スキャンのルーティングの設定

スキャンのルーティングを使用すると、各スキャナーグループがアクセス可能なネットワーク領域に従って、複数のスキャナーグループ間でスキャンを自動的に割り振ることができます。スキャンのルーティングにより、個別のスキャンそれぞれに対して特定のスキャナーを設定する必要がなくなり、スキャン設定および管理のオーバーヘッドが削減されます。この機能は、大規模デプロイメントで大きな利点をもたらします。運用効率を高めるために、高い権限を持つチームメンバーがスキャナープールを管理し、低い権限のチームメンバーがスキャンの設定時にそのスキャナープールを使用することができます。

注意: スキャンのルーティングは、リンクされたスキャナーでのみ利用可能です。

あるスキャンに対してスキャンのルーティングを設定した場合、そのスキャンの実行時に Tenable Vulnerability Management は自動的に次を実行します。

  • 一致するターゲット範囲が最も狭く設定されたスキャナーグループにスキャンターゲットを割り当てます。
  • そのスキャナーグループ内で、スキャナーの容量とまだ利用可能なターゲットに応じて、スキャナーが登録されると同時にスキャナーにターゲットを割り当てます。

詳細は、設定のガイドラインを参照してください。

注意: Tenable では、ネットワークの別個の領域を効果的にターゲットできるように、スキャンのルーティング戦略を事前に計画することを推奨しています。設定が不適切な場合、スキャンのルーティングによってスキャナーのターゲットへの到達が妨げられる可能性があります。

スキャンのルーティングを設定する方法

  1. スキャンのルーティングに関する設定ガイドラインを確認します。
    1. スキャナーグループを作成または編集します。

    2. [スキャンルーティングのターゲット] ボックスで、スキャンのルーティングのターゲットをコンマ区切りのリスト形式で入力します。

      リスト内のターゲットは、対応する形式に従う必要があります。

      注意: 個別のスキャナーグループに対して、最大 10,000 の個別のスキャンのルーティングターゲットを指定できます。たとえば、192.168.0.1, example.com, *.example.net, 192.168.0.0/24 では、4 つのスキャンのルーティングターゲットを指定しています。スキャンのルーティングのターゲットのリストを集約するために、Tenable では個別の IP アドレスの代わりに、ワイルドカードや範囲指定形式の使用を推奨しています。

    3. [保存] をクリックします。

      Tenable Vulnerability Managementにより、スキャナーグループへの変更が保存されます。

    1. スキャン設定を作成または編集します。
    2. [基本] 設定セクションで、次のオプションを設定します。
      オプションアクション
      スキャナー

      [自動選択] オプションを選択します。

      このオプションを選択すると、[ネットワーク] ボックスが表示されます。

      Network

      次のいずれかを行います。

      • スキャンが重複する IP 範囲を持つ別々の環境に関係する場合、スキャンのルーティング用に設定したスキャナーグループを含むネットワークを選択します。
      • スキャンが重複する IP 範囲を持つ別々の環境に関係しない場合は、[デフォルト] ネットワークのままにします。
      Targets / Upload Targets / Tags

      次のいずれかのオプションを使用して、スキャンのターゲットを指定します。

      • [ターゲット] ボックスで、ターゲットの一覧を入力します。
      • [ターゲットのアップロード] ボックスで、ターゲットのファイルをアップロードします。
      • [タグ] ボックスで、ターゲットをタグで指定します。

      スキャンターゲットを指定する際は、次に注意してください。

      • スキャンターゲットが、スキャナーグループで指定したスキャンのルーティングのターゲットと一致するようにしてください。

        スキャンターゲットをスキャナーグループのターゲットの範囲外に指定した場合、Tenable Vulnerability Management はスキャナーグループの範囲内のホストのみをスキャンし、スキャンされなかったホストを警告する一覧とともに、不完全な結果を返します。

      • スキャンのルーティングのターゲットとスキャンターゲットを照合する際、Tenable Vulnerability Management は FQDN を IP アドレスに解決しません

        たとえば、*.example.com をスキャンのルーティングのターゲットとして指定した場合、Tenable Vulnerability Management はスキャンターゲットが www.example.com として設定されているスキャンを、そのスキャナーグループに割り当てることができます。しかし、たとえ www.example.com192.168.0.1 に解決される可能性があったとしても、ターゲットが 192.168.0.1 として設定されているスキャンを、Tenable Vulnerability Management がそのスキャナーグループに割り当てることはありません。

    3. [保存] をクリックします。

      Tenable Vulnerability Managementによりスキャン設定に対する変更が保存されます。

設定のガイドライン

  • Tenable では、スキャンのルートを設定する場合に可能であれば、個別の IP アドレスではなく IP 範囲および CIDR 範囲を使用することを推奨しています。このアプローチは、より狭いターゲット値が推奨されるスキャンターゲットに対する推奨アプローチとは異なります。

  • Tenable Vulnerability Management では、IPv6 アドレスの数値範囲形式はサポートされていません。代わりに、IPv6 アドレス範囲の CIDR 形式を使用してください。
  • 通常、Tenable では個別のスキャナーを 1 つのスキャナーグループのみに追加することを推奨しています。しかし一部のケースでは、スキャン範囲や冗長性を確保するために、重複するスキャナーグループを設定したい場合もあります。ホストが複数のスキャナーグループで重複してターゲットになっている場合、Tenable Vulnerability Management はいずれかのグループを選択してスキャンします。いずれかのグループが優先されることはありません。

  • スキャナーグループ内のスキャナーの利用可能性の定義については、スキャナーグループを参照してください。

サポートされるスキャンのルーティングのターゲット形式

Tenable Vulnerability Management では、スキャンのルーティングのターゲットとして次の形式がサポートされています。

ターゲットの形式

1 つの IPv4 アドレス

192.168.0.1

1 つの IPv6 アドレス

2001:db8::2120:17ff:fe56:333b

開始アドレスと終了アドレスで指定した IPv4 範囲

192.168.0.1-192.168.0.255

CIDR 表記の IPv4 サブネット

192.168.0.0/24
CIDR 表記の IPv6 サブネット 2001:db8::/32

IPv4 または IPv6 アドレスに解決可能なホスト

www.yourdomain.com
サブドメインとしてワイルドカードを含む、IPv4 アドレスまたは IPv6 アドレスに解決可能なホスト *.yourdomain.com