ ンが正 し く 表示 さ れる (バージ ョ ン 5.3.0) こ と を確認 し て く だ さ い。 また、 防御セ ン タ ーのルール 更新 と VDB のバージ ョ ン も メ モ し て く だ さ い。 こ の情報は後で必要にな り ます。 13. 展開環境内のア プ ラ イ ア ン スが正常に通信 し ている こ と 、 お よびヘルス モ ニ タ に よ っ て報告 さ れた問題がない こ と を確認 し ます。 14. サポー ト サイ ト で利用可能なルール更新が、 ご使用の防御セ ン タ ーのルー ルよ り 新 し い場合は、 新 し いルールを イ ン ポー ト し ます。 ルール更新の詳細については、 『Sourcefire 3D System User Guide』 を参照 し て く だ さ い。 15. サポー ト サイ ト で利用可能な VDB が、 ご使用の防御セ ン タ ーの VDB よ り 新 し い場合は、 最新の VDB を イ ン ス ト ール し ます。 VDB 更新を イ ン ス ト ールする と 、 ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク処理 で一時的に停止が発生 し 、 一部のパケ ッ ト が検査な し で通過する こ と があ り ます。 詳細については、 『Sourcefire 3D System User Guide』 を参照 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 23 ア プ ラ イ ア ン スの更新 16. すべての管理対象デバイ スにデバイ ス設定を再適用 し ます。 ヒ ン ト グ レー表示 さ れた [Apply] ボ タ ン を再度有効にする には、 デバイ ス設 定でいずれかのイ ン タ ー フ ェ イ ス を編集 し てか ら 変更を行わずに、 [Save] を ク リ ッ ク し し ます。 17. すべての管理対象デバイ スにア ク セス制御ポ リ シーを再適用 し ます。 警告 侵入ポ リ シーは個別に再適用 し ないで く だ さ い。 すべてのア ク セス 制御ポ リ シーを完全に再適用する必要があ り ます。 ア ク セス制御ポ リ シーを適用する と 、 ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク 処理で一時的に停止が発生 し た り 、 一部のパケ ッ ト が検査な し で通過する こ と があ り ます。 詳細については、 『Sourcefire 3D System User Guide』 を参 照 し て く だ さ い。 18. バージ ョ ン 5.3 のパ ッ チがサポー ト サイ ト で入手可能な場合は、 そのバー ジ ョ ンの 『Sourcefire 3D System リ リ ース ・ ノ ー ト 』 の説明に従 っ て、 パ ッ チ を適用 し ます。 最新の拡張機能 と セキ ュ リ テ ィ 修正を利用する には、 最新 のパ ッ チに更新する必要があ り ます。 管理対象デバイ スの更新 防御セ ン タ ーを バージ ョ ン 5.3 に更新 し た ら、 それ ら を使用 し て、 管理するデ バイ ス を更新 し ます。 管理対象デバイ スの更新は、 2 段階のプ ロ セスです。 まず、 サポー ト サイ ト か ら 更新プ ロ グ ラ ムを ダウ ン ロー ド し て、 管理元の防御セ ン タ ーにア ッ プ ロー ド し ます。 次に、 ソ フ ト ウ ェ ア を イ ン ス ト ール し ます。 同 じ 更新 フ ァ イルを使用する 場合に限 り 、 複数のデバイ ス を同時に更新で き ます。 バージ ョ ン 5.3 の更新の場合、 すべてのデバイ スが再起動 し ます。 管理対象デバ イ スは、 更新時に ト ラ フ ィ ッ ク検査、 ス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 VPN、 または関連機能を実行 し ません。 デバイ スの設定および展開方法に応 じ て、 更新プ ロ セスは ト ラ フ ィ ッ ク フ ローおよび リ ン ク ス テー ト に も 影響する場 合があ り ます。 詳細については、 「更新中の ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク 検査」 (P.13) を参照 し て く だ さ い。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 24 ア プ ラ イ ア ン スの更新 警告 管理対象デバイ ス を更新する前に、 その管理元の防御セ ン タ ーを使用 し て、 管理対象デバイ スに適切な ア ク セス制御ポ リ シーを再適用 し ます。 そ う し な い場合、 管理対象デバイ スの更新が失敗する こ と があ り ます。 警告 ロ グ イ ン プ ロ ン プ ト が表示 さ れる ま では、 更新中にア プ ラ イ ア ン ス を再 起動 し た り シ ャ ッ ト ダウ ン し た り し ないで く だ さ い。 シ ス テムは更新の事前 チ ェ ッ ク の部分では機能 し ていないよ う に見え る こ と があ り ますが、 こ れは予期 さ れた動作で、 ア プ ラ イ ア ン ス を再起動 し た り 、 シ ャ ッ ト ダウ ン し た り する必 要はあ り ません。 管理対象デバイ ス を更新する には、 次の手順を実行 し ます。 1. こ の リ リ ース ノ ー ト を参照 し 、 必要な更新前処理 タ ス ク を完了 し ます。 詳細については、 「は じ めに : 重要な更新 と 互換性に関する注意事項」 (P.12) および 「更新の計画」 (P.17) を参照 し て く だ さ い。 2. デバイ スの管理元の防御セ ン タ ーで Sourcefire ソ フ ト ウ ェ ア を更新 し ます。 「防御セ ン タ ーの更新」 (P.21) を参照 し て く だ さ い。 3. 次の更新プ ロ グ ラ ムを Sourcefire サポー ト サイ ト か ら ダウ ン ロー ド し ます。 • シ リ ーズ 2 管理対象デバイ スの場合 : Sourcefire_3D_Device_ア ッ プグ レー ド -5.3.0-XXX.sh • シ リ ーズ 3 管理対象デバイ スの場合 : Sourcefire_3D_Device_S3_ア ッ プグ レー ド -5.3.0-XXX.sh • 3D9900 管理対象デバイ スの場合 : Sourcefire_3D_Device_x900_ア ッ プグ レー ド -5.3.0-XXX.sh • 仮想管理対象デバイ スの場合 : Sourcefire_3D_Device_Virtual64_VMware_ア ッ プグ レー ド -5.3.0XXX.sh 重要 サポー ト サ イ ト か ら 更新プ ロ グ ラ ム を 直接ダ ウ ン ロ ー ド し ま す。 