データベース認証情報の認証タイプ
データベース認証情報で選択した認証タイプに応じて、このトピックで説明されるオプションを設定する必要があります。
クライアント証明書
[クライアント証明書] の認証タイプは PostgreSQL データベースのみでサポートしています。
|
オプション |
説明 |
必須 |
|---|---|---|
| Username (ユーザー名) | データベースのユーザー名。 | 〇 |
| クライアント証明書 | データベースの PEM 証明書を含むファイル。 | 〇 |
| クライアント CA 証明書 | データベースの PEM 証明書を含むファイル。 | 〇 |
| クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 | 〇 |
| クライアント証明書のプライベートキーのパスフレーズ | 認証実施時に必要となった場合の秘密鍵のパスフレーズ。 | ✕ |
|
Database Port (データベースのポート) |
Tenable Nessus とデータベースの通信に使用されるポート。 | 〇 |
| Database Name (データベース名) | データベースの名前。 | ✕ |
Password (パスワード)
|
オプション |
データベースの種類 |
説明 |
必須 |
|---|---|---|---|
|
Username (ユーザー名) |
すべて |
データベースのユーザーのユーザー名。 |
〇 |
|
Password (パスワード) |
すべて |
入力したユーザー名のパスワード。 |
✕ |
|
Database Port (データベースのポート) |
すべて | Tenable Nessus とデータベースの通信に使用されるポート。 | 〇 |
| Database Name (データベース名) |
DB2 PostgreSQL |
データベースの名前。 |
✕ |
| Auth type (認証の種類) |
Oracle SQL Server Sybase ASE |
SQL Server の値は以下のとおりです。
Oracle の値は以下のとおりです。
Sybase ASEの値は以下のとおりです。
|
〇 |
| インスタンス名 | SQL Server | データベースインスタンスの名前。 | ✕ |
| サービスの種類 | Oracle |
有効な値は以下のとおりです。
|
〇 |
| Service (サービス) | Oracle | データベースインスタンスの SID 値または SERVICE_NAME 値です。入力する [サービス] 値は、[サービスタイプ] オプションのパラメーターとして選択した値と一致する必要があります。 | ✕ |
インポート
特定のフォーマットに認証情報が入力された .csv ファイルをアップロードします。各アイテムについて使用する有効な値の説明は、そのデータベースの認証情報を参照してください。
Tenable Nessus で認証情報を取得できるようにするためには、CyberArk か HashiCorp のいずれかの認証情報を、同じスキャン内のデータベース認証情報として設定する必要があります。
|
データベース認証情報 |
CSV 形式 |
|---|---|
| DB2 | target, port, database_name, username, cred_manager, accountname_or_secretname |
| MySQL | target, port, database_name, username, cred_manager, accountname_or_secretname |
| Oracle | target, port, service_type, service_ID, username, auth_type, cred_manager, accountname_or_secretname |
| SQL Server | target, port, instance_name, username, auth_type, cred_manager, accountname_or_secretname |
注意: 必要なデータを指定された順に入力します。各値はコンマで区切りスペースは入れません。たとえば、CyberArk 付きの Oracle の場合は、192.0.2.255,1521,SID,service_id,username,SYSDBA,CyberArk,Database-Oracle-SYS となります。
注意: cred_manager の値は、CyberArk または HashiCorp のどちらかである必要があります。
BeyondTrust
| オプション | 説明 |
必須 |
|---|---|---|
| Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名。 |
〇 |
| Domain (ドメイン) | ユーザー名のドメイン。ドメインにリンクされたアカウント (管理対象システムにリンクされたドメインの管理されたアカウント) を使用する場合に推奨されます。 | ✕ |
| BeyondTrust host (BeyondTrust ホスト) | BeyondTrust IP アドレスまたは DNS アドレス。 | 〇 |
| BeyondTrust port (BeyondTrust host ポート) | BeyondTrust がリッスンするポート。 | 〇 |
| BeyondTrust API user |
BeyondTrust が提供する API ユーザー。 |
〇 |
| BeyondTrust API key (BeyondTrust API キー) |
BeyondTrust が提供する API キー。 |
〇 |
| Checkout duration (チェックアウト期間) |
BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分)。チェックアウト期間は、通常のスキャン期間より長く設定してください。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意: パスワード変更によってスキャンが中断されないように、BeyondTrust のパスワードの変更間隔を設定してください。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。 |
〇 |
| Use SSL (SSL の使用) | 有効にすると、統合では安全な通信のために IIS を介して SSL が使用されます。このオプションを有効にするには、まず BeyondTrust で IIS を介する SSL を設定します。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、統合では SSL 証明書が検証されます。このオプションを有効にするには、まず BeyondTrust で IIS を介する SSL を設定します。 | ✕ |
CyberArk
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Nessus は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk ホスト |
CyberArk AIM Web サービスの IP アドレスまたは FQDN 名。これは、ホスト、または 1 つの文字列にカスタム URL が追加されたホストにすることができます。 |
〇 |
|
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
AppID |
CyberArk API 接続に関連するアプリケーション ID。 |
〇 |
| クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
✕ |
| クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
| クライアント証明書のプライベートキーのパスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
| 認証情報の取得 |
CyberArk API 認証情報を取得する方法。[ユーザー名]、[識別子]、または [アドレス] のいずれかです。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 注意: [ユーザー名] オプションを使用すると、API クエリの [アドレス] パラメーターも追加され、解決されたホストのターゲット IP がこの [アドレス] パラメーターに割り当てられます。これにより、[アカウントの詳細アドレス] フィールドにターゲット IP アドレス以外の値が含まれている場合、認証情報のフェッチに失敗する可能性があります。 |
〇 |
| Username (ユーザー名) |
([認証情報の取得] が [ユーザー名] の場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
| Safe |
認証情報を取得するべき CyberArk のセーフ。 |
✕ |
| アカウント名 | ([認証情報の取得] が [識別子] の場合) CyberArk API の認証情報が割り当てられる固有のアカウント名または識別子。 | ✕ |
|
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を介した SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が安全な通信のために IIS によって SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
CyberArk (レガシー)
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Nessus は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | データベースの種類 | 説明 |
必須 |
|---|---|---|---|
|
Username (ユーザー名) |
すべて |
ターゲットシステムのユーザー名。 |
〇 |
|
Central Credential Provider ホスト |
すべて |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
〇 |
|
Central Credential Provider ポート |
すべて |
CyberArk Central Credential Provider がリッスンするポート。 |
〇 |
|
CyberArk AIM サービス URL |
すべて |
AIM サービスの URL。デフォルトでは、このフィールドは |
✕ |
| Central Credential Provider ユーザー名 | すべて |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
✕ |
| Central Credential Provider パスワード | すべて |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
✕ |
|
CyberArk Safe |
すべて |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。 |
✕ |
| CyberArk クライアント証明書 | すべて | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 | ✕ |
| CyberArk クライアント証明書のプライベートキー | すべて | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
| CyberArk クライアント証明書のプライベートキーパスフレーズ | すべて | 認証実施時に必要となった場合の秘密鍵のパスフレーズです。 | ✕ |
|
CyberArk AppId |
すべて |
CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられた AppId。 |
〇 |
|
CyberArk フォルダー |
すべて |
取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。 |
✕ |
|
CyberArk アカウント詳細名 |
すべて |
CyberArk から取得する認証情報の一意の名前。 |
〇 |
| ポリシー ID | すべて | CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID。 | ✕ |
|
Use SSL (SSL の使用) |
すべて |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
すべて |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されており、証明書を検証する場合、このオプションを選択します。自己署名証明書の使用方法については、custom_CA.inc のマニュアルを参照してください。 |
✕ |
|
Database Port (データベースのポート) |
すべて |
Tenable Nessus とデータベースの通信に使用されるポート |
〇 |
| Database Name (データベース名) |
DB2 PostgreSQL |
データベースの名前。 | ✕ |
| Auth type (認証の種類) |
Oracle SQL Server Sybase ASE |
SQL Server の値は以下のとおりです。
Oracle の値は以下のとおりです。
Sybase ASEの値は以下のとおりです。
|
〇 |
| インスタンス名 | SQL Server | データベースインスタンスの名前。 | ✕ |
| サービスの種類 | Oracle |
有効な値は以下のとおりです。
|
〇 |
| Service (サービス) | Oracle | データベースインスタンスの SID 値または SERVICE_NAME 値です。入力する [サービス] 値は、[サービスタイプ] オプションのパラメーターとして選択した値と一致する必要があります。 | ✕ |
Delinea
| オプション | 説明 |
必須 |
|---|---|---|
| Delinea Secret Name (Delinea シークレット名) |
Delinea サーバーのシークレットの値。シークレットは、Delinea サーバーで Secret Name のラベルが付けられています。 |
〇 |
| Delinea Host (Delinea ホスト) | Delinea シークレットサーバー IP アドレスまたは DNS アドレス。 | 〇 |
| Delinea Port (Delinea ポート) | Delinea シークレットサーバーがリッスンするポート。 | 〇 |
| Delinea Authentication Method (Delinea 認証方法) | 認証に認証情報と API キーのどちらを使用するかを示します。デフォルトでは、認証情報が選択されています。 | 〇 |
| Delinea Delinea Login Name (Delinea Delinea ログイン名) |
Delinea サーバーへの認証に使用されるユーザー名。 |
〇 |
| Delinea Password (Delinea パスワード) |
Delinea サーバーへの認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
| Delinea API key (Delinea API キー) |
Delinea シークレットサーバーが提供する API キー。 |
〇 |
| Use SSL (SSL の使用) | Delinea シークレットサーバーが SSL をサポートするように設定されている場合は有効にします。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Delinea サーバーの SSL 証明書を検証します。 | ✕ |
HashiCorp Vault
HashiCorp Vault は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Nessus では、HashiCorp Vault から認証情報を取得してスキャンに使用できます。
| オプション | 説明 |
必須 |
|---|---|---|
| Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
| Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択した場合、[Hashicorp クライアント証明書] および [Hashicorp クライアント証明書の秘密鍵] の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
| Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
| Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
| Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)例: /v1/auth/approle/login |
〇 |
| Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
| Vault Type (Vault タイプ) |
Tenable Nessus バージョン: KV1、KV2、AD、LDAP。Tenable Nessus バージョンの詳細については、Tenable Nessus のドキュメントを参照してください。 |
〇 |
| KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Nessus が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
| KV2 エンジン URL |
(KV2) Tenable Nessus が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV2 Vault タイプを選択した場合) |
| AD Engine URL (AD エンジン URL) |
(AD) Tenable Nessus が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
| LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Nessus が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
| Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
| Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
| Password Key (パスワード鍵) | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | 〇 |
| Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
| Use SSL (SSL の使用) | 有効にすると、Tenable Nessus Manager は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Hashicorp Vault で SSL を設定する必要があります。 | ✕ |
| Database Port (データベースのポート) | Tenable Nessus Manager とデータベースの通信に使用されるポート。 | 〇 |
| Auth Type | データベース認証情報の認証方法です。 Oracleの値は以下のとおりです。
|
〇 |
| Service Type (サービスの種類) | (Oracle データベースのみ) 有効な値は以下のとおりです。SID、SERVICE_NAME。 | 〇 |
| Service (サービス) | (Oracle データベースのみ) データベースの構成用の特別なフィールドです。 | yes |
Lieberman
Lieberman は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、Lieberman から認証情報を取得してスキャンに使用します。
| オプション | データベースの種類 | 説明 |
必須 |
|---|---|---|---|
| Username (ユーザー名) | すべて | ターゲットシステムのユーザー名。 | 〇 |
| Lieberman ホスト | すべて |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Lieberman ポート | すべて | Lieberman がリッスンするポート。 | 〇 |
| Lieberman API URL | すべて | Tenable Nessus が Lieberman へのアクセスに使用する URL。 | ✕ |
| Lieberman ユーザー | すべて | Lieberman API の認証に使用される Lieberman の明示的ユーザー。 | 〇 |
| Lieberman パスワード | すべて | Lieberman 明示ユーザーのパスワード。 | 〇 |
| Lieberman 認証 | すべて |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
| Lieberman クライアント証明書 | すべて |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
| Lieberman クライアント証明書のプライベートキー | すべて | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
| Lieberman クライアント証明書の秘密鍵パスフレーズ | すべて | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
| Use SSL (SSL の使用) | すべて |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
| Verify SSL Certificate (SSL 証明書の検証) | すべて |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されており、証明書を検証する場合、このオプションにチェックマークを入れます。自己署名証明書の使用方法については、カスタム CA ドキュメントを参照してください。 |
✕ |
| システム名 | すべて | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 | ✕ |
| Database Port (データベースのポート) | すべて | Tenable Nessus とデータベースの通信に使用されるポート | 〇 |
| Database Name (データベース名) |
DB2 PostgreSQL |
(PostgreSQL と DB2 データベースのみ) データベース名です。 | ✕ |
| Auth type (認証の種類) |
Oracle SQL Server Sybase ASE |
(SQL Server、Oracle、Sybase ASE データベースのみ) SQL Server の値は以下のとおりです。
Oracle の値は以下のとおりです。
Sybase ASEの値は以下のとおりです。
|
〇 |
| インスタンス名 | SQL Server | データベースインスタンスの名前。 | ✕ |
| サービスの種類 | Oracle |
有効な値は以下のとおりです。
|
✕ |
| Service (サービス) | Oracle | データベースインスタンスの SID 値または SERVICE_NAME 値です。入力する [サービス] 値は、[サービスタイプ] オプションのパラメーターとして選択した値と一致する必要があります。 | 〇 |
QiAnXin
QiAnXin は、権限付き認証情報を管理するのに便利な、一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、QiAnXin から認証情報を取得してスキャンに使用することができます。
| オプション | 説明 | 必須 |
|---|---|---|
|
QiAnXin ホスト |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
|
QiAnXin ポート |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
QiAnXin API クライアント ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
| QiAnXin API 秘密 ID | QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
| Username (ユーザー名) | スキャンするホストにログインするためのユーザー名 | 〇 |
| ホスト IP | 使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 | ✕ |
| プラットフォーム |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
| リージョン ID | 使用するアカウントを含む資産のリージョン ID を指定します。 | 複数のリージョンを使用している場合のみ必須 |
| Use SSL (SSL の使用) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |