ホスト認証情報
Tenable Nessus では、次の形式のホスト認証がサポートされます。
SNMPv3
ユーザーは、[Credentials] (認証情報) メニューで SNMPv3 設定を選択し、暗号化ネットワーク管理プロトコルを使用してスキャンシステムの認証情報を入力します。
これらの認証情報を使用して、ネットワークデバイスなどのリモートシステムから、パッチ監査やコンプライアンスチェック用のローカル情報を取得します。
ターゲットシステムでチェックを実行するアカウントの SNMPv3 ユーザー名、SNMPv3 ポート、セキュリティレベル、認証アルゴリズムとパスワード、プライバシーアルゴリズムとパスワードを入力するためのフィールドがあります。
Nessus がコミュニティストリングまたはパスワードを判別できない場合、そのサービスの監査を正常に実行できない場合があります。
| オプション | 説明 | デフォルト |
|---|---|---|
|
Username (ユーザー名) |
|
- |
|
Port (ポート) |
Tenable Nessus からの通信に対して SNMPv3 がリッスンする TCP ポート |
161 |
|
Security level (セキュリティレベル) |
SNMP のセキュリティレベル:
|
認証とプライバシー |
|
Authentication algorithm (認証アルゴリズム) |
削除サービスがサポートするアルゴリズム: SHA1、SHA224、SHA-256、SHA-384、SHA-512、MD5。 |
SHA1 |
|
Authentication password (パスワード認証) |
|
- |
|
Privacy algorithm (プライバシーアルゴリズム) |
SNMP トラフィックに使用する暗号アルゴリズム: AES、AES-192、AES-192C、AES-256、AES-256C、または DES。 |
AES-192 |
|
Privacy password (プライバシーパスワード) |
|
- |
SSH
Unix システムとサポートされているネットワークデバイスで、ホストベースのチェックに SSH 認証情報を使用します。Tenable Nessus はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックのために、リモート Unix システムからローカル情報を取得します。Tenable Nessus は、セキュアシェル (SSH) プロトコルバージョン2ベースのプログラム (OpenSSH、Solaris SSH など) をホストベースのチェックに使用します。
Tenable Nessus は、スニファープログラムによる表示から保護するためにデータを暗号化します。
ヒント: サポートされている鍵交換 (KEX) アルゴリズムの詳細については、Linux での認証情報チェックを参照してください。
注意: Linuxシステムにローカルでアクセス可能な特権ユーザー以外のユーザーは、パッチレベルや /etc/passwd ファイルへの入力といった基本的なセキュリティ問題を判断できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。
注意: 1 つのスキャンに最大 1,000 個の SSH 認証情報を追加できます。最高のパフォーマンスを得るために、Tenable は追加する SSH 認証情報をスキャンあたりで 10 個以下にすることを推奨しています。
さまざまな SSH 認証方法については、次の設定を参照してください。
グローバル認証情報設定
すべての SSH 認証方法で使用できるSSH認証情報には、4 つの設定があります。
| オプション | デフォルト値 | 説明 |
|---|---|---|
|
known_hosts file (known_hosts ファイル) |
なし |
SSH の known_hosts ファイルが使用可能で、スキャンポリシーの Global Credential Settings の一部として known_hosts file フィールドに指定されている場合、Tenable Nessus はこのファイル内のホストにログインを試行します。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。 |
|
Preferred port (希望のポート) |
22 |
Tenable Nessus が 22 以外のポートで動作している場合、このオプションを設定して Tenable Nessus を SSH に接続するように設定できます。 |
|
Client version (Client version (クライアントバージョン)) |
OpenSSH_5.0 |
スキャン中に Tenable Nessus が偽装する SSH クライアントの種類を指定します。 |
|
Attempt least privilege (Attempt least privilege (最小限の権限を試行)) |
未選択 |
動的な権限昇格を有効または無効にします。これを有効にすると、Tenable Nessus は、[Elevate privileges with] (権限昇格方法) オプションが有効になっている場合でも、より権限の低いアカウントでスキャンを実行しようとします。コマンドが失敗すると、Tenable Nessus は権限を昇格させます。プラグイン 102095 および 102094 では、権限の昇格の有無にかかわらず、実行されたプラグインが報告されます。 注意: このオプションを有効にすると、スキャンの実行時間が最長で 30% 長くなる可能性があります。 |
証明書
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ホストシステムで認証に使用されているアカウントのユーザー名です。 |
|
User Certificate (ユーザー証明書) |
RSA または DSA のユーザー証明書ファイルです。 |
|
Private Key (プライベートキー) |
ユーザーの |
|
Private key passphrase (秘密鍵のパスフレーズ) |
秘密鍵のパスフレーズです。 |
|
Elevate privileges with (権限昇格方法) |
認証が完了した後に権限を昇格します。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
CyberArk (Tenable Nessus Managerのみ)
ヒント: Cyberark の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk Host (Delinea ホスト) |
CyberArk AIM ウェブサービスの IP アドレスまたは FQDN 名。 |
〇 |
|
Ports (ポート) |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
| Client certificate (クライアント証明書) |
CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 注意: Windows Server 2022 以降で CyberArk CCP をセルフホスティングしているお客様は、CyberArk クライアント証明書の認証の問題に関する Tenable のコミュニティの投稿に記載されているガイダンスに従ってください。 |
✕ |
| Client Certificate Private Key (クライアント証明書のプライベートキー) | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
| Client Certificate Private Key Passphrase (クライアント証明書のプライベートキーのパスフレーズ) | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
|
Kerberos ターゲット認証 |
有効にすると、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信に使用するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
|
Realm (領域) |
(Kerberos ターゲット認証が有効な場合は必須) この領域が、通常ターゲットのドメイン名として表記される、認証ドメインになります (例: example.com)。Tenable Nessus はデフォルトで 443 を使用します。 |
〇 |
| 認証情報の取得方法 |
CyberArk API 認証情報を取得する方法。[アドレス]、[識別子]、[パラメーター]、または [ユーザー名] のいずれかです。 注意: [パラメーター] オプションの詳細については、パラメーターオプションの表を参照してください。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 |
〇 |
| ユーザー名 |
([認証情報の取得方法] が [ユーザー名] に設定されている場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
| Safe (セーフ) |
認証情報の取得元となる CyberArk safe。 |
✕ |
| Address (アドレス) | このオプションは、アドレスの値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
| Account Name (アカウント名) | ([認証情報の取得方法] が [識別子] の場合) CyberArk API の認証情報に割り当てられている一意のアカウント名または識別子。 | ✕ |
|
Use SSL (SSL を使用する) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
CyberArk Auto-Discovery (Tenable Nessus Manager のみ)
ヒント: Cyberark の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
Tenable と CyberArk との統合による大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
〇 |
|
Ports (ポート) |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
〇 |
|
CCP Host (CCP ホスト) |
ユーザーの Cyber Ark CCP コンポーネントの IP アドレスまたは FQDN 名。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
✕ |
|
CCP Port (CCP ポート) |
Cyber Ark CCP (AIM ウェブサービス) API が通信するポート。Tenable はデフォルトで 443 を使用します。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
✕ |
|
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
| Safe (セーフ) |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
| AIM Web Service Authentication Type (AIM ウェブサービス認証のタイプ) | この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
| CyberArk PVWA ウェブ UI ログイン名 | CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
| CyberArk PVWA ウェブ UI ログインパスワード | CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
| CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての UnixSSH プラットフォームのアカウントを収集できます。 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
|
Elevate Privileges with (権限昇格方法) |
現時点では、ユーザーが選択できるのは [なし] か [sudo] だけです。 |
✕ |
|
Use SSL (SSL を使用する) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
CyberArk (レガシー) (Tenable Nessus Manager のみ)
ヒント: Cyberark の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
レガシー CyberArk の認証方法は以下の通りです。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
CyberArk AIM Service URL (CyberArk AIM サービス URL) |
AIM サービスの URL。デフォルトでは、このフィールドは |
|
Central Credential Provider Host (Central Credential Provider ホスト) |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
|
Central Credential Provider Port (Central Credential Provider ポート) |
CyberArk Central Credential Provider がリッスンするポート。 |
|
Central Credential Provider Username (Central Credential Provider ユーザー名) |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
|
Central Credential Provider Password (Central Credential Provider パスワード) |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、このフィールドに入力して認証できます。 |
|
Safe (セーフ) |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。 |
| CyberArk Client Certificate (CyberArk Client 証明書) | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
| CyberArk Client Certificate Private Key (CyberArk Client Certificate 秘密鍵) | クライアント証明書の PEM 秘密鍵を含むファイル。 |