電子 メ ールで更新 フ ァ イルを転送する と 、 破損する可能性があ り ます。 4. [System] > [Updates] を選択 し 、 次に [Product Updates] タ ブ で [Upload Update] を ク リ ッ ク し て、 防御セ ン タ ーに更新プ ロ グ ラ ムを ア ッ プ ロー ド し ます。 更新を参照 し 、 [Upload] を ク リ ッ ク し ます。 更新が防御セ ン タ ーにア ッ プ ロー ド さ れます。 5. バージ ョ ン 5.3 展開環境内のア プ ラ イ ア ン スが正常に通信 し ている こ と 、 お よびヘルス モ ニ タ に よ っ て報告 さ れた問題がない こ と を確認 し ます。 Sourcefire 3D System リ リ ース ・ ノ ー ト 25 ア プ ラ イ ア ン スの更新 6. イ ン ス ト ール中の更新の横にあ る イ ン ス ト ール ア イ コ ン を ク リ ッ ク し ます。 [Install Update] ページが表示 さ れます。 7. 更新を イ ン ス ト ールするデバイ ス を選択 し ます。 ス タ ッ ク 型のペア を更新する場合は、 ペアの一方の メ ンバーを選択する と 、 自動的に他方が選択 さ れます。 ス タ ッ ク型ペアの メ ンバーは一緒に更新する 必要があ り ます。 8. [Install] を ク リ ッ ク し ます。 更新を イ ン ス ト ール し てデバイ ス を再起動する こ と を確認 し ます。 更新プ ロ セスが開始 さ れます。 防御セ ン タ ーの タ ス ク キ ュ ー ([System] > [Monitoring] > [Task Status]) で更新の進行状況を監視で き ます。 管理対象デバイ スは更新時に 2 回再起動する こ と があ り ますが、 こ れは予期 さ れる動作です。 警告 更新時に問題が発生 し た場合は ( タ ス ク キ ュ ーが更新の失敗を示 し て いる、 タ ス ク キ ュ ーを手動で リ フ レ ッ シ ュ し て も数分間にわた っ て進行状 況が表示 さ れない、 な ど)、 更新を再開 し ないで く だ さ い。 代わ り に、 サ ポー ト に連絡 し て く だ さ い。 9. [Devices] > [Device Management] を選択 し 、 更新 し たデバイ スが正 し い ソ フ ト ウ ェ ア バージ ョ ン (バージ ョ ン 5.3.0) であ る こ と を確認 し ます。 10. 展開環境内のア プ ラ イ ア ン スが正常に通信 し ている こ と 、 お よびヘルス モ ニ タ に よ っ て報告 さ れた問題がない こ と を確認 し ます。 11. すべての管理対象デバイ スにデバイ ス設定を再適用 し ます。 ヒ ン ト グ レー表示 さ れた [Apply] ボ タ ン を再度有効にする には、 デバイ ス設 定でいずれかのイ ン タ ー フ ェ イ ス を編集 し てか ら 変更を行わずに、 [Save] を ク リ ッ ク し し ます。 12. すべての管理対象デバイ スにア ク セス制御ポ リ シーを再適用 し ます。 ア ク セス制御ポ リ シーを適用する と 、 ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク 処理で一時的に停止が発生 し た り 、 一部のパケ ッ ト が検査な し で通過する こ と があ り ます。 詳細については、 『Sourcefire 3D System User Guide』 を参 照 し て く だ さ い。 13. バージ ョ ン 5.3 のパ ッ チがサポー ト サイ ト で入手可能な場合は、 そのバー ジ ョ ンの 『Sourcefire 3D System リ リ ース ・ ノ ー ト 』 の説明に従 っ て、 パ ッ チ を適用 し ます。 最新の拡張機能 と セキ ュ リ テ ィ 修正を利用する には、 最新 のパ ッ チに更新する必要があ り ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 26 ア プ ラ イ ア ン スの更新 更新の実行にシ ェ ルを使用する Sourcefire では更新を実行するのに、 防御セ ン タ ーの Web イ ン タ ー フ ェ イ ス を 使用する こ と を推奨 し ますが、 bash シ ェ ルを使用 し て ア プ ラ イ ア ン ス を更新 し なければな ら ない状況がまれに存在する こ と があ り ます。 バージ ョ ン 5.3 の更新では、 すべてのア プ ラ イ ア ン スが再起動 し ます。 管理対象 デバイ スは、 更新時に ト ラ フ ィ ッ ク 検査、 ス イ ッ チ ン グ、 ルーテ ィ ン グ、 NAT、 VPN、 または関連機能を実行 し ません。 デバイ スの設定および展開方法に応 じ て、 更新プ ロ セスは ト ラ フ ィ ッ ク フ ローおよび リ ン ク ス テー ト に も 影響する場 合があ り ます。 詳細については、 「更新中の ト ラ フ ィ ッ ク フ ロー と ト ラ フ ィ ッ ク 検査」 (P.13) を参照 し て く だ さ い。 Sourcefire には特定の状況における障害があ り 、 次回のパ ッ チ でそれ ら を解決す る予定です。 エ ラ ー メ ッ セージが表示 さ れた場合は シ ェ ルを使用 し て更新を イ ン ス ト ールする には : 1. こ の リ リ ース ノ ー ト を参照 し 、 必要な更新前処理 タ ス ク を完了 し ます。 詳細については、 「は じ めに : 重要な更新 と 互換性に関する注意事項」 (P.12) および 「更新の計画」 (P.17) を参照 し て く だ さ い。 2. 適切な更新を Sourcefire サポー ト サイ ト か ら ダウ ン ロー ド し ます。 • シ リ ーズ 2 防御セ ン タ ー の場合 : Sourcefire_3D_Defense_Center_ア ッ プグ レー ド -5.3.0-XXX.sh • シ リ ーズ 3 お よび仮想防御セ ン タ ーの場合 : Sourcefire_3D_Defense_Center_S3_ア ッ プグ レー ド -5.3.0-XXX.sh • シ リ ーズ 2 管理対象デバイ スの場合 : Sourcefire_3D_Device_ア ッ プグ レー ド -5.3.0-XXX.sh • シ リ ーズ 3 管理対象デバイ スの場合 : Sourcefire_3D_Device_S3_ア ッ プグ レー ド -5.3.0-XXX.sh • 3D9900 管理対象デバイ スの場合 : Sourcefire_3D_Device_x900_ア ッ プグ レー ド -5.3.0-XXX.sh • • 仮想管理対象デバイ スの場合 : Sourcefire_3D_Device_Virtual64_VMware_ア ッ プ グ レ ー ド 5.3.0-XXX.sh 重要 サポー ト サ イ ト か ら 更新プ ロ グ ラ ム を 直接ダ ウ ン ロ ー ド し ま す。 