macOS での Tenable Agent のインストール

次の手順を使用して、macOS システムに Tenable Agent をインストールします。インストール後、エージェントをマネージャー (Tenable Vulnerability Management または Tenable Nessus Manager) にリンクします。これにより、インストールの完了後にエージェントがスキャンデータの送信を開始できるようになります。

始める前に

注意: フルディレクトリアクセス権の一部の監査では、エージェントがフルディスクアクセス権を必要とする場合があります。したがって、Tenable では、macOS にインストールされているエージェントにフルディスクアクセス権を許可することを推奨しています。

警告: nessusd を実行している既存の Tenable AgentTenable Nessus ManagerTenable Nessus スキャナーがすでに存在するシステムに Tenable Agent をインストールする場合、インストールプロセスにより他のすべての nessusd プロセスが強制終了されます。この結果スキャンデータが失われる場合があります。

Tenable Agent のダウンロード

Tenable Agent のダウンロードページで、ご利用のオペレーティングシステムに固有のパッケージをダウンロードします。

エージェントパッケージをダウンロードしたら、エージェントをインストールします。

エージェントのインストール

注意: 次の手順を実行するには、root 権限が必要です。

GUI インストールウィザードまたはコマンドラインを使用して、Tenable Agent をインストールできます。

GUI インストール

  1. Tenable Agent .dmg (macOS ディスクイメージ) ファイルをダブルクリックします。
  2. Install Nessus Agent.pkg をダブルクリックします。
  3. Nessus Agent インストールウィザードを終了します。

コマンドラインインストール

  1. Install Nessus Agent.pkg.NessusAgent.pkgNessusAgent-<version number>.dmg から展開します。
    注意: .NessusAgent.pkg ファイルは通常 macOS Finder では表示されません。
  2. ターミナルを開きます。
  3. コマンドラインから、次のコマンドを入力します。

    4. # sudo installer -pkg /<path-to>/Install Nessus Agent.pkg -target /

エージェントのインストールが完了したら、エージェントをマネージャーにリンクします。

ヒント: リンクする前にフルプラグインセットをインストールすると、一括インストール実行中に消費される帯域幅を減らすことができます。これは、プラグインセットの場所を指定する --file パラメーターを指定して nessuscli agent update コマンドを使用して行うことができます。この作業は Tenable Agent を開始する前に行う必要があります。例

/opt/nessus_agent/sbin/nessuscli agent update --file=./plugins_set.tgz

このプラグインセットは 5 日以内に入手したものである必要があります。入手後 5 日を超える古いプラグインセットでは、フルプラグインのダウンロードが強制的に開始されます。最新のプラグインセットは、Tenable Agent ダウンロードページからダウンロードできます。

コマンドラインを使用したエージェントのリンク付け

macOS でエージェントをリンクするには、次のようにします。

  1. ターミナルを開きます。

  2. コマンドラインから、nessuscli agent link コマンドを使用します。

    # sudo /Library/NessusAgent/run/sbin/nessuscli agent link
    --key=00abcd00000efgh11111i0k222lmopq3333st4455u66v777777w88xy9999zabc00
    --name=MyOSXAgent --groups=All --host=yourcompany.com --port=8834

    注意: リンクコマンド全体をコピーして、同じ行に貼り付ける必要があります。そうしないと、エラーが表示されます。

    このコマンドがサポートする引数は次のとおりです。

    引数 必須
    --key

    (必須) マネージャーから取得した値を使用してください。

    マネージャーからリンクキーを取得するには、使用しているマネージャーに応じて、Tenable Nessus ユーザーガイド または Tenable Vulnerability Management ユーザーガイドを参照してください。
    --host
    --port

    --name

    		 エージェントの名前を指定します。エージェントの名前を指定しない場合、エージェントをインストールしているコンピューターの名前にデフォルトで設定されます。
    --groups

    エージェントを追加したい既存のエージェントグループを指定します。インストールプロセス中にエージェントグループを指定しない場合、Tenable Nessus Manager または Tenable Vulnerability Management で、リンクされたエージェントをエージェントグループに後から追加できます。

    注意: エージェントグループ名は、大文字と小文字を区別し、正確に一致する必要があります。エージェントグループ名は引用符で囲む必要があります (例: --groups="My Group")。
    --offline-install

    Tenable Agent は、オフラインでもシステムにインストールできます。コマンドラインのオプション NESSUS_OFFLINE_INSTALL="yes" をコマンドライン入力に追加します。Tenable Agent は、定期的に Tenable Vulnerability Management または Tenable Nessus Manager へのリンクを試みます。

    エージェントがコントローラーに接続できない場合、1 時間ごとに再試行します。また、コントローラーには接続できてもリンクに失敗する場合は、24 時間ごとに再試行します。
    --cloud

    --cloud の引数を指定し、Tenable Vulnerability Management にリンクします。

    --cloud 引数は、--host=cloud.tenable.com --port=443 を指定するためのショートカットです。

    警告: --cloud 引数は、FedRAMP 環境ではサポートされていません。--host=fedcloud.tenable.com --port=443 を指定する必要があります。
    注意: 中国本土にある Tenable Nessus スキャナー、Tenable AgentsTenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。
    注意: エージェントの Tenable Vulnerability Management へのリンクについての詳細は、Tenable Vulnerability Management ユーザーガイドセンサーのリンクを参照してください。
    --network Tenable Vulnerability Management にリンクされたエージェントの場合、エージェントをカスタムネットワークに追加します。ネットワークを指定しない場合、エージェントはデフォルトのネットワークに属することになります。
    --profile-uuid エージェントの割り当て先となるエージェントプロファイルの UUID (例: 12345678-9abc-4ef0-9234-56789abcdef0)。詳細については、Tenable Vulnerability Management ユーザーガイドエージェントプロファイルを参照してください。

エージェントをインストールしてリンクしたら、Tenable では、マネージャーのユーザーインターフェースでエージェントを表示して、エージェントがマネージャーに正常にリンクされていることを確認することを推奨しています。

ヒント: エージェントのクローンを作り、Tenable Nessus Manager または Tenable Vulnerability Management にリンクしようとすると 409 エラーが表示される場合があります。このエラーは、/private/etc/tenable_tag ファイルで、別のマシンが同じ UUID 値でリンクされたために表示されます。この問題を解決するには、/private/etc/tenable_tag ファイルのこの値を有効な UUIDv4 値に置き換えます。

リンクされたエージェントの検証

エージェントをインストールしてリンクしたら、次の手順に沿って、マネージャーのユーザーインターフェースで新しいエージェントを表示します。

  • Tenable Vulnerability Management でリンクされたエージェントを検証する方法

    1. 左上にある メニュー ボタンをクリックします。

      左側にナビゲーションプレーンが表示されます。

    2. 左のナビゲーションプレーンで [設定] をクリックします。

      [Settings] (設定) ページが表示されます。

    3. [Sensors] (センサー) タイルをクリックします。

      [Sensors] (センサー) ページが表示されます。デフォルトでは、左側のナビゲーションメニューで [Nessus Scanners] (Nessus スキャナー) が選択され、[Cloud Scanners] (クラウドスキャナー) タブがアクティブとなります。

    4. 左のナビゲーションメニューで、[Nessus Agent] をクリックします。

      [Nessus Agent] ページが表示され、[Linked Agents] (リンクされたエージェント) タブがアクティブになります。

    5. リンクされたエージェントの表で新しいエージェントを見つけます。

  • Tenable Nessus Manager でリンクされたエージェントを検証する方法

    1. 上部のナビゲーションバーで、[Sensors] (センサー) をクリックします。

      [Linked Agents] (リンクされたエージェント) ページが表示されます。

    2. リンクされたエージェントの表で新しいエージェントを見つけます。