| CyberArk Client Certificate Private Key Passphrase (CyberArk Client Certificate 秘密鍵パスフレーズ) | (オプション) 秘密鍵のパスフレーズ (必要な場合)。 |
|
AppId |
CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられたAppId。 |
|
Folder (フォルダー) |
取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。 |
|
PolicyId |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID です。 |
|
Use SSL (SSL を使用する) |
IIS で SSL をサポートするように CyberArk Central Credential Provider を設定した場合は、安全な通信のためにこれを選択します。 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
IIS で SSL をサポートするように CyberArk Central Credential Provider を設定した場合に、証明書を検証するには、これを選択します。自己署名証明書の使用方法については、custom_CA.inc のマニュアルを参照してください。 |
|
CyberArk Account Details Name (CyberArk Account Details 名前) |
CyberArk から取得する認証情報の一意の名前。 |
|
CyberArk Address (CyberArk アドレス) |
ユーザーアカウントのドメインです。 |
|
CyberArk elevate privileges with (CyberArk 権限昇格方法) |
初回認証後にユーザー権限を昇格させるために使用するElevate Privileges with (権限昇格方法)です。この選択によって、設定する必要があるオプションの内容が決まります。 |
Delinea
ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグイン を参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
| Delinea 認証方式 | 認証に、認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
|
Delinea ログイン名 |
Delinea サーバーへの認証に使用されるユーザー名。 |
〇 |
|
Delinea Password (Delinea パスワード) |
Delinea サーバーへの認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
| Delinea API キー | Secret Server ユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
|
Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーで シークレット名のラベルが付けられています。 |
〇 |
|
Delinea Host (Delinea ホスト) |
この Delinea シークレットサーバー ホストからシークレットをプルします。 |
〇 |
|
Delinea Port (Delinea ポート) |
API リクエストに使用する Delinea シークレットサーバー ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Use Private Key (秘密鍵を使用する) |
有効にすると、パスワード認証ではなく鍵ベースの認証で SSH 接続を行います。 |
✕ |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Realm (領域) |
(Kerberos ターゲット認証が有効な場合は必須) この領域は、通常ターゲットのドメイン名として記載されている認証ドメインです。 |
〇 |
|
Use SSL (SSL を使用する) |
Delinea シークレットサーバー が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーの SSL 証明書を検証します。 |
✕ |
|
Elevate Privileges with (権限昇格方法) |
初回認証後にユーザー権限を昇格させる場合に使用するElevate Privileges with (権限昇格方法)です。su、su+sudo、sudo など、権限昇格の複数のオプションがサポートされています。この選択によって、設定する必要があるオプションの内容が決まります。 |
✕ |
| Custom password prompt (カスタムパスワードプロンプト) | 一部のデバイスは、非標準の文字列 (「secret-passcode」など) を使うパスワードのプロンプトを表示します。この設定により、このようなプロンプトを認識できます。ほとんどの標準パスワードプロンプトでは、これを空白のままにしてください。 |
✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Delinea Secret Server 自動検出
ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
Delinea Host (Delinea ホスト) |
Delinea Secret Server ホスト。ここからシークレットをプルします。 |
〇 |
|
Delinea ポート |
API リクエスト用の Delinea Secret Server ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Delinea Authentication Method (Delinea 認証方式) |
認証に、認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 |
〇 |
| Delinea Login Name (Delinea ログイン名) |
Delinea サーバーに認証されるときに使用するユーザー名。 |
〇 |
| Delinea Password (Delinea パスワード) | Delinea サーバーに認証されるときに使用するパスワード。これは、指定した Delinea ログイン名に関連付けられているものです。 |
〇 |
| Delinea API Key (Delinea API キー) | Secret Server ユーザーインターフェースで生成された API キー。この設定は、API キーの認証方式を選択した場合に必須です。 |
〇 |
| Query Mode (クエリモード) | 事前設定されたフィールドを使用するか、URL クエリパラメーターの文字列を構築してアカウントにクエリを実行するかを選択します。デフォルトでは、[シンプル] が選択されています。 |
〇 |
| Folder ID (フォルダー ID) |
指定されたフォルダー ID でアカウントにクエリを実行します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
|
Search Text (検索テキスト) |
指定された検索テキストに一致するアカウントにクエリを実行します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
|
Search Field (検索フィールド) |
指定された検索テキストを使用して検索するフィールド。指定しない場合、クエリは name フィールドを検索します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
| Exact Match (完全一致) | 検索テキストと完全一致を実行します。デフォルトでは、これは選択されていません。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
| Query String (クエリ文字列) | URL クエリパラメーターの文字列を指定します。このオプションは、クエリモードが [高度] に設定されている場合にのみ使用でき、この場合は必須です。 |
〇 |
| Use Private Key (秘密鍵を使用する) | パスワード認証ではなく鍵ベースの認証を使用して SSH 接続を行います。 |
✕ |
| Use SSL (SSL を使用する) | 安全な通信のために SSL を使用します。 |
〇 |
| Verify SSL Certificate (SSL 証明書を検証する) | Delinea Secret Server SSL 証明書を検証します。 |
✕ |
| Delinea Elevate Privileges with (Delinea 権限昇格方法) |
初回認証後にユーザー権限を昇格させる場合に使用するElevate Privileges with (権限昇格方法)です。su、su+sudo、sudo など、権限昇格の複数のオプションがサポートされています。 Elevate Privileges with (権限昇格方法)を選択すると、[クエリモード] とそれに関連するオプションと同様に、昇格クエリを設定するオプションが表示されます。これらのフィールドは、昇格に最初のログインとは別のアカウント (たとえば「su」) を使用する場合にのみ入力必須となります。 |
〇 |
Kerberos
MIT の Athena プロジェクトによって開発された Kerberos は、対称鍵の暗号プロトコルを使用するクライアントサーバーアプリケーションです。対称暗号方式では、データの暗号化に使用されるキーは、データの復号に使用されるキーと同じです。企業は、Kerberos 認証を必要とするすべてのユーザーとサービスを含む KDC (Key Distribution Center) をデプロイします。ユーザーは、TGT (チケット交付用チケット) をリクエストして Kerberos 認証を行います。ユーザーに TGT が付与されると、ユーザーはそれを使用して、他の Kerberos ベースのサービスを利用可能にするサービスチケットを KDC に対してリクエストします。Kerberos は、CBC (Cipher Block Chain) の DES 暗号化プロトコルを使用してすべての通信を暗号化します。
注意: この認証方法を使用するには、Kerberos 環境を既に確立している必要があります。
Tenable Nessus での Linux ベースの SSH 用 Kerberos 認証の実装では、aes-cbc と aes-ctr 暗号アルゴリズムがサポートされます。Tenable Nessus と Kerberos のやり取りの概要を次に示します。
- エンドユーザーが KDC の IP を指定する
- nessusd が sshd で Kerberos 認証がサポートされるかどうかを確認する
- sshd が yes と答える
- nessusd がログインとパスワードとともに Kerberos TGT をリクエストする
- Kerberos が nessusd にチケットを送信する
- nessusd が sshd にチケットを送信する
- nessusd のログインが完了する
Windows と SSH では、リモートシステムの Kerberos キーを使用して認証情報を指定できます。Windows と SSH では設定が異なります。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Password (パスワード) |
指定されたユーザー名のパスワードです。 |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
このホストは、ユーザーのセッションチケットを提供します。 |
|
KDC Port (KDC ポート) |
このオプションを設定すると、88 以外のポートで稼働している KDC に Tenable Nessus を接続させることができます。 |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
Realm (領域) |
Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
|
Elevate privileges with (権限昇格方法) |
認証が完了した後に権限を昇格します。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Kerberos を使用する場合、KDC でチケットを検証するには Kerberos をサポートする sshd を設定する必要があります。これを機能させるには、逆引き DNS ルックアップを適切に設定する必要があります。Kerberos の相互認証方法は、gssapi-with-mi である必要があります。
Password (パスワード)
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Password (パスワード) |
指定されたユーザー名のパスワードです。 |
|
Elevate privileges with (権限昇格方法) |
認証が完了した後に権限を昇格します。 |
| Custom password prompt (カスタムパスワードプロンプト) | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
公開鍵
非対称鍵暗号化とも呼ばれる公開鍵暗号化は、公開鍵と秘密鍵のペアを使用することにより、より安全な認証メカニズムを提供します。この非対称暗号化では、Tenable Nessus は公開鍵を使用してデータを暗号化し、Tenable Nessus は秘密鍵を使用してそのデータを復号します。公開鍵と秘密鍵を両方使用すると、より安全でフレキシブルな SSH 認証を行うことができます。Tenable Nessus では DSA 鍵と RSA 鍵の両方式をサポートしています。
Tenable Nessus は、公開鍵暗号化と同様に RSA と DSA の OpenSSH 証明書をサポートしています。Tenable Nessus では、認証局 (CA) の署名付きのユーザー証明書とユーザーの秘密鍵も必要です。
注意: Tenable Nessus は openssh SSH 公開鍵形式 (pre-7.8 OpenSSH) をサポートしています。Tenable Nessus は新たな OPENSSH 形式 (OpenSSH versions 7.8+) をサポートしていません。所有するバージョンを確認するには、秘密鍵の内容を確認してください。openssh では -----BEGIN RSA PRIVATE KEY----- または -----BEGIN DSA PRIVATE KEY----- と表示され、互換性のない新たな OPENSSH では -----BEGIN OPENSSH PRIVATE KEY----- と表示されます。PuTTY や SSH Communications Security などの非 openssh の形式は、openssh 公開鍵形式に変換する必要があります。