電子 メ ールで更新 フ ァ イルを転送する と 、 破損する可能性があ り ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 27 バージ ョ ン 5.3 で解決 さ れた問題 3. 管理者権限を持つア カ ウ ン ト を使用 し て ア プ ラ イ ア ン ス シ ェ ルに ロ グ イ ン し ます。 仮想ア プ ラ イ ア ン スの場合は、 VMware vSphere Client で仮想 コ ン ソ ールを 使用 し て ロ グ イ ン し ます。 シ リ ーズ 3 または仮想管理対象デバイ ス では、 シ ェ ル プ ロ ン プ ト を表示するのに expert と 入力する必要があ る こ と に注意 し て く だ さ い。 4. プ ロ ン プ ト で、 root ユーザ と し て次のパス ワー ド を入力 し 、 更新を実行 し ます。 sudo install_update.pl /var/sf/updates/update_name こ こ で、 update_name は先にダウ ン ロー ド し た更新 フ ァ イル名です。 更新プ ロ セスが開始 さ れます。 5. 更新が完了する と 、 ア プ ラ イ ア ン スが再起動 し ます。 更新を監視 し 、 次の各 項で説明する よ う に更新後の手順を完了で き ます。 • 「防御セ ン タ ーの更新」 (P.21) • 「管理対象デバイ スの更新」 (P.24) バージ ョ ン 5.3 で解決 さ れた問題 次の問題は、 バージ ョ ン 5.3 で解決 さ れま し た。 バージ ョ ン 5.3 • VPN のパ フ ォ ー マ ン ス と 安定性が向上 し ま し た。 (116996、 119698、 123636) • ク ラ ス タ 化 し たス タ ッ ク でデバイ ス設定を変更 し 、 変更を ただ ち に適用す る と 、 適用が失敗 し 、 シ ス テムに よ り タ ス ク ス テー タ ス キ ュ ーにエ ラ ー メ ッ セージが表示 さ れる問題が解決 さ れま し た。 (121625) • 新 し い侵入ルールの更新を イ ン ス ト ールする と 、 相関ルールに よ っ て参照 さ れる カ ス タ ム侵入ルールの分類が、 事前定義 さ れた分類に戻 っ て し ま う こ と があ る問題が解決 さ れま し た。 (122163) • 異な る ホス ト 、 ユーザ、 およびア プ リ ケーシ ョ ンの組み合わせを検出する よ う に設定 さ れた、 同 じ ゾーン と ネ ッ ト ワー ク に よ り 制約を受け る 2 つ以 上のネ ッ ト ワー ク デ ィ ス カバ リ ルールを適用 し た場合に、 ネ ッ ト ワー ク デ ィ ス カバ リ ポ リ シーが予期 し た と お り に機能 し ない場合があ る問題が解 決 さ れま し た。 (122853) • LDAP サーバのホス ト 名 と IP ア ド レ スのネ ッ ト ワー ク環境の DNS エ ン ト リ が一致 し なか っ た場合に LDAP 認証に失敗する場合があ る問題が解決 さ れま し た。 (123447) • シ リ ーズ 3 ア プ ラ イ ア ン ス で Sourcefire 3D System の更新に 3 時間以上 必要であ っ た問題が解決 さ れま し た。 (124148) Sourcefire 3D System リ リ ース ・ ノ ー ト 28 バージ ョ ン 5.3 で解決 さ れた問題 バージ ョ ン 5.3 • 非ア ク テ ィ ブ な管理対象デバイ スが含まれている と き に、 デバイ ス グルー プ を編集で き ない場合があ る問題が解決 さ れま し た。 (124286) • シ ス テムがすでに Sourcefire 3D System の更新を実行中にユーザが侵入 ルールの更新を イ ン ス ト ール し よ う と する と 、 エ ラ ー メ ッ セージが生成 さ れる よ う にな り ま し た。 (124290) • まれに、 防御セ ン タ ーが リ モー ト ス ト レ ージに イ ベン ト をバ ッ ク ア ッ プ し なか っ た問題が解決 さ れま し た。 (124350) • シ ス テムが誤 っ た 「Please wait, loading...」 メ ッ セージ を表示する場合があ る問題が解決 さ れま し た。 (124918) • Nmap スキ ャ ンのパ フ ォ ーマ ン スが改善 さ れま し た。 (124999) • 失敗 し た侵入ルールの更新を シ ス テムが未完了で終了 し ていた問題が解決 さ れま し た。 (125368) • SMTP プ リ プ ロ セ ッ サ ルールの 124:1、 124:3、 または 124:10 で、 シ ス テ ムが誤検出ア ラ ー ト を生成する問題が解決 さ れま し た。 (125449) • セキ ュ リ テ ィ 問題複数のパケ ッ ト の表示問題が解決 さ れま し た。 (125531、 132258) • 機密デー タの分析のパフ ォーマンスが改善されま し た。 (125588、 126167) • [Scan from reporting device] が無効にな っ ている修正を使用 し て も、 シ ス テムがデバイ スか ら Nmap スキ ャ ン を実行する問題が解決 さ れま し た。 (125608) • 自動検出 DCE/RPC プ リ プ ロ セ ッ サ オプ シ ョ ンのいずれかを有効に し た場 合に、 シ ス テムが ト ラ フ ィ ッ ク再構成時に誤検出ア ラ ー ト を生成する問題 が修正 さ れま し た。 (125737) • 新 し い侵入ルールの更新を イ ンポー ト し た後に、 侵入ポ リ シー内のイ ン ポー ト 済みルールの数がイ ン ポー ト ロ グにあ るルールの数 と 一致 し ない問 題が修正 さ れま し た。 (125900) • セキ ュ リ テ ィ 問題シ ス テムが一部のユーザ ロールのユーザに誤 っ たア ク セ ス権限を付与し ていた問題が解決されま し た。 (126016、 127428、 127779) • ク ラ ス タ 構成、 ス タ ッ ク構成、 および ク ラ ス タ かつス タ ッ ク構成において 管理対象デバイ ス上の複数の同期問題が解決されま し た。 (126106、 128724) • 接続イ ベン ト を syslog に送信する と きの syslog ア ラ ー ト 応答の安定性が 向上 し ま し た。 (127682) • TCP ス ト リ ーム プ リ プ ロ セ ッ サ オプ シ ョ ンの [Require TCP 3-Way Handshake] を有効に し 、 レ ー ト ベースの攻撃防御プ リ プ ロ セ ッ サが過剰 な同時接続を制限する よ う に設定 し た場合に、 不完全 (SYN のみ) な接続 に対する侵入ルール 135:2 で シ ス テムがイ ベ ン ト を生成する問題が解決 さ れま し た。 (127803) Sourcefire 3D System リ リ ース ・ ノ ー ト 29 バージ ョ ン 5.3 で解決 さ れた問題 バージ ョ ン 5.3 • 標準偏差 2 以上の ト ラ フ ィ ッ ク スパイ ク で ト リ ガーする よ う に ト ラ フ ィ ッ ク プ ロ フ ァ イルおよび相関ルールを設定 し た場合に、 シ ス テムが相関イ ベ ン ト を生成 し なか っ た問題が解決 さ れま し た。 (128107) • 侵入ルール 1:24490 で シ ス テムが誤検出ア ラ ー ト を生成 し ていた問題が解 決 さ れま し た。 (128304) • まれに、 3D8120、 3D8130、 3D8140、 お よび 3D8250 で シ ス テムの問題が 発生 し 、 再起動が必要だ っ たハー ド ウ ェ アの問題が解決 さ れま し た。 (128689) • ネ ッ ト ワー ク デ ィ ス カバ リ ポ リ シーを使用 し て LDAP ト ラ フ ィ ッ クの ユーザ検出を無効に し た場合に、 防御セ ン タ ーがユーザ エージ ェ ン ト のロ グ イ ン デー タ のロギン グ を停止する問題が解決 さ れま し た。 (128741) • 自動 LDAP ユーザ デー タ 取得を スケジ ュ ール し た場合に、 オ ンデマ ン ド の ユーザ デー タ の取得 と ダウ ン ロー ド を実行で き ない場合があ る問題が解決 さ れま し た。 (128962) • セキ ュ リ テ ィ 問題オブ ジ ェ ク ト マネージ ャ およびルール エデ ィ タ の ク ロ スサイ ト ス ク リ プ ト (XSS) の脆弱性が解決 さ れま し た。 (129052、 132023) • 確認 し た侵入イ ベ ン ト をユーザが表示 し 、 パケ ッ ト ビ ュ ーま で ド リ ルダウ ン し た場合に、 表示 さ れる イ ベ ン ト がな く 、 確認 さ れた制約が削除 さ れる 場合があ る問題が解決 さ れま し た。 (129257) • SMTP サーバが接続エ ラ ーに応答 し た場合に、 シ ス テムが誤 っ て SMTP ト ラ フ ィ ッ ク を識別 し 、 存在 し ないア プ リ ケーシ ョ ン情報に よ り 接続イ ベ ン ト を生成する場合があ る問題が解決 さ れま し た。 (130085) • 高可用性構成の防御セ ン タ ーでのア ク セス制御ポ リ シーの同期問題が解決 さ れま し た。 (130475) • まれに、 解釈で き ない メ ッ セージ を含む重大なヘルス ア ラ ー ト メ ールを シ ス テムが生成する問題が解決 さ れま し た。 (130518) • オブ ジ ェ ク ト マネージ ャ のセキ ュ リ テ ィ ゾーン ページの複数の表示問題 が解決 さ れま し た。 (130569、 130631、 130632) • カ ス タ ム ワー ク フ ローの ド リ ルダウ ン に よ り 、 ユーザが侵入イ ベン ト の 誤 っ たパケ ッ ト ビ ュ ー ページに リ ダ イ レ ク ト さ れる問題が解決 さ れま し た。 (130620) • リ モー ト コ ン ソ ール ア ク セス オプ シ ョ ン と し て [Physical Serial Port] を選 択 し て も 、 シ ス テムの復元起動オプ シ ョ ンが管理対象デバイ スのシ リ アル ポー ト に出力 さ れない場合があ る問題が解決 さ れま し た。 (130772) • ハー ド ウ ェ ア障害の後の フ ェ ールオーバー時におけ る、 ク ラ ス タ 化 さ れた 管理対象デバイ スの安定性が向上 し ま し た。 (130811、 130812、 131031、 133088、 130602) Sourcefire 3D System リ リ ース ・ ノ ー ト 30 既知の問題 • ク ラ ス タ 化 さ れた管理対象デバイ スの フ ェ ールオーバーの同期問題が解決 さ れま し た。 (130829) • フ ァ イル転送プ ロ ト コ ル (FTP) ト ラ フ ィ ッ ク を処理する場合に、 シ ス テ ムのマルウ ェ ア分析機能 と ブ ロ ッ キン グ機能が向上 し ま し た。 (130888、 133134) • まれに、 侵入ポ リ シー ページが表示 さ れない問題が解決 さ れま し た。 (131181) • まれに、 サーバのテーブル ビ ュ ー ([Analysis] > [Hosts] > [Servers]) で サーバが複製 さ れ、 誤 っ たサーバ数が作成 さ れる問題が修正 さ れま し た。 (131329) • サポー ト 技術情報の記事 000001950 で説明 さ れている よ う にス タ テ ィ ッ ク ルー ト を設定 し 、 ネ ッ ト ワー ク設定にその後の変更を行 っ た場合に、 シ ス テムが次のシ ス テムの再起動後ま で ス タ テ ィ ッ ク ルー ト を ド ロ ッ プする場 合があ る問題が解決 さ れま し た。 (131646) • 3 ス タ ッ ク で 3 台の管理対象デバイ ス を ス タ ッ ク する場合の安定性が向上 し ま し た。 (131836、 131896) • シ ス テムが Sourcefire 3D System の メ ジ ャ ー バージ ョ ン に更新 し た後に、 ユーザ ア カ ウ ン ト のホーム デ ィ レ ク ト リ フ ァ イルを誤 っ た場所に置 く 問 題が解決 さ れま し た。 (132503) • 侵入ポ リ シーの [Quoted-Printable Decoding Depth] 詳細オプ シ ョ ン を無効 に し て も 、 シ ス テムが侵入ルール 124:11 で イ ベン ト を生成する問題が解決 さ れま し た。 (132538) 既知の問題 次の既知の問題が、 バージ ョ ン 5.3 で報告 さ れています。 バージ ョ ン 5.3 • [Destination Port/ICMP Code] が [0] の と き にシ ス テムが侵入イ ベン ト を生 成 し た場合に、 [Intrusion Event Statistics] ページの [Top 10 Destination Ports] セ ク シ ョ ン ([Overview] > [Summary] > [Intrusion Event Statistics]) で表示か ら ポー ト 番号が省略 さ れます。 (125581) • 防御セ ン タ ーのロー カル設定 ([System] > [Local] > [Configuration]) が高 可用性ピ アの間で同期 さ れません。 プ ラ イ マ リ だけではな く 、 すべての防 御セン タ ーで変更を編集 し 、 適用する必要があ り ます。 (130612、 130652) • まれに、 別の侵入ポ リ シー と 共有 さ れている階層に ロー カル侵入ルールを 含む侵入ポ リ シーを設定する と 、 侵入ポ リ シーのエ ク スポー ト が失敗する こ と があ り ます。 回避策 と し て、 各共有階層のバ ッ ク ア ッ プ コ ピーを作成 し て、 エ ク スポー ト する前にポ リ シーか ら 共有階層を削除 し ます。 エ ク ス ポー ト が完了し た ら、 侵入ポ リ シーに共有階層を再度追加し ます。 (132312) Sourcefire 3D System リ リ ース ・ ノ ー ト 31 既知の問題 バージ ョ ン 5.3 • シ ス テムがプルーニ ン グ を開始する前にデ ィ ス ク 容量の使用率がデ ィ ス ク 容量の し き い値を超え る と 、 場合に よ っ ては、 大規模な シ ス テム バ ッ ク ア ッ プが失敗する可能性があ り ます。 (132501) • まれに、 侵入ポ リ シー ルールのいずれかに機密デー タ ルール分類が含ま れている 場合に、 Snort がパケ ッ ト 処理 を 停止す る こ と があ り ま す。 (132600) • 場合に よ っ ては、 RunQuery ツールを使用 し て SHOW TABLES コ マ ン ド を実 行する と ク エ リ ーが失敗する こ と があ り ます。 ク エ リ ーの失敗を回避する には、 必ず こ の ク エ リ ーを RunQuery ア プ リ ケーシ ョ ン を使用 し て対話形 式で実行 し ます。 (132685) • Sourcefire 3D System の更新が失敗 し た後に シ リ ーズ 3 管理対象デバイ ス を再起動する と 、 それ以降の更新が元の問題を解決 し た後で も 失敗する可 能性があ り ます。 (132700) • 以前に イ ンポー ト し た ロー カル侵入ルールを削除する と 、 削除 し たルール を再イ ン ポー ト で き ません。 (132865) • まれに、 シ ス テムが侵入ルール 141:7 または 142:7 に対する イ ベ ン ト を生 成 し ない場合があ り ます。 (132973) • まれに、 極端に大き いポー ト 範囲を指定 し 、 他のルール条件 ( こ れに よ り 、 防御セ ン タ ーがそれをデバイ スに拡大形式で送信する こ と にな る) を 含むルールを持つア ク セス制御ポ リ シーを作成 し て適用 し た場合に、 Snort に よ り シ ス テム リ ソ ースが枯渇 し ます。 (132998) • 管理対象デバイ スの リ モー ト バ ッ ク ア ッ プに余分な統合 フ ァ イルが含ま れ、 防御セ ン タ ーにサイ ズの大き いバ ッ ク ア ッ プ フ ァ イルが生成 さ れる場 合があ り ます。 (133040) • ア ク セス制御ポ リ シーの [Security Intelligence] ページには、 100 を超え る 使用可能なセキ ュ リ テ ィ ゾーン を表示で き ません。 (133418) • プ ロキシ サーバを Message Digest 5 (MD5) 認証で認証する よ う 設定す る と 、 防御セ ン タ ー と の通信に問題が発生する場合があ り ます。 回避策 と し て、 基本認証ま たは NLTM 認証 を 設定 し ま す。 (133727、 135041、 135076) • 管理対象デバイ スの Maximum Transmission Unit (MTU) は、 ア プ ラ イ ア ン スの CLI またはシ ェ ルを使用 し て編集する必要があ り ます。 ユーザ イ ン タ ー フ ェ イ ス を使用 し て管理対象デバイ スの MTU を編集する こ と はで き ません。 (133802) Sourcefire 3D System リ リ ース ・ ノ ー ト 32 既知の問題 バージ ョ ン 5.3 • コ マ ン ド ラ イ ン イ ン タ ー フ ェ イ ス (CLI) を使用 し て シ リ ーズ 3 ま たは仮 想管理対象デバイ ス を高可用性構成の防御セ ン タ ーに登録する場合、 2 番 目の防御セ ン タ ーでデバイ スの登録が失敗 し ます。 回避策 と し て、 管理対 象デバイ スのシ ェ ルか ら add_manager.pl ス ク リ プ ト を実行 し て、 防御セ ン タ ーに登録 し ます。 (133825) • ア ス タ リ ス ク (*) の付いた URL オブ ジ ェ ク ト を URL に作成する と 、 その オブ ジ ェ ク ト を参照するルールを含むア ク セス制御ポ リ シー用のプ リ エ ン プ ト ルールの警告が生成 さ れません。 URL オブ ジ ェ ク ト URL にア ス タ リ ス ク (*) を使用 し ないで く だ さ い。 (134095、 134097) • 侵入ポ リ シーのいずれかを、 単一の管理対象デバイ スに合計 4096 回以上 再適用 (個別に、 またはア ク セス制御ポ リ シーの一部を再適用) する と 、 シ ス テムに問題が発生 し ます。 (134231) • 侵入イ ベン ト の syslog ア ラ ー ト を生成する よ う に侵入ポ リ シーを設定する 場合、 プ リ プ ロ セ ッ サ オプ シ ョ ンが有効にな っ ている侵入ルールに よ り 生 成 さ れる侵入イ ベ ン ト の syslog ア ラ ー ト メ ッ セージは、 カ ス タ マ イ ズ さ れた メ ッ セージ ではな く 「Snort Aleat」 にな り ます。 (134270) • まれに、 シ ス テムが無関係な 「Module Disk Usage: Frequent drain of Connection Events」 ヘルス ア ラ ー ト を生成 し ます。 バージ ョ ン 5.3 への更 新時に こ のヘルス ア ラ ー ト が表示 さ れた場合 も、 こ れを無視で き ます。 (134355、 137660) • Sourcefire の ド キ ュ メ ン ト に、 ユーザが Sourcefire Software for X-Series を 使用 し て ア ク セス制御ポ リ シーで位置情報に基づ く ト ラ フ ィ ッ ク フ ィ ル タ リ ン グ を実行で き る と い う 誤 っ た記述があ り ます。 