SSH
Unix システムとサポートされているネットワークデバイスで、ホストベースのチェックに SSH 認証情報を使用します。Tenable Nessus はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックのために、リモート Unix システムからローカル情報を取得します。Tenable Nessus は、セキュアシェル (SSH) プロトコルバージョン2ベースのプログラム (OpenSSH、Solaris SSH など) をホストベースのチェックに使用します。
Tenable Nessus は、スニファープログラムによる表示から保護するためにデータを暗号化します。
注意: Linuxシステムにローカルでアクセス可能な特権ユーザー以外のユーザーは、パッチレベルや /etc/passwd ファイルへの入力といった基本的なセキュリティ問題を判断できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。
注意: 1 つのスキャンに最大 1000 個の SSH 認証情報を追加できます。最高のパフォーマンスを得るために、Tenable は追加する SSH 認証情報をスキャンあたりで 10 個以下にすることを推奨しています。
さまざまな SSH 認証方法については、次の設定を参照してください。
グローバル認証情報設定
すべての SSH 認証方法で使用できるSSH認証情報には、4 つの設定があります。
| オプション | デフォルト値 | 説明 |
|---|---|---|
|
known_hosts file |
なし |
SSH の known_hosts ファイルが使用可能で、スキャンポリシーの Global Credential Settings の一部として known_hosts file フィールドに指定されている場合、Tenable Nessus はこのファイル内のホストにログインを試行します。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。 |
|
Preferred port |
22 |
Tenable Nessus が 22 以外のポートで動作している場合、このオプションを設定して Tenable Nessus を SSH に接続するように設定できます。 |
|
クライアントバージョン |
OpenSSH_5.0 |
スキャン中に Tenable Nessus が偽装する SSH クライアントの種類を指定します。 |
|
最小限の権限を試行 |
未選択 |
動的な権限昇格を有効または無効にします。これを有効にすると、Tenable Nessus は、[Elevate privileges with] (権限昇格方法) オプションが有効になっている場合でも、より権限の低いアカウントでスキャンを実行しようとします。コマンドが失敗すると、Tenable Nessus は権限を昇格させます。プラグイン 102095 および 102094 では、権限の昇格の有無にかかわらず、実行されたプラグインが報告されます。 注意: このオプションを有効にすると、スキャンの実行時間が最長で 30% 長くなる可能性があります。 |
証明書
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ホストシステムで認証に使用されているアカウントのユーザー名です。 |
|
User Certificate |
RSA または DSA のユーザー証明書ファイルです。 |
|
Private Key (プライベートキー) |
ユーザーの |
|
Private key passphrase |
秘密鍵のパスフレーズです。 |
|
Elevate privileges with |
認証が完了した後に権限を昇格します。 |
CyberArk (Tenable Nessus Managerのみ)
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk Host (Delinea ホスト) |
CyberArk AIM ウェブサービスの IP アドレスまたは FQDN 名。 |
〇 |
|
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
| クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
✕ |
| クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
| クライアント証明書のプライベートキーのパスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
|
Kerberos ターゲット認証 |
有効にすると、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
キー配布センター (KDC) |
(Kerberos ターゲット認証が有効な場合は必須) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
|
KDC ポート |
Kerberos 認証 API が通信に使用するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
|
領域 |
(Kerberos ターゲット認証が有効な場合は必須) この領域が、通常ターゲットのドメイン名として表記される、認証ドメインになります (例: example.com)。Tenable Nessus はデフォルトで 443 を使用します。 |
〇 |
| 認証情報の取得方法 |
CyberArk API 認証情報を取得する方法。[ユーザー名]、[識別子]、または [アドレス] のいずれかです。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 注意: [ユーザー名] オプションを使用すると、API クエリの [アドレス] パラメーターも追加され、解決されたホストのターゲット IP がこの [アドレス] パラメーターに割り当てられます。このため、CyberArk アカウント詳細の [アドレス] フィールドにターゲット IP アドレス以外の値が含まれていると、認証情報のフェッチに失敗する可能性があります。 |
〇 |
| Username (ユーザー名) |
([認証情報の取得方法] が [ユーザー名] の場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
| Safe |
認証情報の取得元となる CyberArk safe。 |
✕ |
| アドレス | このオプションは、アドレスの値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
| アカウント名 | ([認証情報の取得方法] が [識別子] の場合) CyberArk API の認証情報に割り当てられている一意のアカウント名または識別子。 | ✕ |
|
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
CyberArk Auto-Discovery (Tenable Nessus Manager のみ)
Tenable と CyberArk との統合による大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 |