認証情報を使用するスキャンでは、root 権限のある認証情報を使用する方法が最も効果的です。多くのサイトは root によるリモートログインを許可していないことから、Tenable Nessus は、su または sudo 権限が設定されたアカウントの別のパスワードを使用して、su、sudo、su+sudo、dzdo、.k5login、pbrun を呼び出すことができます。また Tenable Nessusは、Cisco ‘enable’ または Kerberos ログイン用の .k5login ファイルを選択することにより、Cisco デバイスにおける権限を昇格できます。
注意: Tenable Nessus は、blowfish-cbc、aes-cbc、aes-ctr 暗号アルゴリズムをサポートしています。商用版の SSH の一部は、おそらく輸出上の制約から blowfish アルゴリズムをサポートしていません。特定の種類の暗号のみを受け入れるように SSH サーバーを設定することもできます。SSH サーバーが適切なアルゴリズムをサポートすることを確認してください。
Tenable Nessus は、ポリシーに保存されているすべてのパスワードを暗号化します。ただし、認証には SSH パスワードではなく SSH 鍵を使用することをお勧めします。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。
注意: サポートされているネットワークデバイスでは、Tenable Nessus はそのネットワークデバイスの SSH 接続用のユーザー名とパスワードのみをサポートします。
root 以外のアカウントを使用して権限昇格を行う場合は、昇格アカウントに、そのアカウントと昇格パスワードを指定できます。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ホストシステムで認証に使用されているアカウントのユーザー名です。 |
|
Private Key (プライベートキー) |
ユーザーの |
|
Private key passphrase (秘密鍵のパスフレーズ) |
秘密鍵のパスフレーズです。 |
|
認証が完了した後に権限を昇格します。 |
|
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
QiAnXin (Tenable Nessus Manager のみ)
ヒント: QiAnXin の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
QiAnXin Host (QiAnXin ホスト) |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
|
QiAnXin Port (QiAnXin ポート) |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
QiAnXin API Client ID (QiAnXin API クライアント ID) |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
|
QiAnXin API Secret ID (QiAnXin API 秘密 ID) |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
|
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 | 〇 |
|
Host IP (ホスト IP) |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 | ✕ |
|
Platform (プラットフォーム) |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
|
Region ID (リージョン ID) |
使用するアカウントを含む資産のリージョン ID を指定します。 | 複数のリージョンを使用している場合のみ必須 |
| Elevate Privileges with (権限昇格方法) |
ドロップダウンメニューを使用してElevate Privileges with (権限昇格方法)を選択します。権限昇格をスキップするには [なし] を選択します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su と sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで QiAnXin による認証と権限昇格をサポートできます。[昇格アカウント名] フィールドは、昇格パスワードが通常のログインパスワードと異なる場合にのみ必要です。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドまたはTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| Escalation Account Username (昇格アカウントのユーザー名) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Realm (領域) |
(Kerberos ターゲット認証が有効な場合は必須) この領域は、通常ターゲットのドメイン名として記載されている認証ドメインです。 |
〇 |
| Use SSL (SSL を使用する) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Senhasegura (Tenable Nessus Manager のみ)
ヒント: Senhasegura の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
Senhasegura Host (Senhasegura ホスト) |
Senhasegura ホストの IP アドレスまたは URL です。 |
〇 |
|
Senhasegura Port (Senhasegura ポート) |
Senhasegura API が通信に使用するポートです。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Senhasegura API Client ID (Senhasegura API クライアント ID) |
Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのクライアント ID です。 |
〇 |
| Senhasegura API Secret ID (Senhasegura API のシークレット ID) | Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのシークレット ID です。 |
〇 |
| Senhasegura Credential ID or Identifier (Senhasegura 認証情報 ID または識別子) | 取得をリクエストしている認証情報の認証情報 ID または識別子です。 |
〇 |
| Use SSH Key for Target Authentication (Use SSH Key for Target Authentication (ターゲット認証に SSH キーを使用する)) | 設定が Senhasegura に適用可能な場合、ユーザーはこのオプションを選択して、ターゲットへの認証を行うための SSH キーを取得できます。 | ターゲットへの認証を SSH キーで行う場合は必須です。 |
|
Private Key File (秘密鍵ファイル) |
A2A からの暗号化された機密データを復号するために使用される秘密鍵です。 注意: A2A アプリケーション認証で機密データの暗号化を有効にできます。有効にした場合、スキャン認証情報に秘密鍵ファイルを指定する必要があります。これは、Senhasegura の該当する A2A アプリケーションからダウンロードできます。 |
A2A アプリケーション認証で機密データの暗号化を有効にした場合には必須です。 |
| Elevate Privileges with (権限昇格方法) |
ドロップダウンメニューを使用してElevate Privileges with (権限昇格方法)を選択します。権限昇格をスキップするには [Nothing] (なし) を選択します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su と sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Senhasegura による認証と権限昇格をサポートできます。権限昇格を完了するには、[Escalation Account Name] (昇格アカウント名) フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイド、Tenable Vulnerability Management ユーザーガイド、または Tenable Security Center ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| 昇格アカウント認証情報 ID または識別子 | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
|
HTTPS |
このオプションはデフォルトで有効です。 |
〇 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
これはデフォルトでは無効になっています。 |
✕ |
Thycotic Secret Server (Tenable Nessus Manager のみ)
BeyondTrust (Tenable Nessus のみ)
ヒント: BeyondTrust の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | デフォルト値 |
|---|---|
|
Username (ユーザー名) |
(必須) スキャンするホストにログインするためのユーザー名です。 |
|
BeyondTrust host (BeyondTrust ホスト) |
(必須) BeyondTrust IP アドレスまたは DNS アドレスです。 |
|
BeyondTrust port (BeyondTrust ポート) |
(必須) BeyondTrust がリッスンしているポートです。 |
|
BeyondTrust API key (BeyondTrust API キー) |
(必須) BeyondTrust が提供する API キーです。 |
|
Checkout duration (チェックアウト期間) |
(必須) BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分) です。チェックアウトの期間は、Tenable Nessus における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意: BeyondTrust でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessusスキャンが中断されないようにします。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。 |
|
Use SSL (SSL を使用する) |
有効にすると、Tenable Nessusは安全な通信のためにIISを介してSSLを使用します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
|
Verify SSL certificate (SSL 証明書の検証) |
有効にすると、Tenable Nessus は SSL 証明書を検証します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
|
Use private key (プライベートキーの使用) |
有効にすると、Tenable Nessus はパスワード認証ではなく秘密鍵ベースの認証で SSH 接続を行います。失敗した場合、Tenable Nessus はパスワードを要求します。 |
|
Use privilege escalation (権限昇格の使用) |
有効にすると、BeyondTrust は設定された権限昇格コマンドを使用します。コマンドから何かが返された場合は、それをスキャンに使用します。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Lieberman (Tenable Nessus Manager のみ)
| オプション | 説明 | 必須 |
|---|---|---|
| Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
| Lieberman host (Lieberman ホスト) |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Lieberman port (Lieberman ポート) | Lieberman がリッスンするポート。 |
〇 |
| Lieberman API URL | Tenable Nessus が Lieberman へのアクセスに使用する URL。 | ✕ |
| Lieberman user (Lieberman ユーザー) | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
| Lieberman password (Lieberman パスワード) | Lieberman 明示ユーザーのパスワード。 |
〇 |
| Lieberman Authenticator (Lieberman 認証) |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
| Lieberman Client Certificate (Lieberman クライアント証明書) |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
| Lieberman Client Certificate Private Key (Lieberman クライアント証明書のプライベートキー) | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
| Lieberman Client Certificate Private Key Passphrase (Lieberman クライアント証明書の秘密鍵パスフレーズ) | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
| Use SSL (SSL を使用する) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
| Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されており、証明書を検証する場合、このオプションにチェックマークを入れます。自己署名証明書の使用方法については、カスタム CA ドキュメントを参照してください。 |
✕ |
| System Name (システム名) | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
| Custom password prompt (カスタムパスワードプロンプト) | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Nessus が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Wallix Bastion (Tenable Nessus Manager のみ)
ヒント: Wallix Bastion の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
WALLIX Host (Delinea ホスト) |
WALLIX Bastion ホストの IP アドレス。 |
〇 |
|
WALLIX ポート |
WALLIX Bastion API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Authentication Type (認証タイプ) |
[Basic] (基本) 認証 (WALLIX Bastion ユーザーインターフェースのユーザー名とパスワードが必要) または [API Key] (API キー) 認証 (ユーザー名と WALLIX Bastion 生成の API キーが必要)。 |
✕ |
| WALLIX ユーザー |
WALLIX Bastion ユーザーインターフェースのログインユーザー名。 |
〇 |
| WALLIX Password (Delinea パスワード) | WALLIX Bastion ユーザーインターフェースのログインパスワード。API への [Basic] (基本) 認証に使用されます。 | 〇 |
| WALLIX API キー | WALLIX Bastion ユーザーインターフェースで生成された API キー。API への [API Key] (API キー) 認証に使用されます。 | 〇 |
| Get Credential by Device Account Name (デバイスアカウント名で認証情報を取得する) |
ターゲットシステムへのログインに使用するデバイスが関連付けられているアカウント名。 注意: デバイスに複数のアカウントがある場合、認証情報を取得するアカウントの特定のデバイス名を入力する必要があります。入力しないと、システムから誤ったアカウントの認証情報が返される可能性があります。 |
複数のアカウントがあるターゲットやデバイスを使用している場合にのみ必要です。 |
|
HTTPS |
これはデフォルトで有効です。 注意: HTTPS を無効にすると、統合が失敗します。 |
〇 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
これはデフォルトで無効になっており、WALLIX Bastion PAM 統合ではサポートされていません。 |
✕ |
|
Elevate Privileges with (権限昇格方法) |
これにより、WALLIX Bastion 特権アクセス管理 (PAM) が有効になります。ドロップダウンメニューを使用して、Elevate Privileges with (権限昇格方法)を選択します。この機能をバイパスするには、このフィールドを [Nothing] (なし) に設定されたままにします。 警告: PAM を有効にするには、WALLIX Bastion アカウントで、WALLIX Bastion スーパー管理者がアカウントの「認証情報回復」を有効にしている必要があります。有効にしないと、スキャンから結果が返されない可能性があります。詳細は、WALLIX Bastion ドキュメントを参照してください。 注意: su、su+sudo、sudo など、複数の権限昇格オプションがサポートされています。たとえば sudo を選択すると、[sudo user] (sudo ユーザー)、[Escalation Account Name] (昇格アカウント名)、[Location of su and sudo] (su と sudo の場所) のフィールドが追加で表示され、これらのフィールドに入力することで WALLIX Bastion PAM による認証と権限昇格をサポートできます。権限昇格を完了するには、[Escalation Account Name] (エスカレーションアカウント名) フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、 |
権限昇格を行う場合に必要です。 |
|
Database Port (データベースのポート) |
通信に対して Oracle データベースインスタンスがリッスンする TCP ポート。デフォルトはポート 1521 です。 |
✕ |
|
Auth Type (認証方法) |
データベースインスタンスにアクセスするために Tenable が使用するアカウントの種類。
|
✕ |
| Service Type (サービスの種類) | データベースインスタンスを指定するために使用する Oracle パラメーター: SID または SERVICE_NAME |
✕ |
| Service (サービス) |
データベースインスタンスの SID 値または SERVICE_NAME 値。 入力する [Service] (サービス) 値は、[Service Type] (サービスタイプ) オプションのパラメーターとして選択した値と一致する必要があります。 |
〇 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
HashiCorp Vault (Tenable Nessus Manager のみ)
ヒント: HashiCorp の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| Windows と SSH の認証情報 | ||
|---|---|---|
| オプション | 説明 |
必須 |
| Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
| Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
| Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
| Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
| Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)たとえば、 /v1/auth/approle/login |
〇 |
| Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
| Vault Type (Vault タイプ) |
Tenable Nessus バージョン: KV1、KV2、AD、LDAP。Tenable Nessus バージョンの詳細については、Tenable Nessus のドキュメントを参照してください。 |
〇 |
| KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Nessus が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
| KV2 Engine URL (KV2 エンジン URL) |
(KV2) Tenable Nessus が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV2 Vault タイプを選択した場合) |
| AD Engine URL (AD エンジン URL) |
(AD) Tenable Nessus が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
| LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Nessus が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
| Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
| Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
| Password Key (パスワード鍵) | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | 〇 |
|
Domain Key (Windows) (ドメイン鍵 (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) ドメインが保存される秘密鍵の名前です。 |
〇 |
| Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Domain (Windows) (ドメイン (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
|
Realm (SSH) (領域 (SSH)) |
(Kerberos ターゲット認証が有効な場合は必須。) Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
〇 |
| Use SSL (SSL を使用する) | 有効にすると、Tenable Nessus Manager は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Tenable Nessus に対して有効にする | Tenable Nessus での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
| Elevate Privileges with (SSH) (権限昇格方法 (SSH)) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格のために su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウントの秘密名、sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Nessus による認証と権限昇格をサポートできます。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| Escalation account secret name (SSH) (昇格アカウントシークレット名 (SSH)) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Centrify (Tenable Nessus Manager のみ)
| オプション | デフォルト値 |
|---|---|
|
Centrify Host (Centrify ホスト) |
(必須) Centrify IP アドレスまたは DNS アドレスです。 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Centrify Port (Centrify ポート) |
Centrify がリッスンするポート。 |
| API User (API ユーザー) | (必須) Centrify が提供する API ユーザー |
|
API Key (API キー) |
(必須) Centrify が提供する API キー。 |
| Tenant (テナント) | マルチチーム環境で指定されたチームの名前です。 |
|
Authentication URL (認証 URL) |
Tenable Nessus Manager が Centrify へのアクセスに使用する URL。 |
| Password Engine URL (パスワードエンジン URL) | マルチチーム環境で指定されたチームの名前です。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Checkout duration (チェックアウト期間) |
Centrify で認証情報のチェックアウト状態を保持する時間 (分)。 チェックアウトの期間は、 Tenable Nessus Manager における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Centrify でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessus Manager スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。 |
| Use SSL (SSL を使用する) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL (SSL を検証する) | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Arcon (Tenable Nessus Manager のみ)
ヒント: Arcon の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | デフォルト値 |
|---|---|
|
Arcon host (Arcon のホスト) |
(必須) Arcon IP アドレスまたは DNS アドレスです。 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Arcon port (Arcon ポート) |
Arcon がリッスンするポート。 |
| API User (API ユーザー) |
(必須) Arcon が提供するAPIユーザーです。 |
| API Key (API キー) |
(必須) Arcon が提供するAPIキーです。 |
| Authentication URL (認証 URL) | Tenable Nessus Manager が Arcon へのアクセスに使用する URL。 |
|
Password Engine URL (パスワードエンジン URL) |
Tenable Nessus Manager が Arcon のパスワードへのアクセスに使用する URL。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Arcon Target Type (Arcon ターゲットタイプ) | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