X-Series では、 ア ク セ ス制御ポ リ シーで位置情報に基づ く ト ラ フ ィ ッ ク フ ィ ル タ リ ン グ を行 う こ と はで き ません。 (134400) • ス タ ッ ク のセ カ ン ダ リ デバイ スが侵入イ ベン ト を生成する と 、 侵入イ ベン ト のテーブル ビ ュ ーにセキ ュ リ テ ィ ゾーンのデー タ が表示 さ れません。 (134402) • Sourcefire の ド キ ュ メ ン ト に、 ユーザ グループが ト ラ フ ィ ッ ク で以前に検 知 さ れていてキ ャ ッ シ ュ に入 っ ていない限 り 、 ユーザ グループ を参照する ア ク セス制御ルールにおいて シ ス テムが ト ラ フ ィ ッ ク を照合 し た り イ ベ ン ト を生成 し ない と い う こ と が反映 さ れていません。 ア ク セス制御ポ リ シー のデ フ ォ ル ト ア ク シ ョ ンが [Block All Traffic] に設定 さ れてい る場合、 許可 さ れたユーザ グループの任意のユーザか らの ト ラ フ ィ ッ ク がネ ッ ト ワー ク 上で初めて検知 さ れた と き に、 その許可 さ れたユーザ グループがシ ス テム に よ り ブ ロ ッ ク さ れる こ と があ り ます。 (134440) Sourcefire 3D System リ リ ース ・ ノ ー ト 33 既知の問題 バージ ョ ン 5.3 • 脆弱性デー タ ベース (VDB) のあ るバージ ョ ン を イ ン ス ト ール し 、 ア ク セ ス制御ポ リ シーで以前に NAVL デ ィ テ ク タ を有効に し ていた場合に、 シ ス テムがア ク セス制御ポ リ シーを期限切れであ る と マー ク し ない可能性があ り ます。 ご使用の防御セ ン タ ー と 管理対象デバイ ス間の NAVL デ ィ テ ク タ を同期する には、 VDB の新 し いバージ ョ ン を イ ン ス ト ール し た後にア ク セ ス制御ポ リ シーを完全に再適用 し ます。 (134458) • [Fast Port Scan] オプ シ ョ ン を有効に し て Nmap スキ ャ ン修正を設定する と 、 Nmap 修正が失敗 し ます。 回避策 と し て、 [Fast Port Scan] オプ シ ョ ン を無効に し ます。 (134499) • 接続イ ベン ト テーブルに保存 さ れた検索条件に基づいて接続イ ベン ト のサ マ リ ー デー タ を含むレ ポー ト を生成する と 、 そのテーブルのレ ポー ト に デー タ が取 り 込まれません。 (134541) • 同時シ ス テム バ ッ ク ア ッ プ タ ス ク を スケジ ュ ール し て実行する と 、 シ ス テム パ フ ォ ーマ ン スが低下 し ます。 回避策 と し て、 スケジ ュ ール さ れた タ ス ク を調整 し て、 一度に 1 回のバ ッ ク ア ッ プのみが実行 さ れる よ う に し ま す。 (134575) • グ リ ニ ッ ジ標準時 (GMT、 UTC と も い う ) がロー カルの時間帯ではない場 合、 スケジ ュ ール さ れた位置情報の更新が失敗する こ と があ り ます。 ロー カル タ イ ムゾーンが GMT よ り X 時間遅い場合 (+X) は、 位置情報更新を X:00 以降にスケジ ュ ール し ます。 ロー カル タ イ ムゾーンが GMT よ り X 時 間早い場合 (-X) は、 位置情報更新を 24:00 -X 以前にスケジ ュ ール し ま す。 た と えば、 ロー カル タ イ ムゾーンが UTC-5 の場合、 更新を現地時間 の 19:00 よ り も前にスケジ ュ ール し ます。 (134742) • デー タ ベース を照会する場合、 [application_host_map] テーブルの [host_id] フ ィ ール ド または [application_tag_id] フ ィ ール ド を使用 し て結合を実行す る こ と がで き ません。 (134791) • ユーザおよびグループのア ク セス コ ン ト ロール パラ メ ー タ が有効にな っ てい る、 以前に設定 し た LDAP 接続を編集する場合、 [Fetch Groups] を ク リ ッ ク し て も [Available Groups] ボ ッ ク スにデー タ が取 り 込まれません。 使 用可能なグループ を取得する には、 LDAP 接続の編集時にパスワー ド を再 入力する必要があ り ます。 (134872) • [Event View Settings] ページの [Event Preferences] セ ク シ ョ ン で [Resolve IP Addresses] を有効に し た場合に、 IPv6 ア ド レ スに関連付け られたホス ト 名がダ ッ シ ュ ボー ド またはイ ベン ト ビ ュ ーで正 し く 解決 さ れない場合が あ り ます。 (135182) • LDAP 認証オブ ジ ェ ク ト を作成する場合、 [Base Filter] フ ィ ール ド に 450 文 字を超え る文字を入力する こ と がで き ません。 (135314) Sourcefire 3D System リ リ ース ・ ノ ー ト 34 既知の問題 バージ ョ ン 5.3 • 夏時間 (DST) の実施中に タ ス ク を スケジ ュ ール し た場合、 DST を実施 し ていない期間にはその タ ス ク が実行 さ れない こ と があ り ます。 回避策 と し て、 [Time Zone Preference] ページ ([Admin] > [User Preferences]) で [Europe, London] を ロー カルの時間帯 と し て選択 し 、 DST を実施 し ていな い と き に タ ス ク を再作成 し ます。 (135480) • シ ス テムには、 デー タ ベースのチ ェ ッ クのため、 バージ ョ ン 5.3 以降が実 行 さ れてい る ア プ ラ イ ア ン ス を再起動するのに追加の時間が必要です。 デー タ ベースのチ ェ ッ ク中にエ ラ ーが検出 さ れた場合は、 デー タ ベース を 修復する ために再起動に さ ら に時間が必要です。 (135564、 136439) • シ ス テムが SSH プ リ プ ロ セ ッ サ ルール 128:1 に対 し て誤検出を生成する 場合があ り ます。 (135567) • [Extract Original Client IP Address] HTTP プ リ プ ロ セ ッ サ オプ シ ョ ン を有効 に し たルールが含まれる侵入ポ リ シーを適用する と 、 ト ラ フ ィ ッ クが専用 のプ ロキシ サーバを通過 し た場合に [Original Client IP] フ ィ ール ド で、 侵 入イ ベン ト に誤 っ たデー タ が取 り 込まれる場合があ り ます。 (135651) • 管理対象デバイ ス をバージ ョ ン 5.1.1.x か ら バージ ョ ン 5.2.x に更新 し 、 そ の後にバージ ョ ン 5.3 に更新する と 、 [high unmanaged disk usage] に対 し て無関係なヘルス ア ラ ー ト が生成 さ れます。 (135689) • [Correlation Events] テーブルお よび [Applications] テーブルか ら のデー タ が 読み込まれた カ ス タ ム テーブルを設定 し 、 次に共通 フ ィ ール ド と し て [Source IP] を選択する と 、 バージ ョ ン 5.3 への更新が失敗 し ます。 回避策 と し て、 カ ス タ ム テーブルを削除 し 、 バージ ョ ン 5.3 への更新後に再作成 し ます。 (135735) • バージ ョ ン 5.2.x か ら バージ ョ ン 5.3 にア プ ラ イ ア ン ス を更新 し 、 後で バ ッ ク ア ッ プ を作成 し た場合、 バージ ョ ン 5.3 のイ メ ージ を再作成 し たア プ ラ イ ア ン ス でバ ッ ク ア ッ プ を復元する こ と はで き ません。 (135869) • 監視ルール (接続終了のロギン グ を強制する) および[Log at Beginning of Connection] を有効に し た信頼ルールがあ る ア ク セス制御ポ リ シーを設定 する と 、 SSH 暗号化 ト ラ フ ィ ッ ク と 照合する ための接続終了イ ベ ン ト が生 成 さ れない場合があ り ます。 回避策 と し て、 ルールを上記のよ う に設定 し 、 信頼ルールのす ぐ上に許可ルールを追加 し ます。 許可ルールは信頼 ルール と 同 じ 条件で設定 し 、 [Log at Beginning of Connection] および [Log at End of Connection] の両方を有効に し 、 さ ら に SSH 暗号化 ト ラ フ ィ ッ ク を照合する ア プ リ ケーシ ョ ン条件を付けます。 (135952) • 物理的な管理対象デバイ スで [User Management] ページ ([System] > [Local] > [User Management]) へのア ク セスが制限 さ れる場合があ り ます。 回避策 と し て、 次の URL を手動で入力 し 、 [User Management] ページに admin ユーザ と し て ア ク セス し ます。 https://appliance/admin/user/view/cgi (appliance はア プ ラ イ ア ン スの IP ア ド レ ス または名前です) (136079) Sourcefire 3D System リ リ ース ・ ノ ー ト 35 既知の問題 バージ ョ ン 5.3 • ア ク セス制御ポ リ シーを複数のデバイ スに適用する と 、 防御セ ン タ ーでは Web イ ン タ ー フ ェ イ スの [Task Status] ページ、 [Access Control policy] ページ、 お よび [Device Management] ページ で タ ス ク ス テー タ スが異な る表示にな り ます。 [Device Management] ページ ([Devices] > [Device Management]) のス テ ー タ スが正 し い表示です。 (136364、 136614) • ヘルス イ ベン ト テーブルに基づいて カ ス タ ム ワー ク フ ローを作成する と 、 防御セ ン タ ーに よ り イ ベ ン ト ビ ュ ーアに競合デー タ が表示 さ れる場合があ り ます。 (136419) • カ ス タ ム侵入ルールを .rtf フ ァ イル と し て イ ン ポー ト し た場合、 rtf フ ァ イル タ イ プはサポー ト さ れていない と い う 警告が出ません。 (136500) • 物理イ ン タ ー フ ェ イ ス を無効にする と 、 それに関連付け られる論理イ ン タ ー フ ェ イ スは無効にな り ますが、 管理対象デバイ スのア プ ラ イ ア ン ス エ デ ィ タ の [Interfaces] タ ブ では緑色のま ま です。 (136560) • syslog または SNMP ト ラ ッ プ サーバに記録 さ れた接続イ ベ ン ト が、 誤 っ た [URL Reputation] 値を持つ場合があ り ます。 (138504) • ア ク セス制御ポ リ シーでは、 ポ リ シーのセキ ュ リ テ ィ イ ン テ リ ジ ェ ン ス ブ ラ ッ ク リ ス ト の前にシ ス テムは特定の信頼ルールを処理 し ます。 最初の 監視ルールの前、 またはア プ リ ケーシ ョ ン、 URL、 ユーザ、 または位置情 報に基づ く ネ ッ ト ワー ク条件を持つルールの前に置かれた信頼ルールは、 ブ ラ ッ ク リ ス ト の前に処理 さ れます。 つま り 、 ア ク セス制御ポ リ シーの最 上位に近い信頼ルール (最 も 小 さ い番号のルール) または単純なポ リ シー で使用 さ れる信頼ルールでは、 ブ ラ ッ ク リ ス ト に登録 さ れるべき ト ラ フ ィ ッ ク が登録 さ れず、 無検査で通過する こ と を許可 し ます。 (138743、 139017) • 侵入ポ リ シーの [Drop When Inline] を無効にする と 、 ト ラ フ ィ ッ ク で検知 さ れたパケ ッ ト のイ ン ラ イ ン正規化に よ る変更が停止 し 、 どのよ う な ト ラ フ ィ ッ ク が変更 さ れるかが示 さ れません。 場合に よ っ ては、 [Drop When Inline] を再度有効に し た後、 ネ ッ ト ワー クの他のデバイ スやア プ リ ケー シ ョ ン も 同 じ よ う に動作 し ない こ と があ り ます。 (139174、 139177) • セキ ュ リ テ ィ 問題 Sourcefire は Intelligent Platform Management Interface (IPMI) 標準 (CVE-2013-4786) に内在する脆弱性を認識 し ています。 ア プ ラ イ ア ン スの Lights-Out Management (LOM) を有効にする と 、 こ の脆弱 性に さ ら さ れます。 脆弱性を軽減する には、 信頼 さ れるユーザのみがア ク セス可能なセキ ュ ア な管理ネ ッ ト ワー ク にア プ ラ イ ア ン ス を展開 し 、 複雑 で、 辞書に載 っ ていない単語か ら な る 20 バイ ト のパスワー ド を使用 し ま す。 こ の脆弱性を回避せず、 LOM を有効にする場合は、 3 か月ご と に複雑 なパスワー ド を変更 し て く だ さ い。 