ホスト
Tenable Vulnerability Management では、次の形式のホスト認証がサポートされます。
SNMPv3 認証情報を使用して、暗号化されたネットワーク管理プロトコルを使用するリモートシステムをスキャンします。(ネットワークデバイスを含む。)Tenable Vulnerability Management はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックをスキャンします。
注意: SNMPv3 オプションは、高度なネットワークのスキャンテンプレートでのみ使用できます。
[認証情報] リストの [SNMPv3] をクリックして、次の項目を設定します。
オプション | 説明 | デフォルト |
必須 |
---|---|---|---|
ユーザー名 |
|
- | 〇 |
ポート |
Tenable Vulnerability Management からの通信に対して SNMPv3 がリッスンする TCP ポート |
161 | ✕ |
Security level |
SNMP のセキュリティレベル:
|
認証とプライバシー | 〇 |
認証アルゴリズム |
削除サービスがサポートするアルゴリズム: SHA1、SHA224、SHA-256、SHA-384、SHA-512、または MD5。 |
SHA1 | 〇 (認証を選択する場合) |
Authentication password |
|
- | 〇 (認証を選択する場合) |
プライバシーアルゴリズム |
SNMP トラフィックに使用する暗号アルゴリズム: AES、AES-192、AES-192C、AES-256、AES-256C、または DES。 |
AES-192 |
〇 (プライバシーのある認証を選択する場合) |
Privacy password |
|
- | 〇 (プライバシーのある認証を選択する場合) |
Unix システムとサポートされているネットワークデバイスで、ホストベースのチェックに SSH 認証情報を使用します。Tenable Vulnerability Management はこれらの認証情報を使用して、パッチ監査やコンプライアンスチェックのために、リモート Unix システムからローカル情報を取得します。Tenable Vulnerability Management は、セキュアシェル (SSH) プロトコルバージョン2ベースのプログラム (OpenSSH、Solaris SSH など) をホストベースのチェックに使用します。
Tenable Vulnerability Management は、スニファープログラムによる表示から保護するためにデータを暗号化します。
注意: Linuxシステムにローカルでアクセス可能な特権ユーザー以外のユーザーは、パッチレベルや /etc/passwd ファイルへの入力といった基本的なセキュリティ問題を判断できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。
注意: 1 つのスキャンに最大 1000 個の SSH 認証情報を追加できます。最高のパフォーマンスを得るために、Tenable は追加する SSH 認証情報をスキャンあたりで 10 個以下にすることを推奨しています。
[認証情報] リストで [SSH] を選択して、次の SSH 認証方法の設定を行います。
非対称鍵暗号化とも呼ばれる公開鍵暗号化は、公開鍵と秘密鍵のペアを使用することにより、より安全な認証メカニズムを提供します。この非対称暗号化では、データの暗号化に公開鍵を、復号に秘密鍵を使用します。公開鍵と秘密鍵を両方使用すると、より安全でフレキシブルなSSH認証を行うことができます。Tenable Vulnerability Management では DSA 鍵と RSA 鍵の両方式をサポートしています。
Tenable Vulnerability Management は、公開鍵暗号化と同様に RSA と DSA の OpenSSH 証明書をサポートしています。Tenable Vulnerability Management では、認証局 (CA) の署名付きのユーザー証明書とユーザーの秘密鍵も必要です。
注意: Tenable Vulnerability Management は OpenSSH SSH 公開鍵形式をサポートしています。PuTTY や SSH Communications Security などの他の SSH アプリケーションの形式は、OpenSSH 公開鍵形式に変換する必要があります。
認証情報を使用するスキャンでは、root 権限のある認証情報を使用する方法が最も効果的です。多くのサイトは root としてのリモートログインを許可していないため、Tenable Vulnerability Management は su または sudo 権限が設定されたアカウントの別のパスワードを使用して、su、sudo、su+sudo、dzdo、.k5login、または pbrun を呼び出します。また Tenable Vulnerability Managementは、Cisco ‘enable’ または Kerberos ログイン用の .k5login ファイルを選択することにより、Cisco デバイスにおける権限を昇格できます。
注意: Tenable Vulnerability Management は、blowfish-cbc、aes-cbc、aes-ctr 暗号アルゴリズムをサポートしています。商用版の SSH の一部は、おそらく輸出上の制約から blowfish アルゴリズムをサポートしていません。特定の種類の暗号のみを受け入れるように SSH サーバーを設定することもできます。SSH サーバーをチェックして、正しいアルゴリズムがサポートされていることを確認してください。
Tenable Vulnerability Management は、ポリシーに保存されているすべてのパスワードを暗号化します。ただし、認証には SSH パスワードではなく SSH キーの使用を推奨します。これにより、既知の SSH サーバーの監査に使用しているユーザー名とパスワードが、管理下にないシステムへのログイン試行に使われないようにすることができます。
注意: サポートされているネットワークデバイスでは、Tenable Vulnerability Management はそのネットワークデバイスの SSH 接続用のユーザー名とパスワードのみをサポートします。
ルート以外のアカウントを権限昇格に使用する必要がある場合は、エスカレーションパスワードを使用してエスカレーションアカウントで指定できます。
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ホストに認証するユーザー名 |
〇 |
プライベートキー |
ユーザーの RSA または DSA Open SSH キーファイル |
〇 |
プライベートキーのパスフレーズ |
プライベートキーのパスフレーズです。 |
✕ |
権限昇格方法 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ホストに認証するユーザー名 |
〇 |
User Certificate |
ユーザーの RSA または DSA Open SSH 証明書ファイル |
〇 |
プライベートキー |
ユーザーの RSA または DSA Open SSH キーファイル |
〇 |
プライベートキーのパスフレーズ |
プライベートキーのパスフレーズです。 |
✕ |
権限昇格方法 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、CyberArk から認証情報を取得してスキャンに使用します。
オプション | 説明 | 必須 |
---|---|---|
CyberArk Host (Delinea ホスト) |
CyberArk AIM ウェブサービスの IP アドレスまたは FQDN 名。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
✕ |
クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
クライアント証明書のプライベートキーのパスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
Kerberos ターゲット認証 |
有効にすると、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
キー配布センター (KDC) |
(Kerberos ターゲット認証が有効な場合は必須) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信に使用するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
領域 |
(Kerberos ターゲット認証が有効な場合は必須) この領域が、通常ターゲットのドメイン名として表記される、認証ドメインになります (例: example.com)。Tenable Vulnerability Management はデフォルトで 443 を使用します。 |
〇 |
認証情報の取得方法 |
CyberArk API 認証情報を取得する方法。[ユーザー名]、[識別子]、または [アドレス] のいずれかです。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 注意: [ユーザー名] オプションを使用すると、API クエリの [アドレス] パラメーターも追加され、解決されたホストのターゲット IP がこの [アドレス] パラメーターに割り当てられます。このため、CyberArk アカウント詳細の [アドレス] フィールドにターゲット IP アドレス以外の値が含まれていると、認証情報のフェッチに失敗する可能性があります。 |
〇 |
Username (ユーザー名) |
([認証情報の取得方法] が [ユーザー名] の場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
Safe |
認証情報の取得元となる CyberArk safe。 |
✕ |
アドレス | このオプションは、アドレスの値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
アカウント名 | ([認証情報の取得方法] が [識別子] の場合) CyberArk API の認証情報に割り当てられている一意のアカウント名または識別子。 | ✕ |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Tenable の CyberArk Integration に対する大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。詳細は、Tenable CyberArk 統合ガイドの CyberArk Dynamic Scanning (CyberArk 動的スキャン) を参照してください。
オプション | 説明 | 必須 |
---|---|---|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
Safe |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
AIM ウェブサービス認証のタイプ | この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
CyberArk PVWA ウェブ UI ログイン名 | CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk PVWA ウェブ UI ログインパスワード | CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての UnixSSH プラットフォームのアカウントを収集できます。 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