| Checkout Duration (チェックアウト期間) |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。 チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
| Kerberos Target Authentication (Kerberos ターゲット認証) | 有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
| Key Distribution Center (KDC) (キー配布センター (KDC)) | (Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
| KDC Port (KDC ポート) | Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
| KDC Transport | KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
| Realm (領域) | (Kerberos ターゲット認証が有効な場合は必須) 領域とは認証ドメインのことです。通常、ターゲットのドメイン名として記載されています。 |
| Use SSL (SSL を使用する) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL (SSL を検証する) | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Windows
Windows 認証情報メニュー項目には、SMB アカウント名、パスワード、ドメイン名などの情報を Nessus に提供する設定があります。デフォルトで、Windows ホストにログインするためのユーザー名、パスワード、ドメインを指定できます。また、Nessus では、Windows ベースのシステム用に複数の異なるタイプの認証方法がサポートされています。
認証方法について
- Lanman 認証の方法は、Windows NT と初期の Windows 2000 サーバーのデプロイメントで普及していました。Lanman 認証方法は、下位互換性用に保持されています。
- Windows NT で導入された NTLM 認証方法 は、 Lanman 認証よりもセキュリティが向上しています。拡張バージョンである NTLMv2 は、NTLM よりも暗号学的に安全性が高く、Nessus が Windows Server にログインしようとするときに選択するデフォルトの認証方法となっています。NTLMv2 は SMB 署名を使用できます。
- SMB 署名は、Windows Server との間のすべての SMB トラフィックに適用される暗号化チェックサムです。システム管理者の多くは、サーバーで SMB 署名機能を有効化し、リモートユーザーが 100% 認証されており、ドメインの一部であることを確認します。さらに、John the Ripper や L0phtCrack などのツールによる辞書攻撃で簡単に破られることのない強力なパスワードの使用を義務付けるポリシーを実施するようにしてください。SMB 署名は、リモートの Windows Server から求められた場合、Nessus が自動的に使用します。Windows セキュリティに対し、コンピューターからの不正なハッシュの再利用によるサーバーの攻撃など、さまざまな種類の攻撃が行われています。SMB 署名は、これらの中間者攻撃を防ぐためにセキュリティ層を追加します。
- SPNEGO (Simple and Protected Negotiate) プロトコルは、ユーザーの Windows ログイン認証情報を介して、Windows クライアントからさまざまな保護リソースへのシングルサインオン (SSO) 機能を提供します。Nessus は、SPNEGO スキャンとポリシーの使用をサポートします : LMv2 認証付きの NTLMSSP または Kerberos と RC4 暗号化のいずれかで 151 のうち 54 をスキャンします。SPNEGO 認証は、NTLM または Kerberos 認証を通じて行われます。Nessus ポリシーで設定する必要はありません。
- 拡張セキュリティスキーム (Kerberos、SPNEGO など) がサポートされていないか、または失敗した場合、Nessus は NTLMSSP/LMv2 認証を介してログインを試みます。それが失敗した場合、Nessus は NTLM 認証を使用してログインを試行します。
- Nessus は、Windows ドメインでの Kerberos 認証の使用もサポートしています。上記を設定するには、Kerberos ドメインコントローラーの IP アドレス (実際には、Windows Active Directory サーバーの IP アドレス) を提供する必要があります。
サーバーメッセージブロック (SMB) は、コンピューターがネットワーク全体で情報を共有できるようにするファイル共有プロトコルです。この情報を Nessus に提供することで、リモートの Windows ホストからローカル情報を見つけられるようになります。たとえば、認証情報を使用すると、Nessus は重要なセキュリティパッチが適用されているかどうかを判断できます。他の SMB パラメーターをデフォルト設定から変更する必要はありません。
SMB ドメイン設定はオプションであり、Nessus はこの設定がなくてもドメイン認証情報を使用してログオンできます。ユーザー名、パスワード、オプションのドメインは、ターゲットのマシンが認識しているアカウントを参照します。たとえば、joesmith というユーザー名と my4x4mpl3 というパスワードを入力すると、Windows Server は、まずローカルシステムのユーザーリストでこのユーザー名を検索し、それがドメインの一部であるかどうかを判断します。
使用される認証情報に関係なく、Nessus は常に次の組み合わせで Windows Server へのログインを試行します。
- パスワードを持たない管理者
- ゲストアカウントをテストするためのランダムなユーザー名とパスワード
- ユーザー名とパスワードなしで null セッションをテスト
実際のドメイン名は、アカウント名がコンピューター上のアカウント名とドメイン上で異なる場合にのみ必要となります。Windows Server とドメイン内で管理者アカウントを持つことができます。この場合、ローカルサーバーにログオンするために、管理者のユーザー名がそのアカウントのパスワードと共に使用されます。ドメインにログオンするには、管理者のユーザー名をメインパスワードとドメイン名とともに使用します。
複数の SMB アカウントが設定されている場合、Nessus は提供された認証情報で順次ログインを試行します。Nessus は、一連の認証情報で認証できるようになると、提供された次の認証情報を確認しますが、以前のアカウントがユーザーアクセスを提供したときに管理者権限が付与されている場合にのみそれらを使用します。
Windows の一部のバージョンでは、新しいアカウントが作成でき、そのアカウントを管理者として指定できます。これらのアカウントは、認証情報スキャンの実行に必ずしも適しているとは限りません。Tenable は、完全なアクセスが許可されるように、認証情報のスキャンには管理者と名付けられたオリジナルの管理アカウントを使用することを推奨します。Windows の一部のバージョンでは、このアカウントは非表示となっている場合があります。実際の管理者アカウントは、管理者権限で DOS プロンプトを実行し、次のコマンドを入力することで非表示にできます。
C:\> net user administrator /active:yes
SMB アカウントが制限付き管理者権限で作成されている場合、Nessus は複数のドメインを簡単かつ安全にスキャンできます。Tenable は、ネットワーク管理者がテストを容易にするために特定のドメインアカウントの作成を検討することを推奨しています。Nessus は、ドメインアカウントが提供された場合、Windows 10、11、Windows Server 2012、Server 2012 R2、Server 2016、Server 2019、Server 2022 に対してさまざまなセキュリティチェックをより正確に行えます。アカウントが提供されていない場合でも、Nessus は複数のチェックを試行します。
注意: Windows リモートレジストリサービスを使用すると、認証情報を持つリモートコンピューターが監査対象のコンピューターのレジストリにアクセスできます。サービスが実行されていない場合、認証情報が完全でも、キーと値をレジストリから読み取れません。認証情報を使用してシステムを完全に監査するには、Nessus 認証情報スキャン用にこのサービスを開始する必要があります。
詳細は、Tenable ブログ投稿を参照してください。
Windows システムでの認証情報スキャンでは、完全な管理者レベルのアカウントを使用する必要があります。Microsoft のセキュリティ情報とソフトウェア更新プログラムにより、レジストリが読み取られ、ソフトウェアパッチレベルは管理者権限なしでは信頼できないと判断されましたが、すべてではありません。Nessus プラグインは、提供された認証情報が完全な管理者アクセス権を持っていることを確認し、適切に実行されるようにします。たとえば、ファイルシステムを直接読み取るためには、完全な管理者としてアクセスする必要があります。これにより Nessus をコンピューターにアタッチし、ファイル分析を直接実行して評価対象システムの実際のパッチレベルを判断できます。
さまざまな Windows 認証方法については、次の設定を参照してください。
グローバル認証情報設定
| オプション | デフォルト | 説明 |
|---|---|---|
|
Never send credentials in the clear (暗号化されていない認証情報を送信しない) |
Enabled (有効) |
セキュリティ上の理由から、デフォルトで、Windows 認証情報を暗号化されていないテキストで送信することはできません。 |
|
Do not use NTLMv1 authentication (NTLMv1 認証を使用しない) |
Enabled (有効) |
このオプションが無効になっている場合、理論的には、NTLM バージョン 1 プロトコル経由でドメイン認証情報を使用し、Nessus を誘導して Windows Server へのログインを試みることが可能です。これにより、リモートの攻撃者は Nessus から取得したハッシュを使用できます。このハッシュは解読され、ユーザー名またはパスワードが特定される可能性があります。また、その他のサーバーに直接ログインするために使用される可能性もあります。スキャン時に [Only use NTLMv2] (NTLMv2 のみ使用) 設定を有効にすると、Nessus は強制的に NTLMv2 を使用します。これにより、悪意のある Windows サーバーが NTLM を使用してハッシュを受信することを防ぎます。NTLMv1 は安全なプロトコルではないため、このオプションはデフォルトで有効となっています。 |
|
Start the Remote Registry service during the scan (スキャン中にリモートレジストリサービスを開始する) |
Disabled (無効) |
このオプションは、スキャン対象のコンピューターでリモートレジストリサービスが実行されていない場合に、開始するよう Nessus に指示します。Nessus が Windows ローカルチェックプラグインを実行するには、このサービスが実行されている必要があります。 |
|
Enable administrative shares during the scan (スキャン中に管理共有を有効にする) |
Disabled (無効) |
このオプションにより、Nessus は ADMIN$ および C$ の管理共有にアクセスできます。これは、管理者権限で読み取ることができます。 注意: この設定が適切に機能するようにするには、管理共有を有効にする必要があります。ほとんどのオペレーティングシステムでは、ADMIN$ および C$ がデフォルトで有効になっています。ただし、Windows 10、Windows 11、およびそれ以降の Windows バージョンでは、デフォルトで ADMIN$ が無効になっています。したがって、レジストリエントリへのフルアクセスのためにこの設定を使用することに加えて、Windows 環境の ADMIN$ を手動で有効にする必要があります。詳細については、https://support.microsoft.com/kb/842715/en-us を参照してください。 |
| Start the Server service during the scan (スキャン中にサーバーサービスを開始する) | Disabled (無効) |
有効になっている場合、スキャナーによって Windows Server サービスが一時的に有効になります。これによって、コンピューターはネットワーク上のファイルと他のデバイスを共有できます。スキャンが完了すると、サービスは無効になります。 デフォルトでは、Windows システムによって Windows Server サービスは無効になっており、この設定を有効にする必要はありません。ただし、ご利用の環境で Windows Server サービスを無効にし、SMB 認証情報を使用してスキャンする場合は、スキャナーがリモートでファイルにアクセスできるようにこの設定を有効にする必要があります。 |
CyberArk (Nessus Manager のみ)
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | 説明 | 必須 |
|---|---|---|
|
CyberArk Host (CyberArk ホスト) |
CyberArk AIM Web サービスの IP アドレスまたは FQDN 名。これは、ホスト、または 1 つの文字列にカスタム URL が追加されたホストにすることができます。 |
〇 |
|
Ports (ポート) |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
AppID |
CyberArk API 接続に関連するアプリケーション ID。 |
〇 |
| Client certificate (クライアント証明書) |
CyberArk ホストとの通信に使用される PEM 証明書を含むファイル 注意: Windows Server 2022 以降で CyberArk CCP をセルフホスティングしているお客様は、CyberArk クライアント証明書の認証の問題に関する Tenable のコミュニティの投稿に記載されているガイダンスに従ってください。 |
✕ |
| Client Certificate Private Key (クライアント証明書のプライベートキー) | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
| Client Certificate Private Key Passphrase (クライアント証明書のプライベートキーのパスフレーズ) | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
|
Domain (ドメイン) |
(Kerberos ターゲット認証が有効な場合は必須) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
| Get credential by (認証情報の取得方法) |
CyberArk API 認証情報を取得する方法。[アドレス]、[識別子]、[パラメーター]、または [ユーザー名] のいずれかです。 注意: [パラメーター] オプションの詳細については、パラメーターオプションの表を参照してください。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 |
〇 |
| Username (ユーザー名) |
([Get credential by] がユーザー名に設定されている場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
| Safe (セーフ) |
認証情報を取得するべき CyberArk のセーフ。 |
✕ |
| Address (アドレス) | このオプションは、アドレス値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
| Account Name (アカウント名) | ([認証情報の取得] が [識別子] の場合) CyberArk API の認証情報が割り当てられる固有のアカウント名または識別子。 | ✕ |
|
Use SSL (SSL を使用する) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を介した SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が安全な通信のために IIS によって SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
CyberArk Auto-Discovery (Nessus Manager のみ)
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
Tenable と CyberArk との統合による大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。
|
オプション |
説明 |
必須 |
|---|---|---|
|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
〇 |
|
Ports (ポート) |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
〇 |
|
CCP Host (CCP ホスト) |
ユーザーの Cyber Ark CCP コンポーネントの IP アドレスまたは FQDN 名。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
✕ |
|
CCP Port (CCP ポート) |
Cyber Ark CCP (AIM ウェブサービス) API が通信するポート。Tenable はデフォルトで 443 を使用します。 注意: PVWA と CCP を別々のサーバーでホストしているお客様は、このフィールドを PVWA ホストに対してのみ使用する必要があります。 |
✕ |
|
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
|
Safe (セーフ) |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
|
AIM Web Service Authentication Type (AIM ウェブサービス認証のタイプ) |
この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
|
CyberArk PVWA ウェブ UI ログイン名 |
CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
|
CyberArk PVWA ウェブ UI ログインパスワード |
CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
|
CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての Windows プラットフォームのアカウントを収集できます。 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
|
Use SSL (SSL を使用する) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
CyberArk (レガシー) (Nessus Manager のみ)
ヒント: CyberArk の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Nessus Manager は、CyberArk から認証情報を取得してスキャンに使用します。
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
CyberArk AIM Service URL (CyberArk AIM サービス URL) |
AIM サービスの URL。デフォルトでは、この設定は |
|
Central Credential Provider Host (Central Credential Provider ホスト) |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
|
Central Credential Provider Port (Central Credential Provider ポート) |
CyberArk Central Credential Provider がリッスンするポート。 |
|
Central Credential Provider Username (Central Credential Provider ユーザー名) |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。 |
|
Central Credential Provider Password (Central Credential Provider パスワード) |
CyberArk Central Credential Provider が基本認証を使用するように設定されている場合は、この設定に入力して認証できます。 |
|
Safe (セーフ) |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫。 |
| CyberArk Client Certificate (CyberArk Client 証明書) | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
| CyberArk Client Certificate Private Key (CyberArk Client Certificate 秘密鍵) | クライアント証明書の PEM 秘密鍵を含むファイル。 |
| CyberArk Client Certificate Private Key Passphrase (CyberArk Client Certificate 秘密鍵のパスフレーズ) | 秘密鍵のパスフレーズ (必要な場合)。 |
| AppId | CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられたAppId。 |
| Folder (フォルダー) | 取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー。 |
|
PolicyId |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID です。 |
|
Use SSL (SSL を使用する) |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
CyberArk Central Credential Provider が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
|
CyberArk Account Details Name (CyberArk Account Details 名前) |
CyberArk から取得する認証情報の一意の名前 |
Delinea
ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグイン を参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
| Delinea 認証方式 | 認証に、認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
|
Delinea Login Name (Delinea ログイン名) |
Delinea サーバーに認証されるときに使用するユーザー名。 |
〇 |
|
Delinea Password (Delinea パスワード) |
Delinea サーバーに認証されるときに使用するパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
| Delinea API キー | Secret Server ユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
|
Delinea Secret Name (Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーでシークレット名のラベルが付けられています。 |
〇 |
|
Delinea Host (Delinea ホスト) |
API リクエストに使用する Delinea シークレットサーバー IP アドレス。 |
〇 |
|
Delinea Port (Delinea ポート) |
API リクエスト用の Delinea Secret Server ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Checkout Duration (チェックアウト期間) |
Tenable が Delinea からパスワードをチェックアウトする期間。期間は時間単位で、スキャン時間より長くしてください。 |
〇 |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Windows ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Domain (ドメイン) |
(Kerberos ターゲット認証が有効な場合は必須) この Kerberos ドメインは、通常ターゲットのドメイン名として記載されている認証ドメインです。 |
〇 |
|
Use SSL (SSL を使用する) |
Delinea Secret Server が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーで SSL 証明書を検証します。 |
✕ |
Delinea Secret Server 自動検出
ヒント: Delinea の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
Delinea Host (Delinea ホスト) |
Delinea Secret Server ホスト。ここからシークレットをプルします。 |
〇 |
|
Delinea ポート |
API リクエスト用の Delinea Secret Server ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Delinea Authentication Method (Delinea 認証方式) |
認証に、認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 |
〇 |
| Delinea Login Name (Delinea ログイン名) |
Delinea サーバーに認証されるときに使用するユーザー名。 |
〇 |
| Delinea Password (Delinea パスワード) | Delinea サーバーに認証されるときに使用するパスワード。これは、指定した Delinea ログイン名に関連付けられているものです。 |
〇 |
| Delinea API Key (Delinea API キー) | Secret Server ユーザーインターフェースで生成された API キー。この設定は、API キーの認証方式を選択した場合に必須です。 |
〇 |
| Query Mode (クエリモード) | 事前設定されたフィールドを使用するか、URL クエリパラメーターの文字列を構築してアカウントにクエリを実行するかを選択します。デフォルトでは、[シンプル] が選択されています。 |
〇 |
| Folder ID (フォルダー ID) |
指定されたフォルダー ID でアカウントにクエリを実行します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
|
Search Text (検索テキスト) |
指定された検索テキストに一致するアカウントにクエリを実行します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
|
Search Field (検索フィールド) |
指定された検索テキストを使用して検索するフィールド。指定しない場合、クエリは name フィールドを検索します。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
| Exact Match (完全一致) | 検索テキストと完全一致を実行します。デフォルトでは、これは選択されていません。このオプションは、クエリモードが [シンプル] に設定されている場合にのみ使用できます。 |
✕ |
| Query String (クエリ文字列) | URL クエリパラメーターの文字列を指定します。このオプションは、クエリモードが [高度] に設定されている場合にのみ使用でき、この場合は必須です。 |
〇 |
| Use Private Key (秘密鍵を使用する) | パスワード認証ではなく鍵ベースの認証を使用して SSH 接続を行います。 |
✕ |
| Use SSL (SSL を使用する) | 安全な通信のために SSL を使用します。 |
