Tenable Identity Exposure のセキュアリレー

バージョン 3.59 では、セキュアリレーコンポーネントは Tenable Identity Exposure プラットフォームで指定されたタスクを引き継ぎます。

  • AD オブジェクトを収集するディレクトリリスナー (DL) コンポーネントへのデータの転送元になるドメインを設定できます。

  • 自動更新により、大規模なインフラのセットアップとメンテナンスが容易になります。同時アップグレードを必要とする複数の DL が不要になりました。

  • 単一の DL とさまざまなエンドポイント (製品内認証のためのドメインコントローラー、SMTP または SYSLOG サーバー、LDAP サーバーなど) との間のブリッジとして機能します。

  • 1 つまたは複数のドメインに関連付けられます。DL が管理できるリレーの数に制限はありません。

  • Tenable Identity Exposure コンソールでネーミングやマッピング (ドメイン、SMTP、SYSLOG、LDAP 認証) などを設定する必要があります。

始める前に

セキュアリレーを備えた Tenable Identity Exposure 3.59 のインストールまたはアップグレードを行う際は、次のガイドラインに従います。

  1. セキュアリレーの要件を確認します。

  1. ネットワーク要件

    • 以前のバージョンと現在のバージョンでは、DL が AMQP(S) プロトコルを使用して SEN と直接通信していました。

    • バージョン 3.59 では、複数の DL がリレーに置き換わりに、HTTPS 経由で残りの唯一の DL と通信します。

    • Envoy はリバースプロキシです。

  2. リンクキー: セキュアリレーのインストールには、ネットワークのアドレスと認証トークンを含む 1 回のみ使用可能なリンクキーが必要です。Tenable Identity Exposure は、セキュアリレーのインストールが成功するたびに新しいキーを再生成します。

リンクキーを取得するには

  1. Tenable Identity Exposure コンソールで、左側のメニューバーの [システム] をクリックし、[設定] タブ > [リレー] の順に選択します。

  2. をクリックしてリンクキーをコピーします。

  1. ロールのアクセス許可: リレーを設定するには、ロールベースのアクセス許可を持つユーザーである必要があります。必要なアクセス許可は次のとおりです。

    • データエンティティ: エンティティリレー

    • インターフェースエンティティ

      • [管理] > [システム] > [設定] > [アプリケーションサービス] > [リレー]

      • [管理] > [システム] > [リレー管理]

      詳細については、ロールのアクセス許可の設定を参照してください。

インストール手順

必要なユーザーロール: ローカルマシンの管理者

セキュアリレーをインストールするには

  1. Tenable のダウンロードサイトからセキュアリレーの実行可能プログラムをダウンロードします。

  2. ファイル tenable.ad_SecureRelay_v3.xx.x をダブルクリックして、インストールウィザードを開始します。

    [ようこそ] 画面が表示されます。

  3. [次へ] をクリックします。

    [カスタムセットアップ] ウィンドウが表示されます。

  4. [参照] をクリックして、セキュアリレー用に予約した (システムパーティションとは別の) ディスクパーティションを選択します。

  5. [次へ] をクリックします。

    [リレー設定] ウィンドウが表示されます。

  6. 以下の情報を入力します。

    1. [リレー名] ボックスに、セキュアリレーの名前を入力します。

    2. [リンクキー] ボックスに、Tenable Identity Exposure ポータルから取得したリンクキーを貼り付けます。

    3. プロキシサーバーを使用する場合は、[リレー呼び出しに HTTP プロキシを使用する] オプションを選択し、プロキシアドレスとポート番号を入力します。

  7. [次へ] をクリックします。

    プロキシ設定ウィンドウが表示されます。

  8. 次のいずれかのオプションを選択します。

    1. なし: プロキシサーバーを使用しません。

    2. 非認証: プロキシサーバーのアドレスとポートを入力します。

    3. 基本認証: アドレスとポートに加えて、プロキシサーバーのユーザーとパスワードを入力します。

    注意: 「非認証」または「基本認証」を使用してプロキシを設定するために、リレーは IPv4 アドレス (192.168.0.1 など) または http://https:// のないプロキシ URI (myproxy.mycompany.com など) のみをサポートし、IPv6 アドレス (2001:0db8:85a3:0000:0000:8a2e:0370:7334 など) はサポートしません。

  1. [テスト接続] をクリックします。次のいずれかが発生します。

    • 緑色のライト - 接続に成功しました。

    • 無効なリンクキー - Tenable Identity Exposure ポータルからリンクキーを取得してください。

    • 無効なリレー名 - このボックスは空のままにできません。リレーの名前を入力してください。

    • 接続に失敗しました - インターネットアクセスを確認してください。

  2. [次へ] をクリックします。

    [インストールの準備完了] ウィンドウが表示されます。

  3. [インストール] をクリックします。

  4. インストールが完了したら、[終了] をクリックします。

インストール後のチェック

セキュアリレーのインストールが完了したら、次の点を確認してください。

Tenable Identity Exposure にインストールされているリレーのリスト

インストールされているリレーのリストを表示するには

  • Tenable Identity Exposure で、左側のメニューバーの [システム] をクリックし、[リレー管理] タブを選択します。

    このペインには、セキュアリレーとそのリンクされたドメインのリストが表示されます。

サービス

インストールが成功すると、次のサービスが実行されます。

  • Tenable_Relay

  • tenable_envoy

    注意: Envoy ライセンスは、Tenable Identity Exposure[システム] > [法的情報] > [Envoy ライセンス] にあります。

環境変数

このインストールでは、セキュアリレーに関連する、「ALSID_CASSIOPEIA_」で始まる名前の新しい環境変数も 6 つ追加されました。プロキシサーバーの使用を選択した場合、プロキシ IP とポートに関連するさらに 2 つの変数があります。

トラブルシューティング用のログ

ログは次の場所にあります。

  • インストールログ: C:\Users\<your user>\AppData\Local\Temp

  • リレーログ: インストール時に指定されたフォルダー内のセキュアリレーをホストしている VM 上

リレー設定

自動更新

セキュアリレーをインストールすると、Tenable Identity Exposure は新しいバージョンを定期的にチェックするようになります。このプロセスは完全に自動化されており、ドメインへの HTTPS アクセス (TCP/443) が必要です。ネットワークトレイのアイコンは、Tenable Identity Exposure がセキュアリレーを更新していることを示します。プロセスが完了すると、Tenable Identity Exposure サービスが再起動しデータ収集が再開されます。

アンインストール

セキュアリレーをアンインストールするには

  1. Windows で、[設定] > [アプリと機能] > [Tenable Identity Exposure セキュアリレー] の順に移動します。

  2. [アンインストール] をクリックします。

    アンインストールが完了すると、Tenable Identity Exposureセキュアリレーサービスと環境変数がシステムに表示されなくなります。

  3. Tenable Identity Exposure で、左側のメニューバーの [システム] をクリックし、[リレー管理] タブを選択します。

  4. アンインストールしたばかりのリレーを選択し、をクリックして使用可能なリレーのリストから削除します。

関連項目