Tenable Vulnerability Management での資産重複を回避するためのエージェントプロファイルの設定
Tenable Nessus スキャナーと Tenable Nessus Agents の両方でホストをスキャンする Tenable Vulnerability Management 設定では、すでにエージェントがインストールされている資産を、スキャナーがスキャンして記録する場合があります。その場合、資産が Tenable Vulnerability Management の 2 つ (場合によってはそれ以上) の個別の資産として識別されます。
Tenable Nessus Agents バージョン 10.6.0 以降では、Tenable Vulnerability Management エージェントプロファイルで [Open Agent Port] (エージェントポートを開く) を設定することで、このような資産重複を回避できます。
エージェントプロファイルの [Open Agent Port] (エージェントポートを開く) を有効にして設定すると、そのプロファイルのエージェントは、インストールされているホストでエージェント識別サービスを実行できるようになります。このサービスは、ホスト上で設定可能なポートを開き、インストール済みのエージェントがすでにホストを資産としてインベントリに入れたことを、Tenable スキャナーが識別できるようにします。認証されていないリモートネットワークスキャンは、開いているエージェントポートを介してエージェントの Tenable UUID を識別します。
これにより、ホストがスキャナーのネットワークスキャンの対象であるか、エージェントスキャンを生成しているかに関わらず、ホストが Tenable Vulnerability Management に確実に単一の資産として記録されます。
エージェントプロファイルの [Open Agent Port] (エージェントポートのオープン) を設定する方法については、Tenable Vulnerability Management ユーザーガイドのエージェントプロファイルを参照してください。
考慮事項
[Open Agent Port] (エージェントポートのオープン) を設定する際は、次のことを考慮してください。
-
[Open Agent Port] (エージェントポートのオープン) 設定を使用できるのは、エージェントのバージョン 10.6.0 以降のみです。この設定は、以前のバージョンのエージェントには適用されません。
-
[Open Agent Port] (エージェントポートのオープン) を設定すると、ネットワークスキャナーは、選択されたポートで各ターゲットシステムをプローブできるようになります。
-
エージェント識別サービスは、エージェントプロファイルで有効な [Open Agent Port] (エージェントポートのオープン) が指定されている場合にのみ開始されます。
-
エージェント識別サービスは、エージェントプロファイルの [Open Agent Port] (エージェントポートのオープン) で指定された TCP ポートを開いてリッスンしようとします。ホストにローカルのファイヤーウォールまたはホスト保護製品がインストールされている場合は、エージェント識別サービスが着信接続に対してこのポートを開けるように設定する必要があります。Tenable では、[Open Agent Port] (エージェントポートのオープン) 機能が中断することなく動作するように、Tenable Nessus Agent ファイルとプロセスを許可リストに登録することを推奨しています。
-
macOS および Linux では、エージェント識別サービスは実行のために使用する低い権限のサービスアカウントを作成します。Windows では、エージェント識別サービスは整合性の低いプロセスとして実行されます。
-
エージェントに割り当てられた [Open Agent Port] (エージェントポートのオープン) は、エージェントがアップグレードまたは再起動したり、ホストが再起動したりするたびにポートを再び開きます。
-
エージェント識別サービスが 2 つの Tenable ネットワークに属するレコードを検出した場合、資産を最後に検出したスキャナーのネットワークにマージされた資産が追加されます。
-
macOS および Linux ホストで、エージェント識別サービスには実行するためのシステムユーザーが必要です。 [Open Agent Port] (エージェントポートのオープン) を最初に構成するとき、エージェントは自動的に、macOS ホストの場合は _tenabletag、Linux ホストの場合は tenabletag というシステムユーザーを作成します。tenabletag ユーザーはロックされたシステムユーザーであるため、ログインには使用できません。
macOS または Linux ホストから Tenable Nessus Agent をアンインストールする際、UID マッピングを保持するために Tenabletag ユーザーは削除されません。このユーザーを削除するには、オペレーティングシステムのユーザー削除のドキュメントを参照してください。
ログとトラブルシューティング
[Open Agent Port] (エージェントポートのオープン) に関するログ情報は、エージェントバグレポートのバンドルと、次のディレクトリで確認できます。
| オペレーティングシステム | ログの場所 |
|---|---|
| Windows | C:\ProgramData\Tenable\NessusAgent\nessus\mod\com.tenable.agent_identifier_service\data\com.tenable.agent_identifier_service.log |
| macOS | /Library/NessusAgent/run/var/nessus/mod/com.tenable.agent_identifier_service/data/com.tenable.agent_identifier_service.log |
| Linux | /opt/nessus_agent/var/nessus/mod/com.tenable.agent_identifier_service/data/com.tenable.agent_identifier_service.log |
エージェント識別サービスが動作していることを確認するには、プラグイン 191492 - Tenable エージェント識別を表示します。エージェント識別サービスがトリガーされ、検出されたエージェントの Tenable UUID を提供すると、プラグインは情報レベルの検出結果を生成します。