〇 |
| Verify SSL Certificate (SSL 証明書を検証する) | Delinea Secret Server SSL 証明書を検証します。 |
✕ |
Kerberos
LM ハッシュ
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Hash (ハッシュ) |
使用するハッシュ。 |
|
Domain (ドメイン) |
指定されたユーザーの名前の Windows ドメイン。 |
NTLM ハッシュ
| オプション | 説明 |
|---|---|
|
Username (ユーザー名) |
ターゲットシステムのユーザー名。 |
|
Hash (ハッシュ) |
使用するハッシュ。 |
|
Domain (ドメイン) |
指定されたユーザーの名前の Windows ドメイン。 |
QiAnXin
ヒント: QiAnXin の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
QiAnXin Host (QiAnXin ホスト) |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
|
QiAnXin Port (QiAnXin ポート) |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
QiAnXin API Client ID (QiAnXin API クライアント ID) |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
|
QiAnXin API Secret ID (QiAnXin API 秘密 ID) |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
| Domain (ドメイン) | ユーザー名が属するドメイン |
✕ |
|
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 |
〇 |
|
Host IP (ホスト IP) |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 |
✕ |
|
Platform (プラットフォーム) |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
|
Region ID (リージョン ID) |
使用するアカウントを含む資産のリージョン ID を指定します。 |
複数のリージョンを使用している場合のみ。 |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Windows ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Domain (ドメイン) |
(Kerberos ターゲット認証が有効な場合は必須) この Kerberos ドメインは、通常ターゲットのドメイン名として記載されている認証ドメインです。 |
〇 |
| Use SSL (SSL を使用する) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
|
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
Senhasegura
ヒント: Senhasegura の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
Senhasegura Host (Senhasegura ホスト) |
Senhasegura ホストの IP アドレスまたは URL です。 |
〇 |
|
Senhasegura Port (Senhasegura ポート) |
Senhasegura API が通信に使用するポートです。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Senhasegura API Client ID (Senhasegura API クライアント ID) |
Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのクライアント ID です。 |
〇 |
| Senhasegura API Secret ID (Senhasegura API のシークレット ID) | Oauth 2.0 API 認証に適用される Senhasegura A2A アプリケーションのシークレット ID です。 |
〇 |
| Domain (ドメイン) | ユーザー名が属するドメイン |
✕ |
| Senhasegura Credential ID or Identifier (Senhasegura 認証情報 ID または識別子) | 取得をリクエストしている認証情報の認証情報 ID または識別子です。 |
〇 |
|
Private Key File (秘密鍵ファイル) |
A2A からの暗号化された機密データを復号するために使用される秘密鍵です。 注意: A2A アプリケーション認証で機密データの暗号化を有効にできます。有効にした場合、ユーザーはスキャン認証情報に秘密鍵ファイルを指定する必要があります。これは、Senhasegura の該当する A2A アプリケーションからダウンロードできます。 |
A2A アプリケーション認証で機密データの暗号化を有効にした場合には必須です。 |
|
HTTPS |
このオプションはデフォルトで有効です。 |
〇 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
これはデフォルトでは無効になっています。 |
✕ |
Thycotic Secret Server (Tenable Nessus Manager のみ)
| オプション | デフォルト値 |
|---|---|
|
Username (ユーザー名) |
(必須) ターゲットシステムのユーザーのユーザー名。 |
|
Domain (ドメイン) |
Thycotic サーバーで設定されている場合、ユーザー名のドメイン。 |
|
Thycotic Secret Name (Thycotic シークレット名) |
(必須) Thycoticサーバーのシークレット名の値。 |
|
Thycotic Secret Server URL (Thycotic シークレットサーバー URL) |
(必須) スキャナーの転送方法、ターゲット、ターゲットディレクトリを設定するときに Tenable Nessus が使用する値。この値は、Thycotic サーバーの [Admin] (管理者) > [Configuration] (設定) > [Application Settings] (アプリケーション設定) > [Secret Server URL] (シークレットサーバー URL) にあります。 たとえば、https://pw.mydomain.com/SecretServer と入力した場合、Tenable Nessus はこれが SSL 接続であり、pw.mydomain.com がターゲットアドレス、/SecretServer はルートディレクトリであると判断します。 |
|
Thycotic Login Name (Thycotic ログイン名) |
(必須) Thycotic サーバーのユーザーのユーザー名。 |
|
Thycotic Password (Thycotic パスワード) |
(必須) 指定した Thycotic ログイン名に関連付けられたパスワード。 |
|
Thycotic Organization (Thycotic 企業) |
Thycotic のクラウドインスタンスで、Tenable Nessus クエリがターゲットにする必要がある企業を識別する値。 |
|
Thycotic Domain (Thycotic ドメイン) |
ドメイン (Thycotic サーバーに設定されている場合)。 |
|
Private Key (プライベートキー) |
有効にすると、Tenable Nessus はパスワード認証ではなく鍵ベースの認証で SSH 接続を行います。 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
有効にすると、Tenable Nessus は Thycotic サーバーの SSL 証明書を検証します。 自己署名証明書の使用の詳細については、カスタム SSL サーバー証明書を参照してください。 |
Windows LAPS
| オプション | 説明 | 必須 |
|---|---|---|
|
LAPS Host Address (LAPS ホストアドレス) |
Active Directory をホストし、LAPS を管理するドメインコントローラーの IP アドレス。 |
〇 |
|
LAPS Host Port (LAPS ホストポート) |
LAPS ホストとの通信に使用されるポート。デフォルトのポートは 445 です。 |
✕ |
|
Username (ユーザー名) |
Active Directory から Windows LAPS 認証情報を取得するアクセス許可を持つアカウントのユーザー名。 |
〇 |
| Password (パスワード) |
[Username] (ユーザー名) フィールドで指定されたアカウントのパスワード。 |
〇 |
| LAPS Domain (LAPS ドメイン) | LAPS 管理対象デバイスが存在するドメイン。 | 〇 |
| LAPS OU (LAPS 組織単位) | LAPS 管理対象デバイスを含む組織単位 (OU) の識別名 (DN)。 | 〇 |
BeyondTrust (Tenable Nessus Manager のみ)
ヒント: BeyondTrust の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
Lieberman (Tenable Nessus Manager のみ)
| オプション | 説明 | 必須 |
|---|---|---|
| Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
| Domain (ドメイン) | ドメイン (ユーザー名がドメインの一部である場合) |
✕ |
| Lieberman host (Lieberman ホスト) |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Lieberman port (Lieberman ポート) | Lieberman がリッスンするポート。 |
〇 |
| Lieberman API URL | Tenable Nessus が Lieberman へのアクセスに使用する URL。 | ✕ |
| Lieberman user (Lieberman ユーザー) | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
| Lieberman password (Lieberman パスワード) | Lieberman 明示ユーザーのパスワード。 |
〇 |
| Lieberman Authenticator (Lieberman 認証) |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
| Lieberman Client Certificate (Lieberman クライアント証明書) |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
| Lieberman Client Certificate Private Key (Lieberman クライアント証明書のプライベートキー) | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
| Lieberman Client Certificate Private Key Passphrase (Lieberman クライアント証明書の秘密鍵パスフレーズ) | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
| Use SSL (SSL を使用する) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
| Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
✕ |
| System Name (システム名) | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
Wallix Bastion (Tenable Nessus Manager のみ)
ヒント: Wallix Bastion の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| オプション | 説明 | 必須 |
|---|---|---|
|
WALLIX Host (Delinea ホスト) |
WALLIX Bastion ホストの IP アドレス。 |
〇 |
|
WALLIX ポート |
WALLIX Bastion API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
|
Authentication Type (認証タイプ) |
[Basic] (基本) 認証 (WALLIX Bastion ユーザーインターフェースのユーザー名とパスワードが必要) または [API Key] (API キー) 認証 (ユーザー名と WALLIX Bastion 生成の API キーが必要)。 |
✕ |
| WALLIX ユーザー |
WALLIX Bastion ユーザーインターフェースのログインユーザー名。 |
〇 |
| WALLIX Password (Delinea パスワード) | WALLIX Bastion ユーザーインターフェースのログインパスワード。API への [Basic] (基本) 認証に使用されます。 | 〇 |
| WALLIX API キー | WALLIX Bastion ユーザーインターフェースで生成された API キー。API への [API Key] (API キー) 認証に使用されます。 | 〇 |
| Get Credential by Device Account Name (デバイスアカウント名で認証情報を取得する) |
ターゲットシステムへのログインに使用するデバイスが関連付けられているアカウント名。 注意: デバイスに複数のアカウントがある場合、認証情報を取得するアカウントの特定のデバイス名を入力する必要があります。入力しないと、システムから誤ったアカウントの認証情報が返される可能性があります。 |
複数のアカウントがあるターゲットやデバイスを使用している場合にのみ必要です。 |
|
HTTPS |
これはデフォルトで有効です。 注意: HTTPS を無効にすると、統合が失敗します。 |
〇 |
|
Verify SSL Certificate (SSL 証明書を検証する) |