権限昇格方法 |
現時点では、ユーザーが選択できるのは [なし] か [sudo] だけです。 |
✕ |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
CyberArk AIM サービス URL |
CyberArk AIM ウェブサービスの URL です。デフォルトでは、Tenable Vulnerability Management は /AIMWebservice/v1.1/AIM.asmx を使用します。 |
✕ |
Central Credential Provider ホスト |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
〇 |
Central Credential Provider ポート |
CyberArk Central Credential Provider がリッスンするポート |
〇 |
Central Credential Provider ユーザー名 |
ボールトユーザー名。CyberArk Central Credential Provider が基本認証を使用するように設定されている場合に基本情報を使用します。 |
✕ |
Central Credential Provider パスワード |
ボールトパスワード。CyberArk Central Credential Provider が基本認証を使用するように設定されている場合に基本情報を使用します。 |
✕ |
Safe |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫 |
〇 |
CyberArk クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル |
✕ |
CyberArk クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル |
✕ |
CyberArk クライアント証明書のプライベートキーパスフレーズ | プライベートキーのパスフレーズ (必要な場合) |
✕ |
AppId |
CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられた AppId |
〇 |
フォルダー |
取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー |
〇 |
ポリシー ID |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID |
✕ |
SSL を使用する |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合 |
✕ |
SSL 証明書を検証する |
CyberArk Central Credential Provider が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
CyberArk アカウント詳細名 | CyberArk から取得する認証情報の一意の名前 |
✕ |
CyberArk Address | ユーザーアカウントのドメイン |
✕ |
CyberArk elevate privileges with | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。 |
✕ |
カスタムパスワードプロンプト | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
Delinea Authentication Method (Delinea 認証方法) | 認証に認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
Delinea ログイン名 |
Delinea サーバーへの認証に使用されるユーザー名。 |
〇 |
Delinea Password (Delinea パスワード) |
Delinea サーバーへの認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
Delinea API キー | シークレットサーバーユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーで シークレット名のラベルが付けられています。 |
〇 |
Delinea Host (Delinea ホスト) |
この Delinea シークレットサーバー ホストからシークレットをプルします。 |
〇 |
Delinea Port (Delinea ポート) |
API リクエストに使用する Delinea シークレットサーバー ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
Use Private Key |
有効にすると、パスワード認証ではなく鍵ベースの認証で SSH 接続を行います。 |
✕ |
Use SSL (SSL の使用) |
Delinea シークレットサーバー が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーの SSL 証明書を検証します。 |
✕ |
権限昇格方法 |
初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。su、su+sudo、sudo など、権限昇格の複数のオプションがサポートされています。この選択によって、設定する必要があるオプションの内容が決まります。 |
✕ |
カスタムパスワードプロンプト | 一部のデバイスは、非標準の文字列 (「secret-passcode」など) を使うパスワードのプロンプトを表示します。この設定により、このようなプロンプトを認識できます。ほとんどの標準パスワードプロンプトでは、これを空白のままにしてください。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
HashiCorp Vault は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management では、HashiCorp Vault から認証情報を取得してスキャンに使用できます。
Windows と SSH の認証情報 | ||
---|---|---|
オプション | 説明 |
必須 |
Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)例: /v1/auth/approle/login |
〇 |
Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
Vault Type (Vault タイプ) |
Tenable Vulnerability Management バージョン: KV1、KV2、AD、LDAP。Tenable Vulnerability Management バージョンの詳細については、Tenable Vulnerability Management のドキュメントを参照してください。 |
〇 |
KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Vulnerability Management が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
KV2 エンジン URL |
(KV2) Tenable Vulnerability Management が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/kv_mount_name。末尾の / なし 注意: 追加の文字列/セグメントである data が KV v2 ストアの Vault に対して行われた読み取りリクエストに挿入されるため、KV2 エンジン URL の秘密へのパスを使用することはできません。[エンジン URL] フィールドには、秘密へのパスではなく、KV マウントの名前のみを入力します。 注意: data セグメントを自分で含める必要はありません。秘密名/パスに含めると、Vault への読み取り呼び出しに無効な /data/data が含められます。 |
〇 (KV2 Vault タイプを選択した場合) |
AD Engine URL (AD エンジン URL) |
(AD) Tenable Vulnerability Management が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Vulnerability Management が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
ドメイン鍵 | (KV1 および KV2) ドメインが格納されている Hashicorp Vault での名前です。 | ✕ |
パスワード鍵 | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | 〇 |
Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
Key Distribution Center (KDC) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
ドメイン (Windows) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
レルム (SSH) |
(Kerberos ターゲット認証が有効な場合は必須。) このレルムは、通常ターゲットのドメイン名として記載されている認証ドメインです (例: example.com)。 |
〇 |
Use SSL (SSL の使用) | 有効にすると、Tenable Vulnerability Management は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
SSL 証明書を検証する | 有効にすると、Tenable Vulnerability Management は安全な通信のために SSL を使用します。このオプションを有効にするには、Hashicorp Vault で SSL を使用する必要があります。 | ✕ |
に対して有効にするTenable Vulnerability Management | Tenable Vulnerability Management での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
権限昇格方法 (SSH) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su および sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Vulnerability Management による認証と権限昇格をサポートできます。権限昇格を完了するには、[昇格アカウント名] フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
昇格アカウント認証情報 ID または識別子 (SSH) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
