macOS での Tenable Nessus Agent のインストール

次の手順を使用して、macOS システムに Tenable Nessus Agent をインストールします。インストール後、エージェントをマネージャー (Tenable Vulnerability Management または Tenable Nessus Manager) にリンクします。これにより、インストールの完了後にエージェントがスキャンデータの送信を開始できるようになります。

始める前に

Tenable Nessus Agent リンクキーを取得します。詳細については、使用しているマネージャーに応じて、Tenable Nessus ユーザーガイドまたは Tenable Vulnerability Management ユーザーガイドを参照してください。
Tenable Nessus Agent が事前にシステムにインストールされている場合、リンクエラーを回避する方法に関するナレッジベースの記事を参照してください。

注意: フルディレクトリアクセス権の一部の監査では、エージェントがフルディスクアクセス権を必要とする場合があります。したがって、Tenable では、macOS にインストールされているエージェントにフルディスクアクセス権を許可することを推奨しています。

警告: nessusd を実行している既存の Tenable Nessus Agent、Tenable Nessus Manager、Tenable Nessus スキャナーがすでに存在するシステムに Tenable Nessus Agent をインストールする場合、インストールプロセスにより他のすべての nessusd プロセスが強制終了されます。この結果スキャンデータが失われる場合があります。

Tenable Nessus Agent のダウンロード

Tenable Nessus Agent のダウンロードページで、ご利用のオペレーティングシステムに固有のパッケージをダウンロードします。

エージェントパッケージをダウンロードしたら、エージェントをインストールします。

エージェントのインストール

注意: 次の手順を実行するには、root 権限が必要です。

GUI インストールウィザードまたはコマンドラインを使用して、Tenable Nessus Agent をインストールできます。

GUI インストール

Nessus Agent .dmg (Mac OS ディスクイメージ) ファイルをダブルクリックします。
Install Nessus Agent.pkg をダブルクリックします。
Nessus Agent インストールウィザードを終了します。

コマンドラインインストール

Install Nessus Agent.pkg と .NessusAgent.pkg を NessusAgent-<version number>.dmg から展開します。
注意: .NessusAgent.pkg ファイルは通常 macOS Finder では表示されません。
ターミナルを開きます。
コマンドラインから、次のコマンドを入力します。

# sudo installer -pkg /<path-to>/Install Nessus Agent.pkg -target /

エージェントのインストールが完了したら、エージェントをマネージャーにリンクします。

ヒント: リンクする前にフルプラグインセットをインストールすると、一括インストール実行中に消費される帯域幅を減らすことができます。これは、プラグインセットの場所を指定する --file パラメーターを指定して nessuscli agent update コマンドを使用して行うことができます。この作業は Tenable Nessus Agent を開始する前に行う必要があります。例

/opt/nessus_agent/sbin/nessuscli agent update --file=./plugins_set.tgz

このプラグインセットは 5 日以内に入手したものである必要があります。入手後 5 日を超える古いプラグインセットでは、フルプラグインのダウンロードが強制的に開始されます。最新のプラグインセットは、Tenable Nessus Agent ダウンロードページからダウンロードできます。

コマンドラインを使用したエージェントのリンク付け

macOS でエージェントをリンクするには、次のようにします。

ターミナルを開きます。

コマンドラインから、nessuscli agent link コマンドを使用します。

例

# sudo /Library/NessusAgent/run/sbin/nessuscli agent link
--key=00abcd00000efgh11111i0k222lmopq3333st4455u66v777777w88xy9999zabc00
--name=MyOSXAgent --groups=All --host=yourcompany.com --port=8834

注意: リンクコマンド全体をコピーして、同じ行に貼り付ける必要があります。そうしないと、エラーが表示されます。

エージェントコマンドラインのリンク付けパラメーター

このコマンドがサポートする引数は次のとおりです。

引数	必須	値
--key	〇	(必須) マネージャーから取得した値を使用してください。マネージャーからリンクキーを取得するには、使用しているマネージャーに応じて、Tenable Nessus ユーザーガイドまたは Tenable Vulnerability Management ユーザーガイドを参照してください。
--host	〇
--port	〇
--name	✕	エージェントの名前を指定します。エージェントの名前を指定しない場合、エージェントをインストールしているコンピューターの名前にデフォルトで設定されます。
--groups	✕	エージェントを追加したい既存のエージェントグループを指定します。インストールプロセス中にエージェントグループを指定しない場合、Tenable Nessus Manager または Tenable Vulnerability Management で、リンクされたエージェントをエージェントグループに後から追加できます。注意: エージェントグループ名は、大文字と小文字を区別し、正確に一致する必要があります。エージェントグループ名は引用符で囲む必要があります (例: --groups="My Group")。
--offline-install	✕	Tenable Nessus Agent は、オフラインでもシステムにインストールできます。コマンドラインのオプション NESSUS_OFFLINE_INSTALL="yes" をコマンドライン入力に追加します。Tenable Nessus Agent は、定期的に Tenable Vulnerability Management または Tenable Nessus Manager へのリンクを試みます。エージェントがコントローラーに接続できない場合、1 時間ごとに再試行します。また、コントローラーには接続できてもリンクに失敗する場合は、24 時間ごとに再試行します。
--cloud	✕	--cloud の引数を指定し、Tenable Vulnerability Management にリンクします。 --cloud 引数は、--host=cloud.tenable.com --port=443 を指定するためのショートカットです。注意: 中国本土にある Tenable Nessus スキャナー、Tenable Nessus Agents、Tenable Web App Scanning スキャナー、または Tenable Nessus Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。注意: エージェントの Tenable Vulnerability Management へのリンクについての詳細は、Tenable Vulnerability Management ユーザーガイドのセンサーのリンクを参照してください。
--network	✕	Tenable Vulnerability Management にリンクされたエージェントの場合、エージェントをカスタムネットワークに追加します。ネットワークを指定しない場合、エージェントはデフォルトのネットワークに属することになります。

エージェントをインストールしてリンクしたら、Tenable では、マネージャーのユーザーインターフェースでエージェントを表示して、エージェントがマネージャーに正常にリンクされていることを確認することを推奨しています。

ヒント: エージェントのクローンを作り、Tenable Nessus Manager または Tenable Vulnerability Management にリンクしようとすると 409 エラーが表示される場合があります。このエラーは、/private/etc/tenable_tag ファイルで、別のマシンが同じ UUID 値でリンクされたために表示されます。この問題を解決するには、/private/etc/tenable_tag ファイルのこの値を有効な UUIDv4 値に置き換えます。

リンクされたエージェントの検証

エージェントをインストールしてリンクしたら、次の手順に沿って、マネージャーのユーザーインターフェースで新しいエージェントを表示します。

Tenable Vulnerability Management でリンクされたエージェントを検証する方法
1. 左上にあるボタンをクリックします。
  
  左側にナビゲーションプレーンが表示されます。
2. 左のナビゲーションプレーンで [設定] をクリックします。
  
  [Settings] (設定) ページが表示されます。
3. [Sensors] (センサー) タイルをクリックします。
  
  [Sensors] (センサー) ページが表示されます。デフォルトでは、左側のナビゲーションメニューで [Nessus Scanners] (Nessus スキャナー) が選択され、[Cloud Scanners] (クラウドスキャナー) タブがアクティブとなります。
4. 左のナビゲーションメニューで、[Nessus Agent] をクリックします。
  
  [Nessus Agent] ページが表示され、[Linked Agents] (リンクされたエージェント) タブがアクティブになります。
5. リンクされたエージェントの表で新しいエージェントを見つけます。
Tenable Nessus Manager でリンクされたエージェントを検証する方法
1. 上部のナビゲーションバーで、[Sensors] (センサー) をクリックします。
  
  [Linked Agents] (リンクされたエージェント) ページが表示されます。
2. リンクされたエージェントの表で新しいエージェントを見つけます。