JSON を使用した Tenable Agent のデプロイ

インストール後に初めてエージェントを起動すると、エージェントは最初に環境変数が存在するかどうかをチェックし、次に config.json ファイルがあるかチェックします。エージェントの初回起動時に、エージェントはその情報を使用してマネージャーにリンクし、環境設定を行います。

config.json ファイルで Tenable Agent をデプロイするには

  1. config.json ファイルを設定します。

    注意: config.json は ASCII 形式である必要があります。PowerShell などの一部のツールは、デフォルトで他の形式のテストファイルを作成します。

    Tenable Agent config.json ファイル形式の例:

    { "link": { "name": "sensor name", "host": "hostname or IP address", "port": 443, "key": "abcdefghijklmnopqrstuvwxyz", "ms_cert": "CA certificate for linking", "retry": 1, "proxy": { "proxy": "proxyhostname", "proxy_port": 443, "proxy_username": "proxyusername", "proxy_password": "proxypassword", "user_agent": "proxyagent", "proxy_auth": "NONE" } }, "preferences": { "global.max_hosts": "500" } }

    Tenable Agentconfig.json ファイル形式の例 (auto_proxy を使用する場合)

    { "link": { "name": "sensor name", "host": "hostname or IP address", "port": 443, "key": "abcdefghijklmnopqrstuvwxyz", "ms_cert": "CA certificate for linking", "retry": 1, "proxy": { "proxy": "proxyhostname", "proxy_port": 443, "auto_proxy": "true" } } }

    config.json の詳細

    config.json の、各セクションの個別設定の書式を以下に記載します。

    注意 : すべてのセクションは省略可能です。セクションを含めない場合、そのセクションは Tenable Agent を初めて起動したときには設定されません。その設定は、後で手動で設定できます。

    リンク

    link セクションでは、エージェントをマネージャーにリンクする際の環境設定を設定します。

    ヒント: config.jsonリンク設定を指定し、再試行設定を空白のままにすると、nessuscli--install-offline リンク引数を使用した場合と同じ結果になります。これにより、オフラインであっても、指定されたホストに Tenable Agent がインストールされます。再試行回数が指定されていない場合、エージェントは無期限にホストへのリンクを試行します。

    [設定] 説明
    名前

    (オプション)

    スキャナーの名前。

    エージェントの名前。エージェントの名前を指定しない場合、名前はエージェントをインストールしているコンピューターの名前にデフォルトで設定されます。
    [host](ホスト)

    リンク先となるマネージャーのホスト名または IP アドレスです。

    Tenable Vulnerability Management にリンクするには、cloud.tenable.com を使用します。
    [port](ポート)

    リンク先のマネージャーのポート。

    Tenable Nessus Managerの場合: 8834 またはカスタムポート。

    Tenable Vulnerability Managementの場合: 443
    [key](キー) Manager から取得したリンクキー。
    [network](ネットワーク)

    (オプション、Tenable Vulnerability Management にリンクされたエージェントのみ)

    リンク先にするカスタムネットワーク。ネットワークを指定しない場合、エージェントはデフォルトのネットワークに属すことになります。
    ms_cert

    (オプション)

    マネージャーのサーバー証明書の検証に使用するカスタム CA 証明書。
    [groups](グループ)

    (オプション)

    スキャナーを追加する、1 つ以上の既存のスキャナーグループ。コンマ区切りリストで複数のグループをリストにします。グループ名にスペースが含まれる場合は、リスト全体を引用符で囲みます。

    例: "Atlanta,Global Headquarters"

    エージェントを追加する 1 つ以上の既存のエージェントグループ。インストールプロセス中にエージェントグループを指定しない場合、Tenable Nessus Manager または Tenable Vulnerability Management で、リンクされたエージェントを後からエージェントグループに追加できます。

    コンマ区切りリストで複数のグループをリストにします。グループ名にスペースが含まれる場合は、リスト全体を引用符で囲みます。

    例: "Atlanta,Global Headquarters"

    注意: エージェントグループ名は、大文字と小文字を区別し、正確に一致する必要があります。エージェントグループ名は引用符で囲む必要があります (例: --groups="My Group")。
    [retry](リトライ)

    (オプション)

