JSON を使用した Tenable Nessus Agent のデプロイ

インストール後に初めてエージェントを起動すると、エージェントは最初に環境変数が存在するかどうかをチェックし、次に config.json ファイルがあるかチェックします。エージェントの初回起動時に、エージェントはその情報を使用してマネージャーにリンクし、環境設定を行います。

config.json ファイルで Tenable Nessus Agent をデプロイするには

  1. config.json ファイルを設定します。

    注意: config.json は ASCII 形式である必要があります。PowerShell などの一部のツールは、デフォルトで他の形式のテストファイルを作成します。

    Tenable Nessus Agent config.json ファイル形式の例:

    { "link": { "name": "sensor name", "host": "hostname or IP address", "port": 443, "key": "abcdefghijklmnopqrstuvwxyz", "ms_cert": "CA certificate for linking", "retry": 1, "proxy": { "proxy": "proxyhostname", "proxy_port": 443, "proxy_username": "proxyusername", "proxy_password": "proxypassword", "user_agent": "proxyagent", "proxy_auth": "NONE" } }, "preferences": { "global.max_hosts": "500" } }

    Tenable Nessus Agentconfig.json ファイル形式の例 (auto_proxy を使用する場合)

    { "link": { "name": "sensor name", "host": "hostname or IP address", "port": 443, "key": "abcdefghijklmnopqrstuvwxyz", "ms_cert": "CA certificate for linking", "retry": 1, "proxy": { "proxy": "proxyhostname", "proxy_port": 443, "auto_proxy": "true" } } }

    config.json の詳細

    config.json の、各セクションの個別設定の書式を以下に記載します。

    注意 : すべてのセクションは省略可能です。セクションを含めない場合、そのセクションは Tenable Nessus Agent を初めて起動したときには設定されません。その設定は、後で手動で設定できます。

    リンク

    link セクションでは、エージェントをマネージャーにリンクする際の環境設定を設定します。

    ヒント: config.jsonリンク設定を指定し、再試行設定を空白のままにすると、nessuscli--install-offline リンク引数を使用した場合と同じ結果になります。これにより、オフラインであっても、指定されたホストに Tenable Nessus Agent がインストールされます。再試行回数が指定されていない場合、エージェントは無期限にホストへのリンクを試行します。

    [Setting](設定) 説明
    名前

    (オプション)

    スキャナーの名前。

    エージェントの名前。エージェントの名前を指定しない場合、名前はエージェントをインストールしているコンピューターの名前にデフォルトで設定されます。

    [host](ホスト)

    リンク先となるマネージャーのホスト名または IP アドレスです。

    Tenable Vulnerability Management にリンクするには、cloud.tenable.com を使用します。

    [port](ポート)

    リンク先のマネージャーのポート。

    Tenable Nessus Managerの場合: 8834 またはカスタムポート。

    Tenable Vulnerability Managementの場合: 443

    [key](キー) Manager から取得したリンクキー。
    [network](ネットワーク)

    (オプション、Tenable Vulnerability Management にリンクされたエージェントのみ)

    リンク先にするカスタムネットワーク。ネットワークを指定しない場合、エージェントはデフォルトのネットワークに属すことになります。

    ms_cert

    (オプション)

    マネージャーのサーバー証明書の検証に使用するカスタム CA 証明書。

    [groups](グループ)

    (オプション)

    スキャナーを追加する、1 つ以上の既存のスキャナーグループ。コンマ区切りリストで複数のグループをリストにします。グループ名にスペースが含まれる場合は、リスト全体を引用符で囲みます。

    例: "Atlanta,Global Headquarters"

    エージェントを追加する 1 つ以上の既存のエージェントグループ。インストールプロセス中にエージェントグループを指定しない場合、Tenable Nessus Manager または Tenable Vulnerability Management で、リンクされたエージェントを後からエージェントグループに追加できます。

    コンマ区切りリストで複数のグループをリストにします。グループ名にスペースが含まれる場合は、リスト全体を引用符で囲みます。

    例: "Atlanta,Global Headquarters"

    注意: エージェントグループ名は、大文字と小文字を区別し、正確に一致する必要があります。エージェントグループ名は引用符で囲む必要があります (例: --groups="My Group")。

    [retry](リトライ)

    (オプション)

    最初の試行が失敗した場合に、エージェントがマネージャーへのリンクを試行する回数。

    再試行の設定を含めない場合、エージェントはリンクを無期限に試行します。

    注意: 再試行を 1 に設定すると、エージェントは最初の失敗から 30 秒後にマネージャーへのリンクを試みます。次の再試行は、前回の再試行の待機の 2 倍の時間になります。たとえば、再試行を 5 に設定した場合、エージェントは、最初の失敗から 30 秒後、2 番目の失敗から 60 秒後、3 番目の失敗から 120 秒後、4 番目の失敗から 240 秒後、5 番目の失敗から 480 秒後にリンクを試行します。

    [proxy](プロキシ)

    (オプション)

    プロキシサーバーを使用している場合は、次のように記載します。

    • proxy : プロキシサーバーのホスト名または IP アドレス。

    • proxy_port: プロキシサーバーのポート番号。

    • auto-proxy (Windows のみ): 有効な場合、エージェントは WPAD (Web Proxy Auto Discovery) を使用してプロキシ自動設定 (PAC) ファイルを取得し、プロキシを設定します。この設定は、他のすべてのプロキシ設定に優先します。無効な場合、エージェントは残りのプロキシ設定をデフォルトにします。

      注意: 設定ファイルに auto_proxy を含める場合は、proxy および proxy_port パラメーターも指定する必要があります。

    • proxy_username: プロキシサーバーへのアクセスと使用が許可されているユーザーアカウント名。

    • proxy_password: ユーザー名として指定したユーザーアカウントのパスワード。

    • user_agent: ユーザーエージェント名 (プロキシで事前定義されているユーザーエージェントが必要な場合)。

    • proxy_auth: プロキシで使用する認証方法。

    profile_uuid

    (オプション)

    エージェントの割り当て先となるエージェントプロファイルの UUID (例: 12345678-9abc-4ef0-9234-56789abcdef0)。詳細については、Tenable Vulnerability Management ユーザーガイドエージェントプロファイルを参照してください。

    環境設定

    環境設定セクションでは、詳細な設定を行います。詳しくは、詳細設定を参照してください。

  2. ご使用のオペレーティングシステム用の Tenable Nessus Agent インストールパッケージをダウンロードしてください。

  3. (Windows のみ) パッケージをインストールする前に、パッケージを変更して、インストール後にエージェントが自動的に起動しないようにする必要があります。これは、エージェントサービスを初めて起動するときに、エージェントが config.json ファイルを読み取る必要があるためです。

    パッケージを変更するには、次のコマンドを実行します。

    msiexec /i <agent package>.msi NESSUS_SERVICE_AUTOSTART=false /qn

  4. Tenable Nessus Agent をインストールします。詳細は、Windows での Tenable Nessus Agent のインストールmacOS での Tenable Nessus Agent のインストール、またはLinux での Tenable Nessus Agent のインストールを参照してください。

  5. (macOS のみ) Windows とは異なり、Tenable Nessus Agent をインストールする前に自動起動をオフにする方法はありません。したがって、config.json を追加してエージェントサービスを開始する前に、Tenable Nessus Agent を新しい状態にリセットする必要があります。

    macOS で Tenable Nessus Agent を新しい状態に戻し、config.json を検証し、config.json を適切なディレクトリに配置するには、次のコマンドを実行します。

    /Library/NessusAgent/run/sbin/nessuscli prepare-image --json=<path to json file>

    注意: Tenable Nessus Agent の自動起動は、Linux パッケージではデフォルトで無効になっています。したがって、Linux を使用している場合は、手順 3 と 5 を無視できます。
  6. config.json がまだない場合は、Tenable Nessus Agent ディレクトリに配置します。

    • Windows — C:\ProgramData\Tenable\Nessus Agent\nessus\config.json
    • macOS — /Library/NessusAgent/run/var/nessus/config.json
    • Linux — /opt/nessus_agent/var/nessus/config.json
  7. エージェントサービスを開始します。

  8. オペレーティングシステムに応じて、次のコマンドを実行して config.json 環境設定を検証します。

    • Windows — "C:\Program Files\Tenable\Nessus Agent\nessuscli.exe" fix --secure --list

    • macOS — /Library/NessusAgent/run/sbin/nessuscli fix --secure --list

    • Linux — /opt/nessus_agent/sbin/nessuscli fix --secure --list

    設定が正常に適用されたことを確認したら、リンク処理は完了です。