パッチ管理の認証情報
Tenable Nessus Manager では、パッチ管理システムの認証情報を利用して、認証情報を利用できない可能性のあるシステム上でパッチ監査を実行できます。
Tenable Nessus Manager は次をサポートします。
-
Dell KACE K1000
-
HCL BigFix
-
Microsoft System Center Configuration Manager (SCCM)
-
Microsoft Windows Server Update Services (WSUS)
-
Red Hat Satellite サーバー
-
Symantec Altiris
スキャンの作成で説明したように、スキャンの作成中に [Credentials] (認証情報) セクションでパッチ管理オプションを設定できます。
IT 管理者は、パッチ監視ソフトウェアを管理し、パッチ管理システムに必要なエージェントをシステムにインストールする必要があります。
注意: 認証情報チェックでシステムを検出したものの認証できない場合は、パッチ管理システムから取得されたデータを使用してチェックを実行します。Tenable Nessus がターゲットシステムに接続できる場合は、そのシステムに対するチェックを実行し、パッチ管理システムの出力を無視します。
注意: パッチ管理システムが Tenable Nessus に返すデータは、パッチ管理システムがその管理対象ホストから取得できた時点での最新のデータに過ぎません。
複数のパッチマネージャーを使用してスキャンする
Tenable Nessus に対して、パッチ管理ツール用の複数の認証情報セットを指定した場合、Tenable Nessus はそのすべてを使用します。
ホストに加えて 1 つ以上のパッチ管理システムの認証情報を指定した場合、Tenable Nessus はすべての方法による結果を比較したうえで不一致について報告するか、満足のいく結果を提供します。Patch Management Windows Auditing Conflicts プラグインを使用すると、ホストとパッチ管理システムのパッチデータの相違が浮き彫りになります。
KACE K1000 は、Dell から提供されているパッチ管理システムで、Linux、Windows、macOS の各システムの更新プログラムとホットフィックスの配布を管理します。Tenable Nessus は Tenable NessusHCL Bigfix にクエリを実行して、HCL Bigfix が管理しているシステムにパッチがインストールされているかどうかを検証し、そのパッチ情報を表示できます。
Tenable Nessus は KACE K1000 のバージョン 6.x 以前に対応しています。
KACE K1000 のスキャンでは、Tenable プラグインの 76867、76868、76866、76869 を使用します。
オプション | 説明 | Default (デフォルト) |
---|---|---|
Server |
(必須) KACE K1000 の IP アドレスまたはシステム名。 |
- |
Database Port (データベースのポート) |
(必須) Tenable Nessus からの通信に対して KACE K1000 がリッスンする TCP ポート。 |
3306 |
企業のデータベース名 |
(必須) KACE K1000 データベース用の企業コンポーネントの名前 (例: ORG1)。 |
ORG1 |
データベースのユーザー名 |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、KACE K1000 のアカウントのユーザー名。 |
R1 |
K1000 Database Password |
(必須) KACE K1000 ユーザーのパスワード。 |
- |
HCL Bigfix は、デスクトップシステムの更新プログラムとホットフィックスの配布を管理するために提供されています。Tenable Nessus は、HCL Bigfix にクエリを実行して、HCL Bigfix が管理しているシステムにパッチがインストールされているかどうかを検証し、そのパッチ情報を表示できます。
パッケージレポーティングは、HCL Bigfix が公式にサポートする RPM ベースと Debian ベースの両方の配布でサポートされています。たとえば、Red Hat 系統の製品 (RHEL、CentOS、Scientific Linux、Oracle Linux)、Debian、Ubuntu が挙げられます。その他の配布でも動作する可能性はありますが、HCL Bigfix がそれらを公式にサポートしていない限り、サポートは提供されていません。
トリガーできるローカルチェックプラグインでサポートされるのは、RHEL、CentOS、Scientific Linux、Oracle Linux、Debian、Ubuntu、Solaris のみです。プラグイン 160250 を有効にする必要があります。
Tenable Nessus は、HCL Bigfix 9.5 とそれ以降、および 10.x とそれ以降をサポートしています。
HCL Bigfix スキャンでは、次の Tenable プラグインが使用されます: 160247、160248、160249、160250、160251。
オプション | 説明 | Default (デフォルト) |
---|---|---|
Web Reports Server |
(必須) HCL Bigfix ウェブレポートサーバーの名前。 |
- |
Web Reports Port |
(必須) Tenable Nessus からの通信で、HCL Bigfix ウェブレポートのサーバーがリッスンする TCP ポート。 |
- |
Web レポートのユーザー名 |
(必須) ターゲットシステムに対してチェックを実行するために Tenable Nessus が使用する、HCL Bigfix ウェブレポート管理者アカウントのユーザー名。 |
- |
Web Reports Password |
(必須) HCL Bigfix ウェブレポート管理者ユーザーのパスワード。 |
- |
HTTPS |
有効にすると、Tenable が安全な通信 (HTTPS) を使用して接続します。 無効にすると、Tenable が標準の HTTP を使用して接続します。 |
Enabled (有効) |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable がサーバーの SSL 証明書が信頼できる CA によって署名されているかどうかを検証します。 ヒント: 自己署名証明書を使用している場合は、この設定を無効にします。 |
Enabled (有効) |
HCL Bigfix サーバー設定
こうした監査機能を使用するには、HCL Bigfix サーバーに変更を加える必要があります。HCL Bigfix にカスタム分析をインポートし、Tenable Nessus が詳細なパッケージ情報を読み取って利用できるようにしてください。
HCL BigFix コンソールアプリケーションから、次の .bes ファイルをインポートします。
BES ファイル:
<?xml version="1.0" encoding="UTF-8"?>
<BES xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="BES.xsd">
<Analysis>
<Title>Tenable</Title>
<Description>This analysis provides SecurityCenter with the data it needs for vulnerability reporting. </Description>
<Relevance>true</Relevance>
<Source>Internal</Source>
<SourceReleaseDate>2013-01-31</SourceReleaseDate>
<MIMEField>
<Name>x-fixlet-modification-time</Name>
<Value>Thu, 13 May 2021 21:43:29 +0000</Value>
</MIMEField>
<Domain>BESC</Domain>
<Property Name="Packages - With Versions (Tenable)" ID="74"><![CDATA[if (exists true whose (if true then (exists object repository) else false)) then unique values of (lpp_name of it & "|" & version of it as string & "|" & "fileset" & "|" & architecture of operating system) of filesets of products of object repository else if (exists true whose (if true then (exists debianpackage) else false)) then unique values of (name of it & "|" & version of it as string & "|" & "deb" & "|" & architecture of it & "|" & architecture of operating system) of packages whose (exists version of it) of debianpackages else if (exists true whose (if true then (exists rpm) else false)) then unique values of (name of it & "|" & version of it as string & "|" & "rpm" & "|" & architecture of it & "|" & architecture of operating system) of packages of rpm else if (exists true whose (if true then (exists ips image) else false)) then unique values of (full name of it & "|" & version of it as string & "|" & "pkg" & "|" & architecture of operating system) of latest installed packages of ips image else if (exists true whose (if true then (exists pkgdb) else false)) then unique values of(pkginst of it & "|" & version of it & "|" & "pkg10") of pkginfos of pkgdb else "<unsupported>"]]></Property>
<Property Name="Tenable AIX Technology Level" ID="76">current technology level of operating system</Property>
<Property Name="Tenable Solaris - Showrev -a" ID="77"><![CDATA[if ((operating system as string as lowercase contains "SunOS 5.10" as lowercase) AND (exists file "/var/opt/BESClient/showrev_patches.b64")) then lines of file "/var/opt/BESClient/showrev_patches.b64" else "<unsupported>"]]></Property>
</Analysis>
</BES>
BES ファイル:
<?xml version="1.0" encoding="UTF-8"?>
<BES xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="BES.xsd">
<Task>
<Title>Tenable - Solaris 5.10 - showrev -a Capture</Title>
<Description><![CDATA[<enter a description of the task here> ]]></Description>
<GroupRelevance JoinByIntersection="false">
<SearchComponentPropertyReference PropertyName="OS" Comparison="Contains">
<SearchText>SunOS 5.10</SearchText>
<Relevance>exists (operating system) whose (it as string as lowercase contains "SunOS 5.10" as lowercase)</Relevance>