    最初の試行が失敗した場合に、エージェントがマネージャーへのリンクを試行する回数。

    再試行の設定を含めない場合、エージェントはリンクを無期限に試行します。

    注意: 再試行を 1 に設定すると、エージェントは最初の失敗から 30 秒後にマネージャーへのリンクを試みます。次の再試行は、前回の再試行の待機の 2 倍の時間になります。たとえば、再試行を 5 に設定した場合、エージェントは、最初の失敗から 30 秒後、2 番目の失敗から 60 秒後、3 番目の失敗から 120 秒後、4 番目の失敗から 240 秒後、5 番目の失敗から 480 秒後にリンクを試行します。
    [proxy](プロキシ)

    (オプション)

    プロキシサーバーを使用している場合は、次のように記載します。

    • proxy : プロキシサーバーのホスト名または IP アドレス。

    • proxy_port: プロキシサーバーのポート番号。

    • auto-proxy (Windows のみ): 有効な場合、エージェントは WPAD (Web Proxy Auto Discovery) を使用してプロキシ自動設定 (PAC) ファイルを取得し、プロキシを設定します。この設定は、他のすべてのプロキシ設定に優先します。無効な場合、エージェントは残りのプロキシ設定をデフォルトにします。

      注意: 設定ファイルに auto_proxy を含める場合は、proxy および proxy_port パラメーターも指定する必要があります。

    • proxy_username: プロキシサーバーへのアクセスと使用が許可されているユーザーアカウント名。

    • proxy_password: ユーザー名として指定したユーザーアカウントのパスワード。

    • user_agent: ユーザーエージェント名 (プロキシで事前定義されているユーザーエージェントが必要な場合)。

    • proxy_auth: プロキシで使用する認証方法。
    profile_uuid

    (オプション)

    エージェントの割り当て先となるエージェントプロファイルの UUID (例: 12345678-9abc-4ef0-9234-56789abcdef0)。詳細については、Tenable Vulnerability Management ユーザーガイドエージェントプロファイルを参照してください。

    環境設定

    環境設定セクションでは、詳細な設定を行います。詳しくは、詳細設定を参照してください。

  2. ご使用のオペレーティングシステム用の Tenable Agent インストールパッケージをダウンロードしてください。

  3. (Windows のみ) パッケージをインストールする前に、パッケージを変更して、インストール後にエージェントが自動的に起動しないようにする必要があります。これは、エージェントサービスを初めて起動するときに、エージェントが config.json ファイルを読み取る必要があるためです。

    パッケージを変更するには、次のコマンドを実行します。

    msiexec /i <agent package>.msi NESSUS_SERVICE_AUTOSTART=false /qn

  4. Tenable Agent をインストールします。詳細は、Windows での Tenable Agent のインストールmacOS での Tenable Agent のインストール、またはLinux での Tenable Agent のインストールを参照してください。

  5. (macOS のみ) Windows とは異なり、Tenable Agent をインストールする前に自動起動をオフにする方法はありません。したがって、config.json を追加してエージェントサービスを開始する前に、Tenable Agent を新しい状態にリセットする必要があります。

    macOS で Tenable Agent を新しい状態に戻し、config.json を検証し、config.json を適切なディレクトリに配置するには、次のコマンドを実行します。

    /Library/NessusAgent/run/sbin/nessuscli prepare-image --json=<path to json file>

    注意: Tenable Agent の自動起動は、Linux パッケージではデフォルトで無効になっています。したがって、Linux を使用している場合は、手順 3 と 5 を無視できます。

  6. config.json がまだない場合は、Tenable Agent ディレクトリに配置します。

    • Windows — C:\ProgramData\Tenable\Nessus Agent\nessus\config.json
    • macOS — /Library/NessusAgent/run/var/nessus/config.json
    • Linux — /opt/nessus_agent/var/nessus/config.json

  7. エージェントサービスを開始します。

  8. オペレーティングシステムに応じて、次のコマンドを実行して config.json 環境設定を検証します。

    • Windows — "C:\Program Files\Tenable\Nessus Agent\nessuscli.exe" fix --secure --list

    • macOS — /Library/NessusAgent/run/sbin/nessuscli fix --secure --list

    • Linux — /opt/nessus_agent/sbin/nessuscli fix --secure --list

    設定が正常に適用されたことを確認したら、リンク処理は完了です。