Correto. O ASA não executa a terminação SSL (além daquela exigida para o WebVPN e o AnyConnect VPN), assim não pode fornecer um fluxo de dados descriptografado para o AIP inspecionar. Você precisaria posicionar outra coisa na frente do ASA que possa executar a terminação SSL, como um firewall de aplicativo da Web, como você mencionou. Alguns produtos de balanceamento de carga (por exemplo, Cisco CSM-SSL) também podem fazer isso.