こ の脆弱性の リ ス ク を回避する には、 LOM を有効に し ないで く だ さ い。 (139286、 140953) Sourcefire 3D System リ リ ース ・ ノ ー ト 36 サポー ト サポー ト Sourcefire を ご購入いただ き、 あ り が と う ご ざいま し た。 https://support.sourcefire.com/ にア ク セス し 、 『Sourcefire Support Welcome Kit』 を ダウ ン ロー ド し て く だ さ い。 こ のサポー ト キ ッ ト はお客様が Sourcefire サポー ト を お使いいただける よ う に、 ま た、 カ ス タ マー セ ン タ ーのア カ ウ ン ト 設定を お手伝い し ます。 Sourcefire 防御セ ン タ ーまたは管理対象デバイ スについての質問やサポー ト が必 要な場合は、 Sourcefire サポー ト にお問い合わせ く だ さ い。 • Sourcefire サポー ト サイ ト : https://support.sourcefire.com/ • 電子 メ ールに よ る Sourcefire サポー ト へのお問い合わせ : [email protected] • 電話に よ る Sourcefire サポー ト へのお問い合わせ : 410.423.1901 または 1.800.917.4134 X-Series プ ラ ッ ト フ ォ ームに関する質問があ る場合、 またはサポー ト が必要な場 合は、 Blue Coat サポー ト サイ ト を ご覧 く だ さ い。 https://www.bluecoat.com/support/contactsupport/。 Sourcefire 製品を ご利用いただ き あ り が と う ご ざいま し た。 特記事項 Cisco、 Cisco ロ ゴ、 Sourcefire、 Sourcefire のロ ゴ、 Snort、 Snort and Pig のロ ゴ、 お よびその他の商標 と ロ ゴは、 米国およびその他の国におけ る シ ス コ およびその関 連会社の商標または登録商標です。 シ ス コ の商標の一覧は、 www.cisco.com/go/trademarks で ご確認いただけます。 掲載 さ れてい る第三者の商 標はそれぞれの権利者の財産です。 「パー ト ナー」 または 「partner」 と い う 用語 の使用はシ ス コ と 他社 と の間のパー ト ナーシ ッ プ関係を意味する ものではあ り ま せん。 特記事項、 免責事項、 ご利用条件、 お よび本書に含まれる その他の情報 (「ご利 用条件」) は、 こ の ド キ ュ メ ン ト (「本書」) に記載 さ れている情報、 お よび読者 に よ る その使用にのみ適用 さ れます。 こ れ らのご利用条件は、 シ ス コ またはシ ス コ 支社 (以下、 「シ ス コ 」) が管理する Web サイ ト 、 お よび Sourcefire またはシ ス コ が提供する製品の使用には適用 さ れず、 また、 それ ら を管理する も ので も あ り ません。 Sourcefire お よびシ ス コ 製品はご購入いただ く こ と に よ り 利用で き、 ま っ た く 異な る条件を含むご利用条件 と 個別の ラ イ セ ン ス使用許諾契約が必要 です。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 37 サポー ト 本書の著作権はシ ス コ が所有 し 、 米国およびその他の国々の著作権およびその他 の知的所有権に関する法律に よ り 保護 さ れます。 本書は非商用目的の使用の場合 にのみ、 使用、 印刷、 検索シ ス テムへの保存、 その他複製や配布を行 う こ と がで き ます。 ただ し 、 以下の条件が満た さ れる場合に限 り ます。 (i) いかな る方法に おいて も 本書を変更 し ない こ と (ii) シ ス コ の著作権情報、 商標、 その他の所有 権通知、 お よび本ページおよびその条件の全内容への リ ン ク、 またはその印刷を 必ず含める こ と 。 本書のいかな る部分 も シ ス コ の明確な書面に よ る事前の許可な く 、 編集する こ と はで きず、 また、 その他別の著作物や任意の ド キ ュ メ ン ト 、 ユーザ マ8ニ ュ アル に加え る こ と も 、 派生的な著作物の作成に使用する こ と も で き ません。 シ ス コ は 条件を随時変更する権利を留保 し 、 本書の継続的な使用は こ れ らの条項に同意 し た もの と 見な さ れます。 © 2004 - 2014 Cisco and/or its affiliates. All rights reserved. 免責事項 本書およびそ こ か ら入手で き るすべての情報には正確ではない ものや誤植が含ま れている こ と があ り ます。 シ ス コ は随時本書を変更で き ます。 シ ス コ が管理する すべての Web サイ ト 、 ド キ ュ メ ン ト 、 お よび/またはすべての製品情報の正確性 や的確性について、 シ ス コ は一切の表明または保証を行いません。 シ ス コ が管理 する Web サイ ト 、 ド キ ュ メ ン ト 、 およびすべての製品情報は 「現状のま ま」 提 供 さ れ、 シ ス コ はすべての明示および暗黙の保証を否認 し ます。 こ れには権原の 保証および特定目的に対する商品性お よび/または適合性が含まれますが、 こ れ ら に限定 さ れる ものではあ り ません。 シ ス コ はいかな る場合で も、 シ ス コ が管理 する Web サイ ト または文書か ら 発生、 またはそれ ら に関連 し た任意の方法にお いて生 じ た、 直接的損害、 間接的損害、 偶発的損害、 特別損害、 懲罰的損害、 ま たは結果的損害 (代替商品または代替サービ スの調達、 デー タ の損失、 利益の損 失、 および/または事業の中断を含むが、 こ れ ら に限定 さ れない) に対 し て、 そ れがどのよ う に発生 し たか、 あ る いは契約、 厳密な法的責任、 過失あ る いはその 他の行為またはその他の任意の法的責任の理論に基づ く ものであ るか否かにかか わ ら ず、 かつ、 シ ス コ がそ う し た損害の可能性を通知 さ れていた と し て も、 一切 責任を負いません。 州または司法管轄区域に よ っ ては、 結果的または偶発的な損 害の制限または除外が許可 さ れていないため、 お客様に上記の制限が適用 さ れな い場合があ り ます。 バージ ョ ン 5.3 Sourcefire 3D System リ リ ース ・ ノ ー ト 38
© Copyright 2024 ExpyDoc