Skip to main content

 

Cisco Meraki Documentation

高度なマルウェア対策 (AMP)

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年08月22日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

Advanced Malware Protection (AMP) は、Sourcefire® から提供されている業界をリードするマルウェア対策技術であり、MX セキュリティアプライアンスに統合されています。

AMP は、Advanced Security Edition ライセンスおよびSD-WAN ライセンスでのみ利用可能です。

MX と AMP および Threat Grid 間の通信に必要な重要なアップデートが実施されました。MX の AMP および Threat Grid サービスが期待通りに動作し続けるように、これらのファームウェアバージョンにアップグレード、またはそれ以上のバージョンにアップグレードしてください。

  • MX 14.56 以上

  • MX 15.43 以上

  • MX 16.7 以上

AMP 有効化済みの MX デバイスは、2023 年後半より前にアップグレードする必要があります。2023 年後半が近づくにつれ、より具体的な日程が共有されます。

Threat Grid 有効化済みの MX デバイスは、2023 年 2 月より前にアップグレードする必要があります。

注意: 上記の日付より前に AMP 有効化済みの MX デバイスをアップグレードしない場合、AMP は AMP クラウドへ接続できず、フェイルクローズ動作となります。これにより、AMP で検査されたすべてのファイルダウンロードがブロックされます(AMP を手動で無効化しない限り)。

注記: 

  • AMP ファームウェアのアップグレード期限は、当初の 2021 年 12 月 1 日から2023 年後半まで延長されました。2023 年第 1 四半期が近づくにつれ、より具体的な日程が共有されます。
  • Threat Grid ファームウェアのアップグレード期限は、当初の 2021 年 10 月 1 日から 2023 年 2 まで延長されました。

AMP を機能させるには、ネットワーク全体 > 設定 > 一般 > トラフィック分析でトラフィック分析を有効にする必要があります。

Meraki Learning Hub の無料オンライン トレーニングコースでさらに学びましょう:

Cisco SSO でサインインするか、無料アカウントを作成してトレーニングを開始してください。

主な概念

AMP を使用する際には、いくつかの主な概念を理解することが重要です。

ディスポジション

ファイルの判定(ディスポジション)は、AMP クラウドからの分類であり、ファイルダウンロード時にどのような処理を行うかを決定します。

ファイルの判定には 3 種類あります:

  • 正常 - ファイルが安全であることが確認されています。
  • 有害 - ファイルが有害であることが確認されています。
  • 不明 - クリーンまたはマルウェアとして分類するのに十分なデータがありません。

レトロスペクション(遡及判定)

AMP クラウドが新たな脅威インテリジェンスを取得した場合、ファイルの判定が変更されることがあります。この再分類により、レトロスペクティブアラートや通知が発生することもあります。

AMP 統合の概要

MX セキュリティアプライアンスは、AMP クラウドから受信した判定に基づき、HTTP ベースのファイルダウンロードをブロックします。ファイルダウンロードに対して 有害 のディスポジションを受信した場合はブロックされます。正常 または 不明 の場合、ファイルダウンロードは許可されます。

 

検査対象のサポートファイルタイプは以下のとおりです:

  • MS OLE2(.doc、.xls、.ppt)
  • MS キャビネット(Microsoft 圧縮形式)
  • MS EXE(Microsoft 実行ファイル)
  • ELF(Linux 実行ファイル)
  • Mach-O/Unibin(OSX 実行ファイル)
  • DMG(Apple ディスクイメージ)
  • Java(class/bytecode、jar、シリアライズ)
  • PDF
  • ZIP(通常および分割)*
  • EICAR(標準テストファイル)
  • SWF(Shockwave Flash 6、13、および非圧縮)

 

* これには、XML ベースの Microsoft Office ファイルタイプ(.docx、.xlsx など)の検査も含まれます。

 

設定

AMP は、セキュリティ & SD-WAN > 設定 > 脅威からの保護 の Advanced Malware Protection (AMP) セクションで モード有効 に設定することで有効にできます。

監視

AMP イベントの監視は、セキュリティ & SD-WAN > 監視 > セキュリティセンター ページから実施できます。

セキュリティセンターのフィルタードロップダウンメニューのスクリーンショット。ネットワーク、イベントタイプ、ディスポジションおよびアクションの三つの主な基準が含まれています。選択されているオプションは「現在のネットワークのみ」「マルウェア検出」「悪意あり」「ブロック済み」で、未選択のオプションは「IDS」「クリーン」「ブロック済み」です。

セキュリティセンターの詳細については、こちらの記事をご参照ください。

アラート

レトロスペクティブマルウェアイベントのメールアラートは、ネットワーク全体 > 設定 > アラート ページで設定できます。これを有効にするには、アラート > アラート設定 > WAN アプライアンス セクションで マルウェアがダウンロードされましたにチェックを入れてください。このアラートは、レトロスペクティブ AMP アラートが発生した際に、設定された受信者へメールで通知し、ダウンロード済みのファイルが悪意あるディスポジションに変更されたことを管理者へ知らせます。