これはデフォルトで無効になっており、WALLIX Bastion PAM 統合ではサポートされていません。 |
✕ |
|
Elevate Privileges with (権限昇格方法) |
これにより、WALLIX Bastion 特権アクセス管理 (PAM) が有効になります。ドロップダウンメニューを使用して、Elevate Privileges with (権限昇格方法)を選択します。この機能をバイパスするには、このフィールドを [Nothing] (なし) に設定されたままにします。 警告: PAM を有効にするには、WALLIX Bastion アカウントで、WALLIX Bastion スーパー管理者がアカウントの「認証情報回復」を有効にしている必要があります。有効にしないと、スキャンから結果が返されない可能性があります。詳細は、WALLIX Bastion ドキュメントを参照してください。 注意: su、su+sudo、sudo など、複数の権限昇格オプションがサポートされています。たとえば sudo を選択すると、[sudo user] (sudo ユーザー)、[Escalation Account Name] (昇格アカウント名)、[Location of su and sudo] (su と sudo の場所) のフィールドが追加で表示され、これらのフィールドに入力することで WALLIX Bastion PAM による認証と権限昇格をサポートできます。権限昇格を完了するには、[Escalation Account Name] (エスカレーションアカウント名) フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、 |
権限昇格を行う場合に必要です。 |
|
Database Port (データベースのポート) |
通信に対して Oracle データベースインスタンスがリッスンする TCP ポート。デフォルトはポート 1521 です。 |
✕ |
|
Auth Type (認証方法) |
データベースインスタンスにアクセスするために Tenable が使用するアカウントの種類。
|
✕ |
| Service Type (サービスの種類) | データベースインスタンスを指定するために使用する Oracle パラメーター: SID または SERVICE_NAME |
✕ |
| Service (サービス) |
データベースインスタンスの SID 値または SERVICE_NAME 値。 入力する [Service] (サービス) 値は、[Service Type] (サービスタイプ) オプションのパラメーターとして選択した値と一致する必要があります。 |
〇 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
HashiCorp Vault (Tenable Nessus Manager のみ)
ヒント: HashiCorp の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグインを参照してください。
| Windows と SSH の認証情報 | ||
|---|---|---|
| オプション | 説明 |
必須 |
| Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
| Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
| Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
| Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
| Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
| Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)たとえば、 /v1/auth/approle/login |
〇 |
| Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
| Vault Type (Vault タイプ) |
Tenable Nessus バージョン: KV1、KV2、AD、LDAP。Tenable Nessus バージョンの詳細については、Tenable Nessus のドキュメントを参照してください。 |
〇 |
| KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Nessus が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
| KV2 Engine URL (KV2 エンジン URL) |
(KV2) Tenable Nessus が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV2 Vault タイプを選択した場合) |
| AD Engine URL (AD エンジン URL) |
(AD) Tenable Nessus が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
| LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Nessus が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
| Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
| Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
| Password Key (パスワード鍵) | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | 〇 |
|
Domain Key (Windows) (ドメイン鍵 (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) ドメインが保存される秘密鍵の名前です。 |
〇 |
| Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
|
Kerberos Target Authentication (Kerberos ターゲット認証) |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
|
Key Distribution Center (KDC) (キー配布センター (KDC)) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
|
KDC Port (KDC ポート) |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
|
Domain (Windows) (ドメイン (Windows)) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
|
Realm (SSH) (領域 (SSH)) |
(Kerberos ターゲット認証が有効な場合は必須。) Realm は、通常標的のドメイン名として記録されている認証ドメインです (例: example.com)。 |
〇 |
| Use SSL (SSL を使用する) | 有効にすると、Tenable Nessus Manager は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Verify SSL Certificate (SSL 証明書の検証) | 有効にすると、Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
| Tenable Nessus に対して有効にする | Tenable Nessus での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
| Elevate Privileges with (SSH) (権限昇格方法 (SSH)) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格のために su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウントの秘密名、sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Nessus による認証と権限昇格をサポートできます。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
| Escalation account secret name (SSH) (昇格アカウントシークレット名 (SSH)) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Centrify (Tenable Nessus Manager のみ)
| オプション | デフォルト値 |
|---|---|
|
Centrify Host (Centrify ホスト) |
(必須) Centrify IP アドレスまたは DNS アドレスです。 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Centrify Port (Centrify ポート) |
Centrify がリッスンするポート。 |
| API User (API ユーザー) | (必須) Centrify が提供する API ユーザー |
|
API Key (API キー) |
(必須) Centrify が提供する API キー。 |
| Tenant (テナント) | マルチチーム環境で指定されたチームの名前です。 |
|
Authentication URL (認証 URL) |
Tenable Nessus Manager が Centrify へのアクセスに使用する URL。 |
| Password Engine URL (パスワードエンジン URL) | マルチチーム環境で指定されたチームの名前です。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Checkout duration (チェックアウト期間) |
Centrify で認証情報のチェックアウト状態を保持する時間 (分)。 チェックアウトの期間は、 Tenable Nessus Manager における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Centrify でパスワードの変更間隔を設定し、パスワード変更によって Tenable Nessus Manager スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。 |
| Use SSL (SSL を使用する) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL (SSL を検証する) | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Arcon (Tenable Nessus Manager のみ)
ヒント: Arcon の認証情報が正常に認証されたかどうかを確認するには、スキャンの完了後に integration_status.nasl プラグインのプラグイン出力を確認します。詳細は、プラグイン を参照してください。
| オプション | デフォルト値 |
|---|---|
|
Arcon host (Arcon のホスト) |
(必須) Arcon IP アドレスまたは DNS アドレスです。 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
|
Arcon port (Arcon ポート) |
Arcon がリッスンするポート。 |
| API User (API ユーザー) |
(必須) Arcon が提供するAPIユーザーです。 |
| API Key (API キー) |
(必須) Arcon が提供するAPIキーです。 |
| Authentication URL (認証 URL) | Tenable Nessus Manager が Arcon へのアクセスに使用する URL。 |
|
Password Engine URL (パスワードエンジン URL) |
Tenable Nessus Manager が Arcon のパスワードへのアクセスに使用する URL。 |
| Username (ユーザー名) | (必須) スキャンするホストにログインするためのユーザー名。 |
| Arcon Target Type (Arcon ターゲットタイプ) | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
| Checkout Duration (チェックアウト期間) |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。 チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意 : Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
| Kerberos Target Authentication (Kerberos ターゲット認証) | 有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
| Key Distribution Center (KDC) (キー配布センター (KDC)) | (Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
| KDC Port (KDC ポート) | Kerberos 認証 API が通信するポート。Tenable はデフォルトで 88 を使用します。 |
| KDC Transport | KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
| Realm (領域) | (Kerberos ターゲット認証が有効な場合は必須) 領域とは認証ドメインのことです。通常、ターゲットのドメイン名として記載されています。 |
| Use SSL (SSL を使用する) | 有効にすると、 Tenable Nessus Manager は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| Verify SSL (SSL を検証する) | 有効にすると、 Tenable Nessus Manager は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
| Targets to Prioritize Credentials (認証情報を優先するターゲット) |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |