ネットワークデバイスおよび API での認証チェック

ネットワークアプライアンスや管理 API など、標準の Windows、macOS、Linux オペレーティングシステム以外のターゲットをスキャンする場合でも、Tenable Nessus は認証チェックを実行します。Tenable Nessus は、これらの特殊なターゲットを評価し、ハードウェアやサービスに合わせて調整された専用の認証パターンを使用して、プラグイン 19506 (Nessus スキャン情報) で認証情報のステータスを報告します。

Tenable Nessus が非標準プラットフォームに対して認証チェックを処理する方法を理解することで、インフラ全体の認証の成功を検証することができます。認証チェックが成功すると、特殊なネットワークハードウェアと一元化された管理プラットフォームの包括的な脆弱性可視化が可能になり、スキャン結果が非常に正確になります。

説明

ターゲットタイプに応じて、Tenable Nessus は 3 つのメカニズムのいずれかを使用して認証を行い、認証チェックを実行します。

  • SSH で到達可能なネットワークアプライアンス - Cisco ハードウェア、Palo Alto ファイアウォール (SSH 経由)、F5 BIG-IP、Fortinet などのデバイスに対して、Tenable Nessus は SSH セッションを介して認証します。デバイスのシステムバナーを既知のオペレーティングシステムレコードと照合し、バージョンデータを取得し、ローカルチェックを有効にします。プラグイン 19506 はこれを Credentialed checks : yes as <user> via ssh として報告します。

  • API 専用の統合 - VMware vCenter、Palo Alto (HTTPS 経由)、Citrix NetScaler、パッチ管理システム (Red Hat Satellite、IBM TEM、HCL BigFix) などの、API 経由で管理されるシステムでは、Tenable Nessus は管理 API に対して直接認証を行います。SOAP または REST プロトコルを使用し、SSH ディスパッチャーを使用せずにデバイス、製品、パッケージデータを取得します。プラグイン 19506 はこれを yes, via HTTPS、または単に yes として報告します。

  • プラットフォーム固有の実装 - 一部の統合では、認証の成功を検証するためにプラットフォーム固有のロジックが使用されます。

    • Nutanix - Tenable Nessus は、Nutanix REST API を通じて Prism Central に対して認証を行い、クラスタやノードのバージョンデータを取得します。プラグイン 19506 はこれを yes as <user>, via HTTPS として報告します。

    • Cisco Meraki - Tenable Nessus は、Cisco Meraki ダッシュボード API を使用して、ネットワーク経由でライブホストをスキャンするのではなく、デバイスのメタデータを取得して資産情報を取り込みます。プラグイン 19506 はこれを yes, via HTTPS として報告します。

    • SNMP 経由の Cisco IOS - Tenable Nessus は、SNMP コミュニティ文字列または SNMP v3 認証情報を使用してバージョンデータを抽出します。

要件と考慮事項

  • 対象のターゲットプラットフォームに応じて、スキャンポリシーで適切な認証情報 (SSH 認証情報、API キー、SOAP/REST 認証情報など) を設定する必要があります。

  • SNMP 経由で Cisco IOS デバイスをスキャンする場合、Tenable Nessus では通常、ローカルチェックを完全に有効化し、プラグイン 19506 で認証スキャンの成功を報告するために、同時に SSH アクセスも必要とします。

  • Cisco Meraki などの API ベースの統合では、Tenable Nessus が個別のエンドポイントに対して従来のネットワークスキャンを実行する代わりに、管理ダッシュボードから直接資産データを取得します。