vSphere スキャンの設定

必要な Tenable Vulnerability Management ユーザーロール: スキャンオペレーター、標準、スキャンマネージャー、または管理者

必要なスキャンのアクセス許可: 制御可

次の仮想環境をスキャンするようにスキャンを設定できます。

vCenter が管理する ESXi/vSphere
vCenter が管理しない ESXi/vSphere
仮想マシン

注意: ESXi ホストをスキャンする場合は、IPv4 アドレスを指定する必要があります。そうしない場合、スキャンは失敗します。

VMware の認証情報を使用したチェックについて

vCenter API または ESXi API の認証情報を設定すると、ESXi サーバーの VMware Installation Bundle (VIB) パッケージの詳細の収集が有効になります。この詳細情報は、ESX Local Security Checks プラグインファミリーで使用されます。これらの認証情報はどちらも ESXi VIB の収集を有効にします。ターゲットの ESXi サーバーへの SSH 認証情報を設定しても、VIB の収集が有効になります。

vCenter 認証情報は、ESXi VIB の収集だけでなく、ESXi サーバーの自動検出と vCenter コンプライアンスチェックも有効にします。vCenter コンプライアンスチェックでは、vCenter サーバーがターゲットとして設定されていなければなりません。

これらの認証情報は、vCenter サーバーに関するホストレベルのデータを収集しません。ホストレベルのデータを収集するには、vCenter サーバーへの追加の認証情報 (例: SSH、Windows) を設定します。

Tenable は、認証情報を使用しないリモートチェックを使用してターゲットホストにあるソフトウェアを検出することで、ESXi と vCenter のバージョン情報も収集します。最新の vCenter および ESXi の脆弱性結果は、このデータに基づいています。

VMware または vCenter の詳細については、VMware 統合ドキュメントを参照してください。

シナリオ 1: vCenter が管理しない ESXi/vSphere スキャン

vCenter が管理しない ESXi/vSphere スキャンを設定する方法

高度なネットワーク Tenable Vulnerability Management スキャンを作成します。
左側のナビゲーションメニューの [設定] セクションで、[基本] をクリックします。

[基本] 設定が表示されます。
[ターゲット] セクションに ESXi ホストの IP アドレスを入力します。
左側のナビゲーションメニューで、[認証情報] タブをクリックします。

[認証情報] ページが表示されます。このページには、スキャン用に設定されている認証情報の表が含まれます。
[認証情報の追加] の横にあるボタンをクリックします。
[認証情報タイプの選択] プレーンが表示されます。
[その他] セクションで [VMware ESX API] を選択します。
[ユーザー名] ボックスに、ローカルの ESXi アカウントに関連付けられているユーザー名を入力します。
[パスワード] ボックスに、ローカルの ESXi アカウントに関連付けられているパスワードを入力します。
vCenter ホストに SSL 証明書 (自己署名証明書ではない) が含まれている場合は、[SSL 証明書を検証しない] トグルを有効にします。それ以外の場合は、トグルを有効のままにします。
[保存] をクリックします。
次のいずれかを行います。
- スキャンを起動せずに保存する場合は、[保存] をクリックします。
  
  Tenable Vulnerability Management がスキャンを保存します。
- 今すぐスキャンを保存して起動する場合は、[保存して起動] をクリックします。
  
  注意: スキャンを後で実行するようにスケジュールした場合は、[保存して起動] オプションは利用できません。
  
  注意: インポートされたスキャンを編集している場合、[保存して起動] オプションは使用できません。
  
  Tenable Vulnerability Management がスキャンを保存して起動します。

注意: vCenter が管理する ESXi で API 認証情報を使用してスキャンする場合、Nessus スキャン情報プラグインは、vCenter のスキャン結果に必ず [認証情報を使用したチェック: なし] と表示します。認証が成功したことを確認するには、Nessus スキャン情報プラグインの ESXi のスキャン結果に [認証情報を使用したチェック: はい] と表示されていることを確認します。

シナリオ 2: vCenter が管理する ESXi/vSphere スキャン

注意: REST API では、読み取りのアクセス許可を持つ vCenter 管理者アカウントと、読み取りのアクセス許可を持つ VMware vSphere Lifecycle マネージャーアカウントが必要です。

vCenter が管理する ESXi/vSphere スキャンを設定する方法

高度なネットワーク Tenable Vulnerability Management スキャンを作成します。
左側のナビゲーションメニューの [設定] セクションで、[基本] をクリックします。

[基本] 設定が表示されます。
[ターゲット] セクションに以下の IP アドレスを入力します。
- vCenter ホスト
- ESXi ホスト
注意: vCenter をターゲットとしてリストすると、スキャンでは vCenter のバージョンとその脆弱性は収集されますが、オペレーティングシステムレベルの詳細は収集されません。vCenter のコンプライアンススキャンを行うには、vCenter サーバーをターゲットとしてリストする必要もあります。
左側のナビゲーションメニューで、[認証情報] タブをクリックします。

[認証情報] ページが表示されます。このページには、スキャン用に設定されている認証情報の表が含まれます。
[認証情報の追加] の横にあるボタンをクリックします。
[認証情報タイプの選択] プレーンが表示されます。
[その他] セクションで [VMware vCenter API] を選択します。
[vCenter ホスト] ボックスに vCenter ホストの IP アドレスを入力します。
[vCenter Port] (vCenter ポート) ボックスに vCenter ホストのポートを入力します。デフォルトでは、この値は 443 です。
[Username] (ユーザー名) ボックスに、vCenter アカウントに関連付けられているユーザー名を入力します。
[Password] (パスワード) ボックスに、vCenter アカウントに関連付けられているパスワードを入力します。
vCenter ホストで SSL が有効になっている場合は、[HTTPS] トグルを有効にします。
vCenter ホストに SSL 証明書 (自己署名証明書ではない) が含まれている場合は、[SSL 証明書を検証する] トグルを無効にします。それ以外の場合は、トグルを無効のままにします。
[保存] をクリックします。
次のいずれかを行います。
- スキャンを起動せずに保存する場合は、[保存] をクリックします。
  
  Tenable Vulnerability Management がスキャンを保存します。
- 今すぐスキャンを保存して起動する場合は、[保存して起動] をクリックします。
  
  注意: スキャンを後で実行するようにスケジュールした場合は、[保存して起動] オプションは利用できません。
  
  注意: インポートされたスキャンを編集している場合、[保存して起動] オプションは使用できません。
  
  Tenable Vulnerability Management がスキャンを保存して起動します。

セクション 3: 仮想マシンのスキャン

ネットワーク上のその他のホストと同様に仮想マシンをスキャンすることができます。[ターゲット] テキストボックスに仮想マシンの IP アドレスが必ず含まれるようにしてください。詳細は、スキャンの作成を参照してください。

VMware vCenter サポートマトリクス

機能	認証の要否	対応 vCenter バージョン
Vulnerability Management	✕	7.x、8.x
自動検出	〇	7.0.3+、8.x
監査 / コンプライアンス	〇	6.x, 7.x、8.x
VIB 列挙	〇	7.0.3+、8.x
アクティブ / 非アクティブな VM	〇	7.0.3+、8.x