MIT の Athena プロジェクトによって開発された Kerberos は、対称暗号プロトコルを使用するクライアントサーバーアプリケーションです。対称暗号方式では、データの暗号化に使用されるキーは、データの復号に使用されるキーと同じです。企業は、Kerberos 認証を必要とするすべてのユーザーとサービスを含む KDC (Key Distribution Center) をデプロイします。ユーザーは、TGT (チケット交付用チケット) をリクエストして Kerberos 認証を行います。ユーザーに TGT が付与されると、その TGT を使用して KDC にサービスチケットをリクエストし、他の Kerberos ベースのサービスを利用できるようになります。Kerberos は、CBC (Cipher Block Chain) の DES 暗号化プロトコルを使用してすべての通信を暗号化します。
注意: この認証方法を使用するには、Kerberos 環境を既に確立している必要があります。
Tenable Vulnerability Management での Unix ベースの SSH 用 Kerberos 認証の実装では、aes-cbc と aes-ctr 暗号アルゴリズムがサポートされます。Tenable Vulnerability Management と Kerberos のやり取りの概要を次に示します。
- エンドユーザーが KDC の IP を指定する
- nessusd が sshd で Kerberos 認証がサポートされるかどうかを確認する
- sshd が「yes」と答える
- nessusd がログインとパスワードと共に Kerberos TGT をリクエストする
- Kerberos が nessusd にチケットを送信する
- nessusd が sshd にチケットを送信する
- nessusd のログインが完了する
Windows と SSH では、リモートシステムの Kerberos キーを使用して認証情報を指定できます。Windows と SSH では設定が異なります。
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
パスワード |
指定されたユーザー名のパスワード |
〇 |
キー配布センター (KDC) |
このホストは、ユーザーのセッションチケットを提供します。 |
〇 |
KDC ポート |
KDC がポート 88 以外で動作している場合に、Tenable Vulnerability Management に KDC への接続先を指定します。 |
✕ |
KDC Transport |
KDC サーバーにアクセスする方法 注意: [KDC Transport] を [UDP] に設定した場合は、ポート番号も変更する必要があります。実装に応じて、KDC UDP プロトコルはデフォルトでポート 88 または 750 を使用するためです。 |
✕ |
領域 |
通常、標的のドメイン名として記録されている認証ドメイン (example.com など。) |
〇 |
権限昇格方法 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Kerberos を使用する場合、KDC でチケットを検証するには Keberos サポートを使って sshd を設定する必要があります。設定が正常に機能するには、DNS 逆引きが適切に設定されることが条件となります。Kerberos の相互認証方法は、gssapi-with-mi である必要があります。
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
パスワード |
指定されたユーザー名のパスワード |
〇 |
権限昇格方法 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。この選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 |
✕ |
カスタムパスワードプロンプト |
ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
Lieberman は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、Lieberman から認証情報を取得してスキャンに使用します。
オプション | 説明 | 必須 |
---|---|---|
Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
Lieberman ホスト |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Lieberman ポート | Lieberman がリッスンするポート。 |
〇 |
Lieberman API URL | Tenable Vulnerability Management が Lieberman へのアクセスに使用する URL。 | ✕ |
Lieberman ユーザー | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
Lieberman パスワード | Lieberman 明示ユーザーのパスワード。 |
〇 |
Lieberman 認証 |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
Lieberman クライアント証明書 |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
Lieberman クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
Lieberman クライアント証明書の秘密鍵パスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
Use SSL (SSL の使用) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されており、証明書を検証する場合、このオプションにチェックマークを入れます。自己署名証明書の使用方法については、カスタム CA ドキュメントを参照してください。 |
✕ |
システム名 | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
カスタムパスワードプロンプト | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
QiAnXin ホスト |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
QiAnXin ポート |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
QiAnXin API クライアント ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
QiAnXin API 秘密 ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 | 〇 |
ホスト IP |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 | ✕ |
プラットフォーム |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
リージョン ID |
使用するアカウントを含む資産のリージョン ID を指定します。 | 複数のリージョンを使用している場合のみ必須 |
権限昇格方法 |
ドロップダウンメニューを使用して権限昇格方法を選択します。権限昇格をスキップするには [なし] を選択します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su と sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで QiAnXin による認証と権限昇格をサポートできます。[昇格アカウント名] フィールドは、昇格パスワードが通常のログインパスワードと異なる場合にのみ必要です。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドまたはTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
昇格アカウントのユーザー名 | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
Use SSL (SSL の使用) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
SSH 経由のシステム認証に使用されるユーザー名 |
〇 |
Thycotic シークレット名 |
Thycotic サーバーのシークレットの値。シークレットには、Thycotic サーバーでシークレット名のラベルが付けられています。 |
〇 |
Thycotic Secret Server URL |
スキャナーの転送方法、ターゲット、ターゲットディレクトリ。この値は、Thycotic サーバーの [管理者] > [設定] > [アプリケーションの設定] > [シークレットサーバー URL] にあります。 たとえば、次のアドレスがあるとします。
|
〇 |
Thycotic ログイン名 |
Thycotic サーバーを認証するためのユーザー名 |
〇 |
Thycotic パスワード |
Thycotic サーバーを認証するためのパスワード |
〇 |
Thycotic Organization |
クエリする企業この値を Thycotic のクラウドインスタンスに使用できます。 |
✕ |
Thycotic Domain |
Thycotic サーバーのドメイン |
✕ |
Use Private Key |
パスワードを使用しない場合、SSH 接続の鍵を使用します。 |
✕ |
SSL 証明書を検証する |
Tenable.io でサーバーの SSL 証明書が信頼できる CA によって署名されたかどうかを確認します。 |
✕ |
Thycotic elevate privileges with | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。su、su+sudo、sudo など、権限昇格の複数のオプションがサポートされています。この選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 |
✕ |
カスタムパスワードプロンプト | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
スキャンするホストにログインするためのユーザー名 |
〇 |
BeyondTrust host |
BeyondTrust IP アドレスまたは DNS アドレス |
〇 |
BeyondTrust port |
BeyondTrust がリッスンするポート。 |
〇 |
BeyondTrust API user |
BeyondTrust が提供する API ユーザー |
〇 |
BeyondTrust API key |
BeyondTrust が提供する API キー |
〇 |
Checkout duration |
BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分)チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意: BeyondTrust でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Managementスキャンが中断されないようにします。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。 |
〇 |
SSL を使用する |
有効にすると、Tenable Vulnerability Management は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
✕ |
SSL 証明書を検証する |
有効にすると、Tenable Vulnerability Management は SSL 証明書を検証します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
✕ |
Use private key |
有効にすると、Tenable Vulnerability Management はパスワード認証ではなく秘密鍵ベースの認証で SSH 認証を行います。失敗した場合は、パスワードが要求されます。 |
✕ |
Use privilege escalation |
有効にすると、BeyondTrust は設定された権限昇格コマンドを使用します。何かが返された場合は、それをスキャンに使用します。 |
✕ |
カスタムパスワードプロンプト | ターゲットのホストが使用するパスワードプロンプトこの設定を使用するのは、ターゲットとなるホストのインタラクティブ SSH シェルで、認識されていないパスワードプロンプトを Tenable Vulnerability Management が受け取るために、インタラクティブ SSH セッションが失敗する場合のみです。 |
✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
✕ |
これらの設定は、現在のスキャンのすべての SSH タイプの認証情報に適用されます。これらの設定は、現在のスキャンの認証情報のインスタンスで編集できます。変更内容は、スキャン中のそのタイプの他の認証情報に自動的に適用されます。
オプション | デフォルト値 | 説明 |
---|---|---|
known_hosts ファイル |
なし |
SSH known_hosts ファイルをアップロードすると、Tenable Vulnerability Management はこのファイルのホストに対してのみ、ログインを試みます。これにより、既知の SSH サーバーの監査に使用しているものと同じユーザー名とパスワードが、制御できないシステムへのログイン試行に使用されないようにします。 |
優先ポート |
22 |
ターゲットのシステムで SSH が実行されているポートです。 |
クライアントバージョン |
OpenSSH_5.0 |
スキャン中に Tenable Vulnerability Management が偽装する SSH クライアントの種類を指定します。 |
最小限の権限を試行 |
未選択 |
動的な権限昇格を有効または無効にします。この機能を有効にすると、Tenable Vulnerability Management は、[昇格した権限がある] オプションが有効になっている場合でも、より権限の低いアカウントでスキャンを実行しようとします。コマンドが失敗すると、Tenable Vulnerability Management は権限を昇格させます。プラグイン 101975 および 101976 では、権限昇格の有無にかかわらず、実行されたプラグインが報告されます。 注意: このオプションを有効にすると、スキャンの実行時間が最長で 30% 長くなる可能性があります。 |
オプション | 説明 |
---|---|
Centrify ホスト |
(必須) Centrify IP アドレスまたは DNS アドレス 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Centrify ポート | (必須) Centrify がリッスンするポートTenable Vulnerability Management は初期設定でポート 443 を使用します。 |
API ユーザー | (必須) Centrify が提供するAPIユーザーです。 |
API キー | (必須) Centrify が提供する API キー。 |
テナント | (必須) API に関連付けられた Centrify テナントTenable Vulnerability Management は初期設定で centrify を使用します。 |
認証 URL | (必須) Tenable Vulnerability Management が Centrify にアクセスするために使用する URLTenable Vulnerability Management は初期設定で /Security を使用します。 |
パスワードクエリ URL | (必須) Tenable Vulnerability Management が Centrify 内のパスワードをクエリするために使用する URLTenable Security Center は初期設定で /RedRock を使用します。 |
パスワードエンジン URL |
(必須) Tenable Vulnerability Management が Centrify 内のパスワードにアクセスするために使用する URLTenable Vulnerability Management は初期設定で /ServerManage を使用します。 |
ユーザー名 | (必須) スキャンするホストにログインするためのユーザー名。 |
チェックアウト期間 |
(必須) Centrify で認証情報のチェックアウト状態を保持する時間 (分) [チェックアウトの期間] は、Tenable Security Center における通常のスキャン期間を超えるように設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 |
SSL を使用する | 有効にすると、Tenable Vulnerability Management は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
SSL 証明書の検証 | 有効にすると、Tenable Vulnerability Management は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
オプション | 説明 |
---|---|
Arcon ホスト |
(必須) Arcon IP アドレスまたは DNS アドレス 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Arcon ポート | (必須) Arcon がリッスンするポートTenable Security Center はデフォルトでポート 444 を使用します。 |
API ユーザー | (必須) Arcon が提供するAPIユーザーです。 |
API キー | (必須) Arcon が提供するAPIキーです。 |
認証 URL | (必須) Tenable Security Center が Arcon にアクセスするために使用する URL |
パスワードエンジン URL |
(必須) Tenable Security Center が Arcon 内のパスワードにアクセスするために使用する URL |
ユーザー名 | (必須) スキャンするホストにログインするためのユーザー名。 |
Arcon ターゲットタイプ | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
チェックアウト期間 |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。チェックアウトの期間は、Tenable Security Center における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 ヒント: Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Security Center スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
Use SSL (SSL の使用) | 有効にすると、Tenable Security Center は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
SSL 証明書の検証 | 有効にすると、Tenable Security Center は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
権限昇格 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。[権限昇格] の選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
注意: Unix システムのローカルアクセス権を持つ特権ユーザー以外は、パッチレベルや /etc/passwd ファイルのエントリなど、基本的なセキュリティ問題を特定できます。システム設定データやシステム全体のファイルのアクセス許可など、より包括的な情報を得るには、ルート権限を持つアカウントが必要です。
[認証情報] リストの [Windows] をクリックして、以下の Windows ベースの認証方法の設定を行います。
CyberArk は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、CyberArk から認証情報を取得してスキャンに使用します。
オプション | 説明 | 必須 |
---|---|---|
CyberArk ホスト |
CyberArk AIM Web サービスの IP アドレスまたは FQDN 名。これは、ホスト、または 1 つの文字列にカスタム URL が追加されたホストにすることができます。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連するアプリケーション ID。 |
〇 |
クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル。 |
✕ |
クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 |
○ (秘密鍵が適用されている場合) |
クライアント証明書のプライベートキーのパスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 |
○ (秘密鍵が適用されている場合) |
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
キー配布センター (KDC) |
(Kerberos ターゲット認証が有効な場合は必須) このホストがユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
|
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
|
Domain (ドメイン) |
(Kerberos ターゲット認証が有効な場合は必須) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
認証情報の取得 |
CyberArk API 認証情報を取得する方法。[ユーザー名]、[識別子]、または [アドレス] のいずれかです。 注意: ユーザー名のクエリ頻度は、ターゲットごとにクエリ 1 回です。識別子のクエリの頻度は、チャンクごとにクエリ 1 回です。この機能では、すべてのターゲットに同じ識別子が必要です。 注意: [ユーザー名] オプションを使用すると、API クエリの [アドレス] パラメーターも追加され、解決されたホストのターゲット IP がこの [アドレス] パラメーターに割り当てられます。これにより、[アカウントの詳細アドレス] フィールドにターゲット IP アドレス以外の値が含まれている場合、認証情報のフェッチに失敗する可能性があります。 |
〇 |
Username (ユーザー名) |
([認証情報の取得] が [ユーザー名] の場合) パスワードを要求する CyberArk ユーザーのユーザー名。 |
✕ |
Safe |
認証情報を取得するべき CyberArk のセーフ。 |
✕ |
アドレス | このオプションは、アドレス値が単一の CyberArk アカウント認証情報に対して一意である場合にのみ使用します。 | ✕ |
アカウント名 | ([認証情報の取得] が [識別子] の場合) CyberArk API の認証情報が割り当てられる固有のアカウント名または識別子。 | ✕ |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を介した SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が安全な通信のために IIS によって SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
Tenable の CyberArk Integration に対する大幅な改善を利用して、複数のターゲットを入力することなく特定のターゲットグループのアカウント情報を一括で収集できるようになりました。詳細は、Tenable CyberArk 統合ガイドの CyberArk Dynamic Scanning (CyberArk 動的スキャン) を参照してください。
オプション |
説明 |
必須 |
---|---|---|
CyberArk Host (Delinea ホスト) |
ユーザーの CyberArk インスタンスの IP アドレスまたは FQDN 名。 |
〇 |
ポート |
CyberArk API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
AppID |
CyberArk API 接続に関連付けられているアプリケーション ID。 |
〇 |
Safe |
ユーザーは、オプションで Safe ボックスを指定してアカウント情報を収集し、パスワードをリクエストできます。 |
✕ |
AIM ウェブサービス認証のタイプ |
この機能では、2 つの認証方法が確立されています。IIS 基本認証と証明書認証です。証明書認証は、暗号化することも非暗号化することもできます。 |
〇 |
CyberArk PVWA ウェブ UI ログイン名 |
CyberArk ウェブコンソールにログインするためのユーザー名。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk PVWA ウェブ UI ログインパスワード |
CyberArk ウェブコンソールにログインするためのユーザー名のパスワード。これは、PVWA REST API に認証したり、アカウント情報を一括収集したりする際に使用されます。 |
〇 |
CyberArk プラットフォーム検索文字列 |
アカウント情報を一括収集するために PVWA REST API クエリパラメーターで使用される文字列。たとえば、UnixSSH Admin TestSafe と入力すると、TestSafe というセーフにある、ユーザー名 Admin を含むすべての Windows プラットフォームのアカウントを収集できます。 注意: これは完全一致ではないキーワード検索です。精度を向上させるために、CyberArk でカスタムプラットフォーム名を作成し、このフィールドにその値を入力することをお勧めします。 |
〇 |
Use SSL (SSL の使用) |
有効にすると、スキャナーは安全な通信のために IIS を介して SSL を使用します。CyberArk が IIS を通して SSL をサポートするよう設定されている場合、このオプションを有効にします。 |
〇 |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、スキャナーは SSL 証明書を検証します。CyberArk が IIS を通して SSL をサポートするように設定されており、証明書を検証する場合、このオプションを有効にします。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
CyberArk AIM サービス URL | CyberArk AIM ウェブサービスの URL です。デフォルトでは、Tenable Vulnerability Management は /AIMWebservice/v1.1/AIM.asmx を使用します。 |
✕ |
ドメイン |
ユーザー名が属するドメイン |
✕ |
Central Credential Provider ホスト |
CyberArk Central Credential Provider の IP/DNS アドレス。 |
〇 |
Central Credential Provider ポート |
CyberArk Central Credential Provider がリッスンするポート |
〇 |
Central Credential Provider ユーザー名 |
ボールトユーザー名。CyberArk Central Credential Provider が基本認証を使用するように設定されている場合に基本情報を使用します。 |
✕ |
Central Credential Provider パスワード |
ボールトパスワード。CyberArk Central Credential Provider が基本認証を使用するように設定されている場合に基本情報を使用します。 |
✕ |
Safe |
取得する認証情報が格納されていた CyberArk Central Credential Provider サーバー上の金庫 |
〇 |
CyberArk クライアント証明書 | CyberArk ホストとの通信に使用される PEM 証明書を含むファイル |
✕ |
CyberArk クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル |
✕ |
CyberArk クライアント証明書のプライベートキーパスフレーズ | プライベートキーのパスフレーズ (必要な場合) |
✕ |
AppId |
CyberArk Central Credential Provider でターゲットパスワードを取得するためのアクセス許可を割り当てられた AppId |
〇 |
フォルダー |
取得する認証情報が格納されている CyberArk Central Credential Provider サーバー上のフォルダー |
〇 |
ポリシー ID |
CyberArk Central Credential Provider から取得する認証情報に割り当てられたポリシー ID |
✕ |
SSL を使用する |
CyberArk Central Credential Provider が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合 |
✕ |
SSL 証明書を検証する |
CyberArk Central Credential Provider が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
✕ |
CyberArk アカウント詳細名 | CyberArk から取得する認証情報の一意の名前 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
Delinea Authentication Method (Delinea 認証方法) | 認証に認証情報と API キーのどちらを使用するかを示します。デフォルトでは、[認証情報] が選択されています。 | 〇 |
Delinea Login Name |
Delinea サーバーに入る際の認証に使用されるユーザー名。 |
〇 |
Delinea Password |
Delinea サーバーに入る際の認証に使用されるパスワード。これは、指定した Delinea Login Name に関連付けられているものです。 |
〇 |
Delinea API キー | シークレットサーバーユーザーインターフェースで生成された API キー。この設定は、[API キー] の認証方法を選択した場合に必須です。 | 〇 |
Delinea シークレット |
Delinea サーバーのシークレットの値。シークレットには、Delinea サーバーでシークレット名のラベルが付けられています。 |
〇 |
Delinea ホスト |
API リクエストに使用する Delinea シークレットサーバー IP アドレス。 |
〇 |
Delinea Port |
API リクエスト用の Delinea Secret Server ポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
チェックアウト期間 |
Tenable が Delinea からパスワードをチェックアウトする期間。期間は時間単位で、スキャン時間より長くしてください。 |
〇 |
Use SSL (SSL の使用) |
Delinea Secret Server が SSL をサポートするように設定されている場合は有効にします。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Delinea サーバーで SSL 証明書を検証します。 |
✕ |
HashiCorp Vault は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management では、HashiCorp Vault から認証情報を取得してスキャンに使用できます。
Windows と SSH の認証情報 | ||
---|---|---|
オプション | 説明 |
必須 |
Hashicorp Vault host (Hashicorp Vault ホスト) |
Hashicorp Vault IP アドレスまたは DNS アドレス。 注意: Hashicorp Vault インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Hashicorp Vault port (Hashicorp Vault ポート) | Hashicorp Vault がリッスンするポート。 | 〇 |
Authentication Type (認証タイプ) |
インスタンスに接続するための認証タイプとして、[App Role] (アプリロール) または [Certificates] (証明書) を指定します。 [証明書] を選択すると、[Hashicorp Client Certificate] (Hashicorp クライアント証明書) (必須) および [Hashicorp Client Certificate Private Key] (Hashicorp クライアント証明書の秘密鍵) (必須) の追加オプションが表示されます。クライアント証明書と秘密鍵にそれぞれ適切なファイルを選択してください。 |
〇 |
Role ID (ロール ID) | App Role を構成したときに Hashicorp Vault によって提供される GUID です。 | 〇 |
Role Secret ID (ロールシークレット名) |
App Role を構成したときに Hashicorp Vault によって生成される GUID です。 |
〇 |
Authentication URL (認証 URL) |
認証エンドポイントへのパス/サブディレクトリ。This is not the full URL. (これは完全な URL ではありません。)例: /v1/auth/approle/login |
〇 |
Namespace (名前空間) | マルチチーム環境で指定されたチームの名前 | ✕ |
Vault Type (Vault タイプ) |
Tenable Vulnerability Management バージョン: KV1、KV2、AD、LDAP。Tenable Vulnerability Management バージョンの詳細については、Tenable Vulnerability Management のドキュメントを参照してください。 |
〇 |
KV1 Engine URL (KV1 エンジン URL) |
(KV1) Tenable Vulnerability Management が KV1 エンジンへのアクセスに使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (KV1 Vault タイプを選択した場合) |
KV2 エンジン URL |
(KV2) Tenable Vulnerability Management が KV2 エンジンにアクセスするために使用する URL です。 例: /v1/kv_mount_name。末尾の / なし 注意: 追加の文字列/セグメントである data が KV v2 ストアの Vault に対して行われた読み取りリクエストに挿入されるため、KV2 エンジン URL の秘密へのパスを使用することはできません。[エンジン URL] フィールドには、秘密へのパスではなく、KV マウントの名前のみを入力します。 注意: data セグメントを自分で含める必要はありません。秘密名/パスに含めると、Vault への読み取り呼び出しに無効な /data/data が含められます。 |
〇 (KV2 Vault タイプを選択した場合) |
AD Engine URL (AD エンジン URL) |
(AD) Tenable Vulnerability Management が Active Directory エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (AD Vault タイプを選択した場合) |
LDAP Engine URL (LDAP エンジン URL) |
(LDAP) Tenable Vulnerability Management が LDAP エンジンにアクセスするために使用する URL です。 例: /v1/path_to_secret。末尾の / なし |
〇 (LDAP Vault タイプを選択した場合) |
Username Source (ユーザー名ソース) | (KV1 および KV2) ユーザー名が手動で入力されるか、Hashicorp Vault からプルするかを指定するドロップダウンボックスです。 | 〇 |
Username Key (ユーザー名鍵) | (KV1 および KV2) ユーザー名が格納されている Hashicorp Vault での名前です。 | 〇 |
ドメイン鍵 | (KV1 および KV2) ドメインが格納されている Hashicorp Vault での名前です。 | ✕ |
パスワード鍵 | (KV1 および KV2) パスワードが格納されている Hashicorp Vault での鍵です。 | 〇 |
Secret Name (秘密名) | (KV1、KV2、AD) 値を取得したい鍵秘密です。 | 〇 |
Kerberos ターゲット認証 |
有効にした場合、Kerberos 認証を使用して、指定された Linux または Unix ターゲットにログインします。 |
✕ |
Key Distribution Center (KDC) |
(Kerberos ターゲット認証が有効な場合は必須。) このホストは、ユーザーにセッションチケットを提供します。 |
〇 |
KDC ポート |
Kerberos 認証 API が通信するポート。デフォルトでは、Tenable は 88 を使用します。 |
✕ |
KDC Transport |
KDC は、Linux 実装ではデフォルトで TCP を使用します。UDP では、このオプションを変更します。KDC Transport の値を変更する必要がある場合、KDC UDP は実装に応じてデフォルトでポート 88 または 750 を使用するため、ポートも変更する必要があります。 |
✕ |
ドメイン (Windows) |
(Kerberos ターゲット認証が有効な場合は必須。) Kerberos ターゲット認証が属するドメイン (該当する場合)。 |
〇 |
レルム (SSH) |
(Kerberos ターゲット認証が有効な場合は必須。) このレルムは、通常ターゲットのドメイン名として記載されている認証ドメインです (例: example.com)。 |
〇 |
Use SSL (SSL の使用) | 有効にすると、Tenable Vulnerability Management は安全な通信のために SSL を使用します。このオプションを有効にする前に、Hashicorp Vault で SSL を設定してください。 | ✕ |
SSL 証明書を検証する | 有効にすると、Tenable Vulnerability Management は安全な通信のために SSL を使用します。このオプションを有効にするには、Hashicorp Vault で SSL を使用する必要があります。 | ✕ |
に対して有効にするTenable Vulnerability Management | Tenable Vulnerability Management での IBM DataPower Gateway の使用を有効または無効にします。 | 〇 |
権限昇格方法 (SSH) |
スキャンの実行時に追加の権限を使用するには、su や sudo などの権限昇格手法を使用します。 注意: Tenable では、権限昇格で su、su+sudo、sudo などの複数のオプションを使用できます。たとえば sudo を選択すると、sudo ユーザー、昇格アカウント名、su および sudo の場所 (ディレクトリ) のフィールドが追加で表示され、これらのフィールドに入力することで Tenable Vulnerability Management による認証と権限昇格をサポートできます。権限昇格を完了するには、[昇格アカウント名] フィールドに入力する必要があります。 注意: サポートされている権限昇格タイプと各タイプに伴うフィールドの詳細については、Nessus ユーザーガイドおよびTenable Vulnerability Management ユーザーガイドを参照してください。 |
権限昇格を行う場合は必須です。 |
昇格アカウント認証情報 ID または識別子 (SSH) | 昇格アカウントのユーザー名またはパスワードが最小権限ユーザーと異なる場合、昇格アカウント認証情報の認証情報 ID または識別子をここに入力します。 | ✕ |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
オプション | Default (デフォルト) | 説明 | 必須 |
---|---|---|---|
ユーザー名 |
なし |
ターゲットシステムのユーザー名 |
〇 |
パスワード |
なし |
ターゲットシステムのパスワード |
〇 |
キー配布センター (KDC) |
なし |
ユーザーにセッションチケットを提供するホスト |
〇 |
KDC ポート |
88 |
KDC がポート 88 以外で動作している場合に、Tenable Vulnerability Management に KDC への接続先を指定します。 |
✕ |
KDC Transport |
TCP |
KDC サーバーにアクセスする方法 注意: [KDC Transport] を [UDP] に設定した場合は、ポート番号も変更する必要があります。実装に応じて、KDC UDP プロトコルはデフォルトでポート 88 または 750 を使用するためです。 |
✕ |
ドメイン |
なし |
KDC が管理する Windows ドメイン。 |
〇 |
Lieberman は、権限付き認証情報の管理に使用できる一般的なエンタープライズパスワードボールトです。Tenable Vulnerability Management は、Lieberman から認証情報を取得してスキャンに使用します。
オプション | 説明 | 必須 |
---|---|---|
Username (ユーザー名) | ターゲットシステムのユーザー名。 |
〇 |
Domain (ドメイン) | ドメイン (ユーザー名がドメインの一部である場合) |
✕ |
Lieberman ホスト |
Lieberman の IP/DNS アドレス。 注意: Lieberman インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
〇 |
Lieberman ポート | Lieberman がリッスンするポート。 |
〇 |
Lieberman API URL | Tenable Vulnerability Management が Lieberman へのアクセスに使用する URL。 | ✕ |
Lieberman ユーザー | Lieberman RED API への認証に使用される Lieberman 明示ユーザーです。 |
〇 |
Lieberman パスワード | Lieberman 明示ユーザーのパスワード。 |
〇 |
Lieberman 認証 |
Lieberman のオーセンティケーターに使用されるエイリアス。この名前は Lieberman で使用される名前に一致する必要があります。 注意: このオプションを使用する場合は、[Lieberman ユーザー] オプションにドメインを追加してください (例: domain\user)。 |
✕ |
Lieberman クライアント証明書 |
Lieberman ホストとの通信に使用される PEM 証明書を含むファイル。 注意: このオプションを使用する場合は、[Lieberman ユーザー]、[Lieberman パスワード]、[Lieberman 認証] の各フィールドに情報を入力する必要はありません。 |
✕ |
Lieberman クライアント証明書のプライベートキー | クライアント証明書の PEM プライベートキーを含むファイル。 | ✕ |
Lieberman クライアント証明書の秘密鍵パスフレーズ | プライベートキーのパスフレーズ (必要な場合)。 | ✕ |
Use SSL (SSL の使用) |
Lieberman が安全な通信のために IIS チェックによって SSL をサポートするように設定されている場合。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
Lieberman が IIS 経由で SSL をサポートするように設定されていて、その証明書を検証する場合は、これを有効にします。自己署名証明書の使用方法については、custom_CA.inc ドキュメントを参照してください。 |
✕ |
システム名 | まれなケースではあるものの、お客様の企業がすべての管理対象システムにデフォルトの Lieberman エントリを 1 つ使用している場合は、デフォルトのエントリ名を入力します。 |
✕ |
Lanman 認証方法は、Windows NT および初期 Windows 2000 サーバーの展開において一般的でした。これは下位互換性のために保持されます。
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
Hash |
使用するハッシュ |
〇 |
ドメイン |
ユーザー名が属する Windows ドメイン |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
Hash |
使用するハッシュ |
〇 |
ドメイン |
ユーザー名が属する Windows ドメイン |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
ターゲットシステムのユーザー名 |
〇 |
パスワード |
ターゲットシステムのパスワード |
〇 |
ドメイン |
ユーザー名が属する Windows ドメイン |
✕ |
オプション | 説明 | 必須 |
---|---|---|
QiAnXin ホスト |
QiAnXin ホストの IP アドレスまたは URL。 |
〇 |
QiAnXin ポート |
QiAnXin API が通信に使用するポート。Tenable はデフォルトで 443 を使用します。 |
〇 |
QiAnXin API クライアント ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションのクライアント ID。 |
〇 |
QiAnXin API 秘密 ID |
QiAnXin PAM で作成された埋め込みアカウントアプリケーションの秘密 ID。 |
〇 |
Domain (ドメイン) | ユーザー名が属するドメイン |
✕ |
Username (ユーザー名) |
スキャンするホストにログインするためのユーザー名 |
〇 |
ホスト IP |
使用するアカウントを含む資産のホスト IP を指定します。指定しない場合、スキャンターゲット IP が使用されます。 |
✕ |
プラットフォーム |
使用するアカウントを含む資産のプラットフォーム (資産タイプに基づく) を指定します。指定しない場合、認証情報のタイプに基づいてデフォルトのターゲットが使用されます (たとえば、Windows 認証情報の場合、デフォルトは WINDOWS です)。可能な値は次のとおりです。
|
✕ |
リージョン ID |
使用するアカウントを含む資産のリージョン ID を指定します。 |
複数のリージョンを使用している場合のみ。 |
Use SSL (SSL の使用) | 有効にすると、Tenable は安全な通信のために SSL を使用します。このオプションはデフォルトで有効です。 |
✕ |
Verify SSL Certificate (SSL 証明書の検証) |
有効にすると、Tenable は、サーバーの SSL 証明書が信頼できる認証局によって署名されたものかどうかを検証します。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
SSH 経由のシステム認証に使用されるユーザー名 |
〇 |
Domain (ドメイン) |
ユーザー名が属するドメイン |
✕ |
Thycotic シークレット名 |
Thycotic サーバーのシークレットの値。シークレットには、Thycotic サーバーでシークレット名のラベルが付けられています。 |
〇 |
Thycotic Secret Server URL |
スキャナーの転送方法、ターゲット、ターゲットディレクトリ。この値は、Thycotic サーバーの [管理者] > [設定] > [アプリケーションの設定] > [シークレットサーバー URL] にあります。 たとえば、次のアドレスがあるとします。
|
〇 |
Thycotic ログイン名 |
Thycotic サーバーを認証するためのユーザー名 |
〇 |
Thycotic パスワード |
Thycotic サーバーを認証するためのパスワード |
〇 |
Thycotic Organization |
クエリする企業この値を Thycotic のクラウドインスタンスに使用できます。 |
✕ |
Thycotic Domain |
Thycotic サーバーのドメイン |
✕ |
SSL 証明書を検証する |
Tenable.io でサーバーの SSL 証明書が信頼できる CA によって署名されたかどうかを確認します。 |
✕ |
オプション | 説明 | 必須 |
---|---|---|
ユーザー名 |
スキャンするホストにログインするためのユーザー名 |
〇 |
Domain (ドメイン) | ユーザー名のドメイン。ドメインにリンクされたアカウント (管理対象システムにリンクされたドメインの管理されたアカウント) を使用する場合に推奨されます。 |
✕ |
BeyondTrust host |
BeyondTrust IP アドレスまたは DNS アドレス |
〇 |
BeyondTrust port |
BeyondTrust がリッスンするポート。 |
〇 |
BeyondTrust API user | BeyondTrust が提供する API ユーザー |
〇 |
BeyondTrust API key |
BeyondTrust が提供する API キー |
〇 |
Checkout duration |
BeyondTrust で認証情報のチェックアウト状態を保持する時間 (分)チェックアウトの期間は、Tenable Vulnerability Management における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 注意: BeyondTrust でパスワードの変更間隔を設定し、パスワード変更によって Tenable Vulnerability Managementスキャンが中断されないようにします。スキャン中に BeyondTrust がパスワードを変更すると、スキャンは失敗します。 |
〇 |
SSL を使用する |
有効にすると、Tenable Vulnerability Management は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
✕ |
SSL 証明書を検証する |
有効にすると、Tenable Vulnerability Management は SSL 証明書を検証します。このオプションを有効にするには、BeyondTrust で IIS を使用して SSL を設定する必要があります。 |
✕ |
これらの設定は、現在のスキャンのすべての Windows タイプの認証情報に適用されます。これらの設定は、現在のスキャンの認証情報のインスタンスで編集できます。変更内容は、スキャン中のそのタイプの他の認証情報に自動的に適用されます。
オプション | Default (デフォルト) | 説明 |
---|---|---|
暗号化されていない認証情報を送信しない |
有効 |
デフォルトでは、セキュリティ上の理由からこのオプションは有効になっています。 |
NTLMv1 認証を使用しない |
有効 |
[NTLMv1 認証を使用しない] オプションが無効になっている場合、理論的には、NTLM バージョン 1 プロトコル経由でドメイン認証情報を使用し、Tenable Vulnerability Management を誘導して Windows Server へのログインを試みることが可能です。これにより、リモートの攻撃者は Tenable Vulnerability Management から取得したハッシュを使用できます。このハッシュは解読され、ユーザー名またはパスワードが特定される可能性があります。また、その他のサーバーに直接ログインするために使用される可能性もあります。スキャン時に [NTLMv2 のみ使用] 設定を有効にすると、Tenable Vulnerability Management は強制的に NTLMv2 を使用します。これにより、悪意のある Windows サーバーが NTLM を使用してハッシュを受信することを防ぎます。NTLMv1 は安全でないプロトコルであるため、このオプションはデフォルトで有効になっています。 |
スキャン中にリモートレジストリを有効にする |
無効 |
このオプションは、スキャン対象のコンピューターでリモートレジストリサービスが実行されていない場合に、それを開始するよう Tenable Vulnerability Management に指示します。Tenable Vulnerability Management が Windows ローカルチェックプラグインを実行するには、このサービスが実行されている必要があります。 |
スキャン中に管理共有を有効にする |
無効 |
このオプションにより、Tenable Vulnerability Management は管理者権限で読み取り可能な特定のレジストリエントリにアクセスできます。 |
Start the Server service during the scan | 無効 |
有効になっている場合、スキャナーによって Windows Server サービスが一時的に有効になります。これによって、コンピューターはネットワーク上のファイルと他のデバイスを共有できます。スキャンが完了すると、サービスは無効になります。 デフォルトでは、Windows システムによって Windows Server サービスは無効になっており、この設定を有効にする必要はありません。ただし、ご利用の環境で Windows Server サービスを無効にし、SMB 認証情報を使用してスキャンする場合は、スキャナーがリモートでファイルにアクセスできるようにこの設定を有効にする必要があります。 |
オプション | 説明 |
---|---|
Centrify ホスト |
(必須) Centrify IP アドレスまたは DNS アドレス 注意: Centrify インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Centrify ポート | (必須) Centrify がリッスンするポートTenable Vulnerability Management は初期設定でポート 443 を使用します。 |
API ユーザー | (必須) Centrify が提供するAPIユーザーです。 |
API キー | (必須) Centrify が提供する API キー。 |
テナント | (必須) API に関連付けられた Centrify テナントTenable Vulnerability Management は初期設定で centrify を使用します。 |
認証 URL | (必須) Tenable Vulnerability Management が Centrify にアクセスするために使用する URLTenable Vulnerability Management は初期設定で /Security を使用します。 |
パスワードクエリ URL | (必須) Tenable Vulnerability Management が Centrify 内のパスワードをクエリするために使用する URLTenable Security Center は初期設定で /RedRock を使用します。 |
パスワードエンジン URL |
(必須) Tenable Vulnerability Management が Centrify 内のパスワードにアクセスするために使用する URLTenable Vulnerability Management は初期設定で /ServerManage を使用します。 |
ユーザー名 | (必須) スキャンするホストにログインするためのユーザー名。 |
チェックアウト期間 |
(必須) Centrify で認証情報のチェックアウト状態を保持する時間 (分) [チェックアウトの期間] は、Tenable Security Center における通常のスキャン期間を超えるように設定し、パスワード変更によって Tenable Vulnerability Management スキャンが中断されないようにします。スキャン中に Centrify がパスワードを変更すると、スキャンは失敗します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 |
SSL を使用する | 有効にすると、Tenable Vulnerability Management は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
SSL 証明書の検証 | 有効にすると、Tenable Vulnerability Management は SSL 証明書を検証します。このオプションを有効にするには、Centrify で IIS を使用して SSL を設定する必要があります。 |
オプション | 説明 |
---|---|
Arcon ホスト |
(必須) Arcon IP アドレスまたは DNS アドレス 注意: Arcon インストールがサブディレクトリにある場合は、サブディレクトリパスを含める必要があります。たとえば、IP アドレスまたはホスト名/サブディレクトリパスの形式で入力します。 |
Arcon ポート | (必須) Arcon がリッスンするポートTenable Security Center はデフォルトでポート 444 を使用します。 |
API ユーザー | (必須) Arcon が提供するAPIユーザーです。 |
API キー | (必須) Arcon が提供するAPIキーです。 |
認証 URL | (必須) Tenable Security Center が Arcon にアクセスするために使用する URL |
パスワードエンジン URL |
(必須) Tenable Security Center が Arcon 内のパスワードにアクセスするために使用する URL |
ユーザー名 | (必須) スキャンするホストにログインするためのユーザー名。 |
Arcon ターゲットタイプ | (オプション) ターゲットタイプの名前。お使いの Arcon PAM のバージョンと SSH 認証情報を作成したシステムのタイプにより異なりますが、デフォルトでは linux に設定されます。正しいターゲットタイプ値を知るためのターゲットタイプ/システムタイプのマッピングは、Arcon PAM 仕様ドキュメント (Arcon 提供) を参照してください。 |
チェックアウト期間 |
(必須) Arcon で認証情報のチェックアウト状態を保持する時間 (時間)です。チェックアウトの期間は、Tenable Security Center における通常のスキャン期間を超えるように設定します。新しいスキャンが開始したときに過去のスキャンのパスワードがまだチェックアウトされている場合、新しいスキャンは失敗します。 ヒント: Arcon でパスワードの変更間隔を設定し、パスワード変更によって Tenable Security Center スキャンが中断されないようにします。スキャン中に Arcon がパスワードを変更すると、スキャンは失敗します。 |
Use SSL (SSL の使用) | 有効にすると、Tenable Security Center は安全な通信のために IIS を介して SSL を使用します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
SSL 証明書の検証 | 有効にすると、Tenable Security Center は SSL 証明書を検証します。このオプションを有効にするには、Arcon で IIS を使用して SSL を設定する必要があります。 |
権限昇格 | 初回認証後にユーザー権限を昇格させる場合に使用する権限昇格方法です。[権限昇格] の選択によって、設定する必要があるオプションの内容が決まります。詳細は、権限昇格を参照してください。 |
認証情報を優先するターゲット |
この認証情報を他の認証情報よりも先に試行する IP または CIDR ブロックを指定します。複数の IP または CIDR ブロックを指定する場合は、コンマまたはスペース区切りのリストを使用します。 この設定を使用すると、選択したターゲットで成功する認証情報が優先されるため、スキャン時間を短縮できます。たとえば、スキャンで指定された 100 の認証情報のうち、59 番目の認証情報で認証に成功するとします。すると、最初の 58 の認証情報での認証が失敗するまで 59 番目の認証は行われません。[認証情報を優先するターゲット] を使用すると、成功した認証情報を最初に使用するようにスキャンを設定するので、スキャンがターゲットにより速くアクセスできます。 |
Windows 認証の考慮事項
認証方法について:
- Tenable Vulnerability Management は、リモート Windows Server で必要とされる場合、SMB 署名を自動的に使用します。SMB 署名は、Windows Server との間のすべての SMB トラフィックに適用される暗号化チェックサムです。システム管理者の多くは、サーバーで SMB 署名機能を有効化し、リモートユーザーが 100% 認証されており、ドメインの一部であることを確認します。さらに、John the Ripper や L0phtCrack などのツールによる辞書攻撃で簡単に破られることのない強力なパスワードの使用を義務付けるポリシーを実施するようにしてください。Windows セキュリティに対し、コンピューターからの不正なハッシュの再利用によるサーバーの攻撃など、さまざまな種類の攻撃が行われています。SMB 署名は、これらの中間者攻撃を防ぐためにセキュリティ層を追加します。
- SPNEGO (Simple and Protected Negotiate) プロトコルは、ユーザーの Windows ログイン認証情報を介して、Windows クライアントからさまざまな保護リソースへのシングルサインオン (SSO) 機能を提供します。Tenable Vulnerability Management は、SPNEGO スキャンとポリシーの使用をサポートします。すなわち、LMv2 認証付きの NTLMSSP または Kerberos と RC4 暗号化のいずれかで 151 のうち 54 をスキャンします。SPNEGO 認証は、NTLM 認証または Kerberos 認証を通じて行われるため、Tenable Vulnerability Management スキャン設定では何も設定する必要がありません。
- 拡張セキュリティスキーム (Kerberos、SPNEGO など) がサポートされていないか、または失敗した場合、Tenable Vulnerability Management はNTLMSSP/LMv2 認証を介してログインを試みます。上記が失敗した場合、Tenable Vulnerability Management は NTLM 認証を使用してログインを試行します。
- Tenable Vulnerability Management は、Windows ドメインでの Kerberos 認証の使用もサポートしています。これを設定するには、Kerberos ドメインコントローラーの IP アドレス (実際には、Windows Active Directory サーバーの IP アドレス) を指定する必要があります。
サーバーメッセージブロック (SMB) は、コンピューターがネットワーク全体で情報を共有できるようにするファイル共有プロトコルです。この情報を Tenable Vulnerability Managementに提供することで、リモートの Windows ホストからローカル情報を見つけられるようになります。たとえば、認証情報を使用すると、Tenable Vulnerability Management は重要なセキュリティパッチが適用されているかどうかを判断できます。他の SMB パラメーターをデフォルト設定から変更する必要はありません。
SMB ドメインフィールドはオプションであり、Tenable Vulnerability Management はこのフィールドがなくてもドメイン認証情報を使用してログオンできます。ユーザー名、パスワード、オプションのドメインは、ターゲットのマシンが認識しているアカウントを参照します。たとえば、joesmith というユーザー名と my4x4mpl3 というパスワードを入力すると、Windows Server は、まずローカルシステムのユーザーリストでこのユーザー名を検索し、それがドメインの一部であるかどうかを判断します。
使用される認証情報が何であろうと、Tenable Vulnerability Management は常に次の組み合わせで Windows Server へのログインを試行します。
- パスワードを持たない管理者
- ゲストアカウントをテストするためのランダムなユーザー名とパスワード
- ユーザー名とパスワードなしで null セッションをテスト
実際のドメイン名は、アカウント名がコンピューター上のアカウント名とドメイン上で異なる場合にのみ必要となります。Windows Server とドメイン内で管理者アカウントを持つことができます。この場合、ローカルサーバーにログオンするには、管理者のユーザー名がそのアカウントのパスワードと共に使用されます。ドメインにログオンする際にも管理者のユーザー名が使用されますが、ドメインパスワードとドメイン名が共に使用されます。
複数の SMB アカウントが設定されている場合、Tenable Vulnerability Management は指定された認証情報を使用して順番にログインを試みます。Tenable Vulnerability Management は、一連の認証情報で認証できるようになると、提供された次の認証情報を確認しますが、以前のアカウントがユーザーアクセスを提供したときに管理者権限が付与されている場合にのみ、それらを使用します。
Windows の一部のバージョンでは、新しいアカウントが作成でき、そのアカウントを管理者として指定できます。これらのアカウントは、認証情報スキャンの実行に必ずしも適しているとは限りません。Tenable は、完全なアクセスが許可されるように、認証情報のスキャンには管理者と名付けられたオリジナルの管理アカウントを使用することを推奨します。Windows の一部のバージョンでは、このアカウントは非表示となっている場合があります。実際の管理者アカウントを表示するには、管理者権限で DOS プロンプトを開いて、次のコマンドを実行します。
C:\> net user administrator /active:yes
SMB アカウントが制限付き管理者権限で作成されている場合、Tenable Vulnerability Management は複数のドメインを簡単かつ安全にスキャンできます。Tenable では、テストを容易にするために、ネットワーク管理者が特定のドメインアカウントを作成することを推奨しています。Tenable Vulnerability Management は、ドメインアカウントが提供された場合、Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 に対してさまざまなセキュリティチェックをより正確に行えます。Tenable Vulnerability Management はアカウントが提供されていなくても、大抵の場合には複数のチェックを試行します。
注意: Windows リモートレジストリサービスを使用すると、認証情報を持つリモートコンピューターが監査対象のコンピューターのレジストリにアクセスできます。サービスが実行されていない場合、認証情報が完全でも、キーと値をレジストリから読み取れません。Tenable Vulnerability Management 認証スキャンで認証情報を使用してシステムを完全に監査するには、このサービスが開始される必要があります。
詳細は、Tenable のブログ記事 Dynamic Remote Registry Auditing - Now you see it, now you don’t! を参照してください。
Windows システム上の認証情報スキャンでは、完全な管理者レベルのアカウントを使用する必要があります。Microsoft のセキュリティ情報とソフトウェア更新プログラムにより、レジストリが読み取られ、ソフトウェアパッチレベルは管理者権限なしでは信頼できないと判断されましたが、すべてではありません。Tenable Vulnerability Management プラグインは、プラグインが適切に実行されるように、提供された認証情報が完全な管理者アクセス権を持っていることを確認します。たとえば、ファイルシステムを直接読み取るためには、完全な管理者としてアクセスする必要があります。これにより Tenable Vulnerability Managementをコンピューターにアタッチし、ファイル分析を直接実行して評価対象システムの実際のパッチレベルを判断できます。