Tenable Vulnerability Management スキャンの認証情報

認証情報を使用して Tenable Vulnerability Management スキャナーにローカルのアクセス権を付与し、エージェントを必要とすることなく対象システムをスキャンできます。認証されたスキャンを設定することで、認証されていないスキャンよりも広範なチェックを実行できるようになり、スキャン結果がより正確になります。このアプローチにより、非常に大規模なネットワークのスキャンが容易になり、ローカルの漏えいやコンプライアンス違反を特定できます。

認証情報を使用したスキャンでは、ローカルユーザーが実行できる任意の操作を実行できます。スキャンのレベルは、ユーザーアカウントに付与されている権限によって異なります。ログインアカウントを介してスキャナーに与えられる権限 (ルートまたは管理者アクセスなど) が多いほど、スキャン結果はより詳細になります。

Tenable Vulnerability Management では、次の方法でスキャンに使用する認証情報を作成できます。

カテゴリ

説明

アクセス許可

スキャン固有
  • 個別のスキャンでこの認証情報を設定し保存できます。
  • スキャンを削除する場合、認証情報も削除されます。
  • 別のスキャンで認証情報を使用する場合は、スキャン固有認証情報を管理された認証情報に変換するか、別のスキャンでスキャン固有認証情報の設定を再作成します。
スキャンの [基本] 設定の [ユーザーアクセス許可]
Template-specific
  • この認証情報は [ユーザー定義テンプレート] で設定し保存できます。その後、テンプレートを使用して個別のスキャンを作成できます。
  • 認証情報をユーザー定義テンプレートに追加した場合、他のユーザーがテンプレートから作成されたスキャンにスキャン固有の認証情報、または管理された認証情報を追加することで、それらの認証情報をオーバーライドできます。Tenable では、認証情報をユーザー定義テンプレートに追加するのではなく、管理された認証情報をスキャンに追加することを推奨しています。
  • テンプレートを削除する場合、テンプレート固有認証情報も削除されます。ただし Tenable Vulnerability Management は、削除前にそのユーザー定義テンプレートを使用して作成したスキャンの認証情報は保持します。
  • 別のテンプレートの認証情報を使用する場合は、別のテンプレートにテンプレート固有の認証情報を再作成する必要があります。
テンプレートの [基本] 設定の [ユーザーアクセス許可]
管理
  • Tenable Vulnerability Management は、管理された認証情報を認証情報マネージャーで一元的に保存しています。新しい管理された認証情報は、認証情報マネージャーで直接作成するか、スキャン設定中に作成できます。または、スキャン設定中に、スキャン固有の認証情報を管理された認証情報に変換することもできます。
  • 管理された認証情報は複数のスキャンで使用できます。別のユーザーに、管理された認証情報をスキャンで使用するアクセス許可を付与することもできます。
  • テンプレートでは、管理された認証情報は使用できません。

認証情報のユーザーアクセス許可を設定する

認証情報の設定は、認証情報の種類によって異なります。認証情報の種類は次の通りです。

詳細については、次を参照してください。

注意: Tenable Vulnerability Management は、複数の同時認証接続を開きます。監査対象のホストに同時セッションに基づく厳格なアカウントロックアウトポリシーがないことを確認してください。

注意: デフォルトでは、認証スキャンまたはユーザー定義テンプレートを作成するときに、ホストは Tenable Asset Identifier (TAI) で識別され、マークされます。このグローバルな一意の識別子はホストのレジストリまたはファイルシステムに書き込まれ、以降のスキャンでは TAI を取得して使用できます。

このオプションは、スキャン設定またはテンプレートの [詳細] -> [全般設定] の [認証スキャンを実行したホストに一意的な識別子を作成して付与する] で有効 (デフォルト) または無効になっています。

注意: Tenable Vulnerability Management スキャンに 1 種類の認証情報の複数のインスタンスが含まれている場合、Tenable Vulnerability Managementスキャンに追加されたのと同じ順序で各認証情報を順番に使用して有効なターゲットへのログインを試みます。Tenable Vulnerability Management は正常にログインできる最初の認証情報を使用して、ターゲットで認証情報チェックを実行します。Tenable Vulnerability Management が認証情報セットを使用して正常にログインできるようになると、相対的なアクセスレベルに関係なく、スキャン内の他の認証情報ではログインを試行しません。