Firepower や FTD(Firepower Thereat Defense) において、片方向のみ vlan tag が付与されてる通信を Intrusion Policy で検知できない事象が報告されています。これは検知させようとしている snort rule 内に establish オプションが付与されている場合、default の挙動としては Firepower/FTD は vlan tag を含めてセッション管理を行っているため同一セッションとして認識することができないために発生しており、動作としては期待されたものとなります。対策は以下の 2 つがございます。
1. 検知させたい snort rule 内の establish オプションを削除する(赤枠内右上の x を選択すると established オプションを削除することが可能です)
2. ACP(Access Control Policy)の Advanced 設定内の "Ignore the VLAN header when tracking connection" を Yes に変更する。
特定の Rule のみに対して変更したい場合は 1 を、検査パケット全体に対して変更したい場合は 2 をご利用頂ければと思います。
Last reviewed on Dec 31, 2017 by toishika