ターゲットグループ

ターゲットグループを使用して、スキャンターゲットを管理することができます。ただし Tenable では、可能であれば、代わりにタグを使用して資産をグループ化してスキャンすることを推奨しています。将来的には、タグの機能とオプションがターゲットグループで現在使用可能な機能とオプションに一致する場合は、Tenable がターゲットグループをタグに変換し、既存のターゲットグループを廃止する予定です。ユーザー側のアクションは必要ありません。Tenable は、ターゲットグループを変換して廃止する 60 暦日前に通知を行います。詳細については、Tenable の担当者までお問い合わせください。

概要

ターゲットグループとは、再利用可能で一元化されたスキャンターゲットのリストのことです。ターゲットは、IP アドレス、IP 範囲、CIDR ブロック、FQDN (完全修飾ドメイン名) のいずれかで定義されます。

ターゲットグループでは、スコープ (例:「DMZ サーバー」) を一度定義すれば、それを複数のユーザーと共有してスキャン設定やダッシュボードフィルタリングに使用することができます。

ターゲットグループの作成、編集、削除の手順については、ターゲットグループの管理を参照してください。

主要なコンセプト

  • 一元化された管理 - 複数のスキャン設定に同じ IP 範囲を手動で入力する代わりに、ターゲットグループを一度更新するだけで済みます。そのグループを参照するすべてのスキャンに、自動的に変更が継承されます。

  • アクセス許可とアクセス制御 - ターゲットグループは、スキャン権限の付与ではなく、テキスト文字列のリストとして機能します。ターゲットグループ内の資産を正常にスキャンするには、ユーザーに次の 2 つのアクセス許可が必要です。

    • ターゲットグループに対するアクセス許可 - ユーザーがスキャン設定でグループを選択することを許可します。

    • [スキャン可] アクセス許可 (アクセスグループ経由) - ユーザーがグループ内の特定のターゲットをスキャンすることを許可します。

注意: ユーザーが「DMZ」ターゲットグループを使用するアクセス許可を持っているのに、そのアクセスグループで「Office LAN」のスキャンのみが許可されている場合、スキャンは開始されますが、DMZ 資産の結果は返されません。Tenable Vulnerability Management は、ユーザーがスキャンする権限を持っていないターゲットを自動的に除外します。

制約とベストプラクティス

  • ダッシュボードのフィルタリング - ターゲットグループを使用して、ダッシュボードのビューをフィルタリングできます。ただし、連続しない個別のターゲットを多数含んだグループは作成しないでください。ダッシュボードがタイムアウトしてしまう原因となる場合があります。

  • CIDR 表記 - サブネットでターゲットを定義する場合は、標準の CIDR 表記 (例: 192.168.1.0/24) を使用してください。