- スケジューリング機能について
- FMCのタスクの設定
- タスクの設定例
- VDBの自動ダウンロードと更新 (毎月 1回実施)
- よくある問い合わせ
- SRUの自動更新もスケジューリング機能で可能ですか
- Geolocation DB の自動更新もスケジューリング機能で可能ですか
- セキュリティ インテリジェンス の自動更新設定もスケジューリング機能で可能ですか
- スケジューリング機能を用いて FTDデバイスの自動バックアップは可能ですか
- 参考情報
スケジューリング機能について
FMCの Scheduling機能を用いる事で、指定時間に 1回 もしくは 定期的に、指定機器に、以下などのタスクの自動実行が可能です。
- FMC/FTD 自動バックアップ (※FTDの自動バックアップは version 6.4から対応)
- ポリシーのデプロイ
- 最新のSoftwareやVDBのダウンロード
- ダウンロードしたSoftwareやVDBの適用
- URLデータベースのアップデート
なお、以下の更新は Scheduling機能ではできません。代わりに、Syetem > Updates から設定可能です。詳しくは、当ドキュメントの「よくある問い合わせ」を参照してください。
- Snort Rule Update (SRU)
- Geolocation Database (GeoDB)
Scheduling機能を用いて、タスクを深夜帯など通信影響の少ない時間帯に実施する事で、運用負荷や通信影響リスクを抑える事ができます。
本手順では Firepower System バージョン 6.0.0.1を用いて確認、作成しております。
FMCのタスクの設定
System > Tools > Scheduling に移動します。
Add Taskボタンをクリックします。
以下ページに遷移するため、任意タスクを設定します。
Job Typeは、以下などより選択できます。
- Backup (バックアップ)
- Deploy Policies (ポリシーのデプロイ)
- Download Latest Update (最新のSoftwareやVDBのダウンロード)
- Install Latest Update (ダウンロードしたSoftwareやVDBの適用)
- Update URL Filtering Database (URLデータベースのアップデート)
タスクの実行間隔は、Once(1回だけ) or Recurring(定期) から選択できます。 Recurringは、毎時・毎日・毎週・毎月から設定可能です。
以下は 毎週日曜 AM3:00に、URLデータベースの自動アップデートを行うための タスクの設定例です。
任意Job名を設定し Saveボタンをクリックします。
以下は設定適用後のカレンダーの出力です。 想定の日付にタスクがセットされたことを確認します。
タスクの設定例
VDBの自動ダウンロードと更新 (毎月 1回実施)
Vulnerability Database (VDB)は、アプリケーション検知や、どのホストが どの脆弱性の影響下にあるか分析等に利用できるデータベースです。 FMCに適用し、管理ネットワークの脆弱性影響の管理や分析に役立てることができます。
VDBの自動アップデートには、以下 2つのステップを踏む必要があります。
- VDBアップデートのダウンロード
- VDBアップデートのインストール
ダウンロードが完了した後に インストールが可能なため、ダウンロードとインストールの実行間隔は、十分にあける事をお勧めしております。(例:ダウンロードを土曜日深夜に、インストールは日曜深夜に実行する、など。)
次に、FMCでの実際の設定と動作確認例を示します。
まず、System > Tools > Scheduling の Add Taskより、VDBアップデートのダウンロードタスクを設定します。
次に、同様の手順で、VDBアップデートのインストールタスクを設定します。
カレンダーを確認し、想定のタスク状態である事を確認します。なお、次の月を確認したい場合は、カレンダー右上の > ボタンをクリックします。
タスクの実行状況は、Task Details欄で確認できます。 以下は、指定時間経過後、VDBアップデートのダウンロードタスクが成功したときの画面です。
System > Updates > Product Updates より、最新のVDBバージョンがダウンロードされている事を確認できます。
以下は、指定時間経過後、VDBアップデートのインストールタスクが成功したときの画面です。
以下は、実行中(VDB適用中)のタスク。
Help > About より、VDBバージョンが更新されたことを確認します。
よくある問い合わせ
SRUの自動更新もスケジューリング機能で可能ですか
いいえ、Snort Rule Update (SRU)は別途 自動アップデート機能がありますので、System > Updates > Rule Updates から任意間隔で自動アップデートと その後の アップデートデプロイの設定を実施してください。設定例についてより詳しくは、ご利用バージョンの 定期的な侵入ルール更新の設定 などを参照してください。例えば以下は、毎日 AM 2:00 に SRUの自動アップデートとデプロイの設定例です。
Geolocation DB の自動更新もスケジューリング機能で可能ですか
いいえ、Geolocation Database (GeoDB) は別途 自動アップデート機能がありますので、System > Updates > Geolocation Updates から任意間隔で自動アップデートを実施してください。地理情報はアップデートされると、自動で地理情報を利用して通信制御がされるようになるため、特にデプロイは不要です。例えば以下は、毎週日曜 AM 9:00 に GeoDBの自動アップデートの設定例です。
セキュリティ インテリジェンス の自動更新設定もスケジューリング機能で可能ですか
いいえ、Security Intelligence Feed の更新間隔や 更新状況は、Objects > Object Management > Security Intelligence から確認や変更が可能です。詳しくは、Firepower: セキュリティ インテリジェンス: 疑いのあるIPアドレスの自動ブロック方法 を参照してください。
スケジューリング機能を用いて FTDデバイスの自動バックアップは可能ですか
はい、Firepower System バージョン 6.4以降で対応しています。 詳しくは以下ドキュメントを参照ください。
以下はスケジューリング機能を用いて、FTD-HA構成の毎月の各FTDデバイスの自動バックアップ設定例です。
参考情報
Firepower Management Center Configuration Guide, Version 6.0
- Chapter: Task Scheduling (FMC管理時)
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/configuration/guide/fpmc-config-guide-v60/Scheduling_Tasks.html
Cisco ASA with FirePOWER Services Local Management Configuration Guide, Version 6.0
- Chapter: Scheduling Tasks (ASDM管理時)
http://www.cisco.com/c/en/us/td/docs/security/firepower/60/asa-fp-services/asa-with-firepower-services-local-management-configuration-guide-v60/Scheduling-Tasks.html
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