</SearchComponentPropertyReference>
</GroupRelevance>
<Category></Category>
<Source>Internal</Source>
<SourceID></SourceID>
<SourceReleaseDate>2021-05-12</SourceReleaseDate>
<SourceSeverity></SourceSeverity>
<CVENames></CVENames>
<SANSID></SANSID>
<MIMEField>
<Name>x-fixlet-modification-time</Name>
<Value>Thu, 13 May 2021 21:50:58 +0000</Value>
</MIMEField>
<Domain>BESC</Domain>
<DefaultAction ID="Action1">
<Description>
<PreLink>Click </PreLink>
<Link>here</Link>
<PostLink> to deploy this action.</PostLink>
</Description>
<ActionScript MIMEType="application/x-sh"><![CDATA[#!/bin/sh
/usr/bin/showrev -a > /var/opt/BESClient/showrev_patches
/usr/sfw/bin/openssl base64 -in /var/opt/BESClient/showrev_patches -out /var/opt/BESClient/showrev_patches.b64
]]></ActionScript>
</DefaultAction>
</Task>
</BES>
Microsoft System Center Configuration Manager (SCCM) は、Windows ベースのシステムの大規模グループの管理に使用できます。Tenable Nessus は SCCM サービスにクエリを実行して、SCCM が管理しているシステムにパッチがインストールされているかどうかを検証し、スキャン結果を介してパッチ情報を表示できます。
Tenable Nessus は SCCM サイトを実行しているサーバーに接続します (認証情報が SCCM サービスに対して有効である必要があるため、選択されたユーザーは SCCM MMC のすべてのデータのクエリ権限を持っている必要があります)。このサーバーは SQL データベースも実行している場合があります。あるいは、データベースと SCCM レポジトリが別のサーバーにある場合もあります。この監査を活用する場合、 Tenable Nessus が WMI および HTTPS を介して SCCM サーバーに接続される必要があります。
注意: Tenable 製品で SCCM をスキャンするには[Read-only Analyst] (読み取り専用アナリスト)、[Operations Administrator] (オペレーション管理者)、または[Full Administrator] (完全な管理者) のいずれかのロールが必要です。詳しくは、SCCM スキャンポリシーを設定するを参照してください。
SCCM のスキャンでは、Tenable プラグインの 57029、57030、73636、58186 を使用します。
注意: SCCM パッチ管理プラグインは、SCCM 2007 から Configuration Manager 2309 までのバージョンをサポートしています。
認証情報 | 説明 | Default (デフォルト) |
---|---|---|
Server |
(必須) SCCM の IP アドレスまたはシステム名。 |
- |
Domain (ドメイン) |
(必須) SCCM サーバーのドメインの名前。 |
- |
Username (ユーザー名) |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、SCCM のユーザーアカウントのユーザー名。このユーザーアカウントには、SCCM MMC のすべてのデータにクエリを実行する権限が必要です。 |
- |
パスワード |
(必須) SCCM MMC のすべてのデータのクエリ権限を持つ SCCM ユーザのパスワード。 |
- |
Windows Server Update Services (WSUS) は、Microsoft 製品向けの更新プログラムとホットフィックスの配布を管理できる Microsoft 社の製品です。Tenable Nessus は WSUS にクエリを実行して、WSUS が管理しているシステムにパッチがインストールされているかどうかを検証し、Tenable Nessus のユーザーインターフェースにパッチ情報を表示できます。
WSUS のスキャンでは、Tenable プラグインの 57031、57032、58133 を使用します。
オプション | 説明 | Default (デフォルト) |
---|---|---|
Server |
(必須) WSUS の IP アドレスまたはシステム名。 |
- |
ポート |
(必須) Tenable Nessus からの通信に対して Microsoft WSUS がリッスンする TCP ポート。 |
8530 |
Username (ユーザー名) |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、WSUS 管理者アカウントのユーザー名。 |
- |
パスワード |
(必須) WSUS 管理者ユーザーのパスワード。 |
- |
HTTPS |
有効にすると、Tenable が安全な通信 (HTTPS) を使用して接続します。 無効にすると、Tenable が標準の HTTP を使用して接続します。 |
Enabled (有効) |
SSL 証明書の検証 |
有効にすると、Tenable がサーバーの SSL 証明書が信頼できる CA によって署名されているかどうかを検証します。 ヒント: 自己署名証明書を使用している場合は、この設定を無効にします。 |
Enabled (有効) |
Red Hat Satellite は、Linux ベースシステム用のシステム管理プラットフォームです。Tenable Nessus は Satellite にクエリを実行して、Satellite が管理しているシステムにパッチがインストールされているかどうかを検証し、パッチ情報を表示できます。
Tenable によるサポートはありませんが、Red Hat Satellite プラグインは Red Hat Satellite のオープンソースアップストリームバージョンである Spacewalk Server とも連携できます。Spacewalk では、Red Hat をベースとするディストリビューション (RHEL、CentOS、Fedora) と SUSE を管理できます。Tenable は、Red Hat Enterprise Linux 向けの Satellite サーバーをサポートしています。
Satellite スキャンでは、Tenable プラグインの 84236、84235、84234、84237、84238 を使用します。
オプション | 説明 | デフォルト |
---|---|---|
Satellite server (Satellite サーバー) |
(必須) Red Hat Satellite の IP アドレスまたはシステム名。 |
- |
ポート |
(必須) Tenable Nessus からの通信に対して Red Hat Satellite がリッスンする TCP ポート。 |
443 |
Username (ユーザー名) |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、Red Hat Satellite のアカウントのユーザー名。 |
- |
パスワード |
(必須) Red Hat Satellite ユーザーのパスワード。 |
- |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable がサーバーの SSL 証明書が信頼できる CA によって署名されているかどうかを検証します。 ヒント: 自己署名証明書を使用している場合は、この設定を無効にします。 |
Enabled (有効) |
Red Hat Satellite 6 は、Linux ベースシステム用のシステム管理プラットフォームです。Tenable Nessus は Satellite にクエリを実行して、Satellite が管理しているシステムにパッチがインストールされているかどうかを検証し、パッチ情報を表示できます。
Tenable によるサポートはありませんが、Red Hat Satellite 6 プラグインは Red Hat Satellite のオープンソースアップストリームバージョンである Spacewalk Server とも連携できます。Spacewalk では、Red Hat をベースとするディストリビューション (RHEL、CentOS、Fedora) と SUSE を管理できます。Tenable は、Red Hat Enterprise Linux 向けの Satellite サーバーをサポートしています。
Red Hat Satellite 6 スキャンでは、Tenable プラグインの 84236、84235、84234、84237、84238、84231、84232、84233 を使用します。
オプション | 説明 | デフォルト |
---|---|---|
Satellite server (Satellite サーバー) |
(必須) Red Hat Satellite 6 の IP アドレスまたはシステム名。 |
- |
ポート |
(必須) Tenable Nessus からの通信に対して Red Hat Satellite 6 がリッスンする TCP ポート。 |
443 |
Username (ユーザー名) |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、Red Hat Satellite 6 のアカウントのユーザー名。 |
- |
パスワード |
(必須) Red Hat Satellite 6 ユーザーのパスワード。 |
- |
HTTPS |
有効にすると、Tenable が安全な通信 (HTTPS) を使用して接続します。 無効にすると、Tenable が標準の HTTP を使用して接続します。 |
Enabled (有効) |
SSL 証明書の検証 |
有効にすると、Tenable がサーバーの SSL 証明書が信頼できる CA によって署名されているかどうかを検証します。 ヒント: 自己署名証明書を使用している場合は、この設定を無効にします。 |
Enabled (有効) |
Altiris は、Symantec から提供されているパッチ管理システムで、Linux、Windows、macOS の各システムの更新プログラムとホットフィックスの配布を管理します。Tenable Nessus は Altiris API を使用して、Altiris が管理しているシステムにパッチがインストールされているかどうかを検証し、Tenable Nessus のユーザーインターフェースにパッチ情報を表示できます。
Tenable Nessus は、Altiris ホスト上で実行されている Microsoft SQL サーバーに接続します。この監査を活用する際に、MSSQL データベースと Altiris サーバーが別のホストにある場合は、Tenable Nessus を Altiris サーバーではなく、MSSQL データベースに接続する必要があります。
Altiris スキャンでは、Tenable プラグインの 78013、78012、78011、78014 を使用します。
認証情報 | 説明 | Default (デフォルト) |
---|---|---|
Server |
(必須) Altiris の IP アドレスまたはシステム名。 |
- |
Database Port (データベースのポート) |
(必須) Tenable Nessus からの通信に対して Altiris がリッスンする TCP ポート。 |
5690 |
Database Name (データベース名) |
(必須) Altiris パッチ情報を管理する MSSQL データベースの名前。 |
Symantec_CMDB |
データベースのユーザー名 |
(必須) ターゲットのシステムでチェックを実行するために Tenable Nessus が使用する、Altiris MSSQL データベースのアカウントのユーザー名。認証情報は、Altiris MSSQL データベース内のすべてのデータにクエリを実行する権限を持つ MSSQL データベースアカウント用の有効なものでなければなりません。 |
- |
Database Password |
(必須) Altiris MSSQL データベースユーザーのパスワード。 |
- |
Use Windows Authentication |
この機能を有効にすると、古い Windows Server との互換性を確保するために NTLMSSP を使用します。 無効の場合は、Kerberos を使用します。 |
無効 |