〇 |
|
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
| Safe |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
| AIM ウェブサービス認証のタイプ | この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
| CyberArk PVWA ウェブ UI ログイン名 | CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
| CyberArk PVWA ウェブ UI ログインパスワード | CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
| CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての UnixSSH プラットフォームのアカウントを収集できます。」 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
|
権限昇格方法 |
現時点では、ユーザーが選択できるのは [なし] か [sudo] だけです。 |
✕ |
|
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
CyberArk (レガシー) (Tenable Nessus Manager のみ)
レガシー CyberArk の認証方法は以下の通りです。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
CyberArk AIM Service URL |
AIM サービスの URL。デフォルトでは、このフィールドは |
|
Central Credential Provider Host |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
|
Central Credential Provider Port |
CyberArk Central Credential Provider がリッスンするポート。 |
|
Central Credential Provider Username |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
|
Central Credential Provider Password |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
|
Safe |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。 |
| CyberArk Client Certificate | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
| CyberArk Client Certificate Private Key | クライアント証明書の PEM 秘密鍵を含むファイル。 |
| CyberArk Client Certificate Private Key Passphrase | (オプション) 秘密鍵のパスフレーズ (必要な場合)。 |
|
AppId |
CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられたAppId。 |
|
Folder |
取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。 |
|
PolicyId |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID です。 |
|
Use SSL (SSL の使用) |
IIS で SSL をサポートするように CyberArk Central Credential Provider を設定した場合は、安全な通信のためにこれを選択します。 |
|
Verify SSL Certificate (SSL 証明書の検証) |
IIS で SSL をサポートするように CyberArk Central Credential Provider を設定した場合に、証明書を検証するには、これを選択します。自己署名証明書の使用方法については、custom_CA.inc のマニュアルを参照してください。 |
|
CyberArk Account Details Name |
CyberArk から取得する認証情報の一意の名前。 |
|
CyberArk Address |
ユーザーアカウントのドメインです。 |
|
CyberArk elevate privileges with |
初回認証後にユーザー権限を昇格させるために使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。 |
| オプション | 説明 | 必須 |
|---|---|---|
| Delinea Authentication Method (Delinea 認証方法) | 認証に認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
|
Delinea ログイン名 |
Delinea サーバーへの認証に使用されるユーザー名。 |
〇 |
|
Delinea Password (Delinea パスワード) |
Delinea サーバーへの認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
| Delinea API キー | シークレットサーバーユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
|
Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーで シークレット名のラベルが付けられています。 |
〇 |
|
Delinea Host (Delinea ホスト) |
この Delinea シークレットサーバー ホストからシークレットをプルします。 |
〇 |
|
Delinea Port (Delinea ポート) |
API リクエストに使用する Delinea シークレットサーバー ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Use Private Key |
有効にすると、パスワード認証ではなく鍵ベースの認証で SSH 接続を行います。 |
✕ |
|
Use SSL (SSL の使用) |
Delinea シークレットサーバー が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーの SSL 証明書を検証します。 |
✕ |
|
権限昇格方法 |
初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。su、su+sudo、sudo など、権限昇格の複数のオプションがサポートされています。この選択によって、設定する必要があるオプションの内容が決まります。 |
✕ |
| カスタムパスワードプロンプト | 一部のデバイスは、非標準の文字列 (「secret-passcode」など) を使うパスワードのプロンプトを表示します。この設定により、このようなプロンプトを認識できます。ほとんどの標準パスワードプロンプトでは、これを空白のままにしてください。 |
✕ |
| 認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Kerberos
MIT の Athena プロジェクトによって開発された Kerberos は、対称鍵の暗号プロトコルを使用するクライアントサーバーアプリケーションです。対称暗号方式では、データの暗号化に使用されるキーは、データの復号に使用されるキーと同じです。企業は、Kerberos 認証を必要とするすべてのユーザーとサービスを含む KDC (Key Distribution Center) をデプロイします。ユーザーは、TGT (チケット交付用チケット) をリクエストして Kerberos 認証を行います。ユーザーに TGT が付与されると、ユーザーはそれを使用して、他の Kerberos ベースのサービスを利用可能にするサービスチケットを KDC に対してリクエストします。Kerberos は、CBC (Cipher Block Chain) の DES 暗号化プロトコルを使用してすべての通信を暗号化します。
注意: この認証方法を使用するには、Kerberos 環境を既に確立している必要があります。
Tenable Nessus での Linux ベースの SSH 用 Kerberos 認証の実装では、aes-cbc と aes-ctr 暗号アルゴリズムがサポートされます。Tenable Nessus と Kerberos のやり取りの概要を次に示します。
- エンドユーザーが KDC の IP を指定する
- nessusd が sshd で Kerberos 認証がサポートされるかどうかを確認する
- sshd が yes と答える
- nessusd がログインとパスワードとともに Kerberos TGT をリクエストする
- Kerberos が nessusd にチケットを送信する
- nessusd が sshd にチケットを送信する
- nessusd のログインが完了する
Windows と SSH では、リモートシステムの Kerberos キーを使用して認証情報を指定できます。Windows と SSH では設定が異なります。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Password (パスワード) |
指定されたユーザー名のパスワードです。 |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
このホストは、ユーザーのセッションチケットを提供します。 |
|
KDC Port |
このオプションを設定すると、88 以外のポートで稼働している KDC に Tenable Nessus を接続させることができます。 |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
Realm |
Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
|
Elevate privileges with |
認証が完了した後に権限を昇格します。 |
Kerberos を使用する場合、KDC でチケットを検証するには Keberos をサポートする sshd を設定する必要があります。これを機能させるには、逆引き DNS ルックアップを適切に設定する必要があります。Kerberos の相互認証方法は、gssapi-with-mi である必要があります。
Password (パスワード)
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Password (パスワード) |
指定されたユーザー名のパスワードです。 |
|
Elevate privileges with |
認証が完了した後に権限を昇格します。 |
| Custom password prompt | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
公開鍵
非対称鍵暗号化とも呼ばれる公開鍵暗号化は、公開鍵と秘密鍵のペアを使用することにより、より安全な認証メカニズムを提供します。この非対称暗号化では、Tenable Nessus は公開鍵を使用してデータを暗号化し、Tenable Nessus は秘密鍵を使用してそのデータを復号します。公開鍵と秘密鍵を両方使用すると、より安全でフレキシブルな SSH 認証を行うことができます。Tenable Nessus では DSA 鍵と RSA 鍵の両方式をサポートしています。
Tenable Nessus は、公開鍵暗号化と同様に RSA と DSA の OpenSSH 証明書をサポートしています。Tenable Nessus では、認証局 (CA) の署名付きのユーザー証明書とユーザーの秘密鍵も必要です。
注意: Tenable Nessus は openssh SSH 公開鍵形式 (pre-7.8 OpenSSH) をサポートしています。Tenable Nessus は新たな OPENSSH 形式 (OpenSSH versions 7.8+) をサポートしていません。所有するバージョンを確認するには、秘密鍵の内容を確認してください。openssh では -----BEGIN RSA PRIVATE KEY----- または -----BEGIN DSA PRIVATE KEY----- と表示され、互換性のない新たな OPENSSH では -----BEGIN OPENSSH PRIVATE KEY----- と表示されます。PuTTY や SSH Communications Security などの非 openssh の形式は、openssh 公開鍵形式に変換する必要があります。
認証情報を使用するスキャンでは、root 権限のある認証情報を使用する方法が最も効果的です。多くのサイトは root によるリモートログインを許可していないことから、Tenable Nessus は、su または sudo 権限が設定されたアカウントの別のパスワードを使用して、su、sudo、su+sudo、dzdo、.k5login、pbrun を呼び出すことができます。また Tenable Nessusは、Cisco ‘enable’ または Kerberos ログイン用の .k5login ファイルを選択することにより、Cisco デバイスにおける権限を昇格できます。
注意: Tenable Nessus は、blowfish-cbc、aes-cbc、aes-ctr 暗号アルゴリズムをサポートしています。商用版の SSH の一部は、おそらく輸出上の制約から blowfish アルゴリズムをサポートしていません。特定の種類の暗号のみを受け入れるように SSH サーバーを設定することもできます。SSH サーバーが適切なアルゴリズムをサポートすることを確認してください。
Tenable Nessus は、ポリシーに保存されているすべてのパスワードを暗号化します。ただし、認証には SSH パスワードではなく SSH 鍵を使用することをお勧めします。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。
注意: サポートされているネットワークデバイスでは、Tenable Nessus はそのネットワークデバイスの SSH 接続用のユーザー名とパスワードのみをサポートします。
root 以外のアカウントを使用して権限昇格を行う場合は、昇格アカウントに、そのアカウントと昇格パスワードを指定できます。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ホストシステムで認証に使用されているアカウントのユーザー名です。 |
|
Private Key (プライベートキー) |
ユーザーの |
|
Private key passphrase |
秘密鍵のパスフレーズです。 |
|
認証が完了した後に権限を昇格します。 |
| オプション | 説明 | 必須 |
|---|---|---|
|
QiAnXin ホスト |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
|
QiAnXin ポート |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
QiAnXin API クライアント ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
|
QiAnXin API 秘密 ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
|
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 | 〇 |
|
ホスト IP |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 | ✕ |
|
プラットフォーム |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
|
リージョン ID |
使用するアカウントを含む資産のリージョン ID を指定します。 | 複数のリージョンを使用している場合のみ必須 |
| 権限昇格方法 |
ドロップダウンメニューを使用して権限昇格方法を選択します。権限昇格をスキップするには [なし] を選択します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su と sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで QiAnXin による認証と権限昇格をサポートできます。[昇格アカウント名] フィールドは、昇格パスワードが通常のログインパスワードと異なる場合にのみ必要です。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドまたはTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| 昇格アカウントのユーザー名 | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
| Use SSL (SSL の使用) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
Thycotic Secret Server (Tenable Nessus Manager のみ)
BeyondTrust (Tenable Nessusのみ)
| オプション | デフォルト値 |
|---|---|
|
Username (ユーザー名) |
(必須) スキャンするホストにログインするためのユーザー名です。 |
|
BeyondTrust host (BeyondTrust ホスト) |
(必須) BeyondTrust IP アドレスまたは DNS アドレスです。 |
|
BeyondTrust port (BeyondTrust host ポート) |
(必須) BeyondTrust がリッスンしているポートです。 |
|
BeyondTrust API key (BeyondTrust API キー) |
(必須) BeyondTrust が提供する API キーです。 |
|
Checkout duration (チェックアウト期間) |
(必須) BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分) です。チェックアウトの期間は、Tenable Nessus における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意: BeyondTrust でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessusスキャンが中断されないようにします。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。 |
|
Use SSL (SSL の使用) |
有効にすると、Tenable Nessusは安全な通信のためにIISを介してSSLを使用します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
|
Verify SSL certificate (SSL 証明書の検証) |
有効にすると、Tenable Nessus は SSL 証明書を検証します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
|
Use private key (プライベートキーの使用) |
有効にすると、Tenable Nessus はパスワード認証ではなく秘密鍵ベースの認証で SSH 接続を行います。失敗した場合、Tenable Nessus はパスワードを要求します。 |
|
Use privilege escalation (権限昇格の使用) |
有効にすると、BeyondTrust は設定された権限昇格コマンドを使用します。コマンドから何かが返された場合は、それをスキャンに使用します。 |
Lieberman (Tenable Nessus Manager のみ)
| オプション | 説明 | 必須 |
|---|---|---|
| Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
| Lieberman ホスト |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Lieberman ポート | Lieberman がリッスンするポート。 |
〇 |
| Lieberman API URL | Tenable Nessus が Lieberman へのアクセスに使用する URL。 | ✕ |
| Lieberman ユーザー | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
| Lieberman パスワード | Lieberman 明示ユーザーのパスワード。 |
〇 |
| Lieberman 認証 |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
| Lieberman クライアント証明書 |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
| Lieberman クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
| Lieberman クライアント証明書の秘密鍵パスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
| Use SSL (SSL の使用) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
| Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されており、証明書を検証する場合、このオプションにチェックマークを入れます。自己署名証明書の使用方法については、カスタム CA ドキュメントを参照してください。 |
✕ |
| 認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
| システム名 | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
| カスタムパスワードプロンプト | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Nessus が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
Wallix Bastion (Tenable Nessus Manager のみ)
| オプション | 説明 | 必須 |
|---|---|---|
|
WALLIX Host (Delinea ホスト) |
WALLIX Bastion ホストの IP アドレス。 |
〇 |
|
WALLIX ポート |
WALLIX Bastion API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Authentication Type (認証タイプ) |
[Basic] (基本) 認証 (WALLIX Bastion ユーザーインターフェースのユーザー名とパスワードが必要) または [API Key] (API キー) 認証 (ユーザー名と WALLIX Bastion 生成の API キーが必要)。 |
✕ |
| WALLIX ユーザー |
WALLIX Bastion ユーザーインターフェースのログインユーザー名。 |
〇 |
| WALLIX Password (Delinea パスワード) | WALLIX Bastion ユーザーインターフェースのログインパスワード。API への [Basic] (基本) 認証に使用されます。 | 〇 |
| WALLIX API キー | WALLIX Bastion ユーザーインターフェースで生成された API キー。API への [API Key] (API キー) 認証に使用されます。 | 〇 |
| Get Credential by Device Account Name |
ターゲットシステムへのログインに使用するデバイスが関連付けられているアカウント名。 注意: デバイスに複数のアカウントがある場合、認証情報を取得するアカウントの特定のデバイス名を入力する必要があります。入力しないと、システムから誤ったアカウントの認証情報が返される可能性があります。 |
複数のアカウントがあるターゲットやデバイスを使用している場合にのみ必要です。 |
|
HTTPS |
これはデフォルトで有効です。 注意: HTTPS を無効にすると、統合が失敗します。 |
〇 |
|
Verify SSL Certificate (SSL 証明書の検証) |
これはデフォルトで無効になっており、WALLIX Bastion PAM 統合ではサポートされていません。 |
✕ |
|
権限昇格方法 |
これにより、WALLIX Bastion 特権アクセス管理 (PAM) が有効になります。ドロップダウンメニューを使用して、権限昇格方法を選択します。この機能をバイパスするには、このフィールドを [Nothing] (なし) に設定されたままにします。 警告: PAM を有効にするには、WALLIX Bastion アカウントで、WALLIX Bastion スーパー管理者がアカウントの「認証情報回復」を有効にしている必要があります。有効にしないと、スキャンから結果が返されない可能性があります。詳細は、WALLIX Bastion ドキュメントを参照してください。 注意: su、su+sudo、sudo など、複数の権限昇格オプションがサポートされています。たとえば sudo を選択すると、[sudo user] (sudo ユーザー)、[Escalation Account Name] (昇格アカウント名)、[Location of su and sudo] (su と sudo の場所) のフィールドが追加で表示され、これらのフィールドに入力することで WALLIX Bastion PAM による認証と権限昇格をサポートできます。権限昇格を完了するには、[Escalation Account Name] (エスカレーションアカウント名) フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、 |
権限昇格を行う場合に必要です。 |
|
Database Port (データベースのポート) |
通信に対して Oracle データベースインスタンスがリッスンする TCP ポート。デフォルトはポート 1521 です。 |
✕ |
|
Auth Type (認証方法) |
データベースインスタンスにアクセスするために Tenable が使用するアカウントの種類。
|
✕ |
| Service Type (サービスの種類) | データベースインスタンスを指定するために使用する Oracle パラメーター: SID または SERVICE_NAME |
✕ |
| Service (サービス) |
データベースインスタンスの SID 値または SERVICE_NAME 値。 入力する [Service] (サービス) 値は、[Service Type] (サービスタイプ) オプションのパラメーターとして選択した値と一致する必要があります。 |
〇 |
HashiCorp Vault (Tenable Nessus Manager のみ)
| Windows と SSH の認証情報 | ||
|---|---|---|
| オプション | 説明 |
必須 |
| Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
| Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
| Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
| Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
| Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)たとえば、 /v1/auth/approle/login |
〇 |
| Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
| Vault Type (Vault タイプ) |
Tenable Nessus バージョン: KV1、KV2、AD、LDAP。Tenable Nessus バージョンの詳細については、Tenable Nessus のドキュメントを参照してください。 |
〇 |
| KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Nessus が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
| KV2 エンジン URL |
(KV2) Tenable Nessus が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV2 Vault タイプを選択した場合) |
| AD Engine URL (AD エンジン URL) |
(AD) Tenable Nessus が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
| LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Nessus が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
| Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
| Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
| Password Key (パスワード鍵) | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | yes |
|
Domain Key (Windows) (ドメイン鍵 (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) ドメインが保存される秘密鍵の名前です。 |
yes |
| Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
|
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
|
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
ドメイン (Windows) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
|
レルム (SSH) |
(Kerberos ターゲット認証が有効な場合は必須。) Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
yes |
| Use SSL (SSL の使用) | 有効にすると、Tenable Nessus Manager は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | no |
| Tenable Nessus に対して有効にする | Tenable Nessus での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
| 権限昇格方法 (SSH) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格のために su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウントの秘密名、sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Nessus による認証と権限昇格をサポートできます。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| 昇格アカウントシークレット名 (SSH) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | no |
Centrify (Tenable Nessus Manager のみ)
| オプション | デフォルト値 |
|---|---|
|
Centrify ホスト |
(必須) Centrify IP アドレスまたは DNS アドレスです。 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Centrify Port |
Centrify がリッスンするポート。 |
| API User | (必須) Centrify が提供する API ユーザー |
|
API Key (API キー) |
(必須) Centrify が提供する API キー。 |
| Tenant | マルチチーム環境で指定されたチームの名前です。 |
|
Authentication URL (認証 URL) |
Tenable Nessus Manager が Centrify へのアクセスに使用する URL。 |
| Password Engine URL | マルチチーム環境で指定されたチームの名前です。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Checkout duration |
Centrify で認証情報のチェックアウト状態を保持する時間 (分)。 チェックアウトの期間は、 Tenable Nessus Manager における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Centrify でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessus Manager スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。 |
| Use SSL (SSL の使用) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| 認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Arcon (Tenable Nessus Manager のみ)
| オプション | デフォルト値 |
|---|---|
|
Arcon のホスト |
(必須) Arcon IP アドレスまたは DNS アドレスです。 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Arcon port |
Arcon がリッスンするポート。 |
| API User |
(必須) Arcon が提供するAPIユーザーです。 |
| API キー |
(必須) Arcon が提供するAPIキーです。 |
| Authentication URL (認証 URL) | Tenable Nessus Manager が Arcon へのアクセスに使用する URL。 |
|
Password Engine URL |
Tenable Nessus Manager が Arcon のパスワードへのアクセスに使用する URL。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Arcon ターゲットタイプ | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
| チェックアウト期間 |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。 チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
| Use SSL (SSL の使用) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| 認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |