スキャンルーティング

スキャンのルーティングを使用すると、各グループがアクセスできるネットワーク領域に基づいて、複数のスキャナーグループにスキャンを自動的に分配できます。スキャンのルーティングは、各スキャンに特定のスキャナーを割り当てる必要がないため、設定と管理の手間を軽減できます。この機能は、大規模なデプロイメントの際に特に役立ちます。高いレベルのアクセス許可を持つユーザーはスキャナーグループを管理でき、低いアクセス許可を持つユーザーはスキャン設定時にそれらのグループを選択できます。

注意: スキャンのルーティングは、リンクされたスキャナーに対してのみ利用できます。

スキャンに対してスキャンのルーティングを設定すると、Tenable Vulnerability Management は自動的に次の処理を行います。

スキャンターゲットを、最も狭い範囲で一致するスキャナーグループに割り当てます。
そのスキャナーグループ内で、スキャナーが接続してくるたびに、空き容量と残りのターゲットに基づいて各スキャナーにターゲットが割り当てられます。

設定のガイドライン

Tenable では、ネットワークを効率的にカバーするために、事前にスキャンのルーティング戦略を計画することを推奨します。スキャンのルーティングを誤って設定すると、スキャナーがターゲットに到達できない可能性があります。

可能であれば、個別の IP アドレスではなく IP 範囲および CIDR 範囲を使用します。このアプローチは、より狭い値が推奨されるスキャンターゲットの設定とは異なります。
Tenable Vulnerability Management では、IPv6 アドレスの数値範囲形式はサポートされていません。代わりに CIDR 形式を使用してください。
通常、各スキャナーを 1 つのスキャナーグループにのみに追加します。ただし、冗長性またはカバレッジのために重複するグループを設定することもできます。複数の重複するグループにホストが含まれている場合、Tenable Vulnerability Management はホストをいずれかのグループに割り当てます。特定のグループが優先されることはありません。グループ内のスキャナーの可用性については、スキャナーグループを参照してください。

スキャンのルーティングを設定する方法

スキャンのルーティング用のスキャナーグループを設定します。

スキャナーグループを作成または編集します。

[スキャンルーティングのターゲット] ボックスで、スキャンのルーティングのターゲットをコンマ区切りのリスト形式で入力します。

Tenable Vulnerability Management では、スキャンのルーティングのターゲットとして次の形式がサポートされています。

ターゲットの形式	例
1 つの IPv4 アドレス	192.168.0.1
1 つの IPv6 アドレス	2001:db8::2120:17ff:fe56:333b
開始アドレスと終了アドレスで指定した IPv4 範囲	192.168.0.1-192.168.0.255
CIDR 表記の IPv4 サブネット	192.168.0.0/24
CIDR 表記の IPv6 サブネット	2001:db8::/32
IPv4 または IPv6 アドレスに解決可能なホスト	www.yourdomain.com
サブドメインとしてワイルドカードを含む、IPv4 アドレスまたは IPv6 アドレスに解決可能なホスト	*.yourdomain.com

注意: 個別のスキャナーグループに対して、最大 10,000 の個別のスキャンのルーティングターゲットを指定できます。たとえば、192.168.0.1, example.com, *.example.net, 192.168.0.0/24 では、4 つのスキャンのルーティングターゲットを指定しています。スキャンのルーティングのターゲットのリストを集約するために、Tenable では個別の IP アドレスの代わりに、ワイルドカードや範囲指定形式の使用を推奨しています。

[保存] をクリックします。
Tenable Vulnerability Managementにより、スキャナーグループへの変更が保存されます。

スキャンのルーティング用のスキャンを設定します。

スキャン設定を作成または編集します。

[基本] 設定セクションで、次のオプションを設定します。

オプション	アクション
スキャナー	[自動選択] オプションを選択します。このオプションを選択すると、[ネットワーク] ボックスが表示されます。
ネットワーク	次のいずれかを行います。スキャンが重複する IP 範囲を持つ別々の環境に関係する場合、スキャンのルーティング用に設定したスキャナーグループを含むネットワークを選択します。スキャンが重複する IP 範囲を持つ別々の環境に関係しない場合は、[デフォルト] ネットワークのままにします。
ターゲット / ターゲットのアップロード / タグ	次のいずれかのオプションを使用して、スキャンのターゲットを指定します。 [ターゲット] ボックスで、ターゲットの一覧を入力します。 [ターゲットのアップロード] ボックスで、ターゲットのファイルをアップロードします。 [タグ] ボックスで、ターゲットをタグで指定します。スキャンターゲットを指定する際は、次に注意してください。スキャンターゲットが、スキャナーグループで指定したスキャンのルーティングのターゲットと一致するようにしてください。スキャンターゲットをスキャナーグループのターゲットの範囲外に指定した場合、Tenable Vulnerability Management はスキャナーグループの範囲内のホストのみをスキャンし、スキャンされなかったホストを警告する一覧とともに、不完全な結果を返します。スキャンのルーティングのターゲットとスキャンターゲットを照合する際、Tenable Vulnerability Management は FQDN を IP アドレスに解決しません。たとえば、*.example.com をスキャンのルーティングのターゲットとして指定した場合、Tenable Vulnerability Management はスキャンターゲットが www.example.com として設定されているスキャンを、そのスキャナーグループに割り当てることができます。しかし、たとえ www.example.com が 192.168.0.1 に解決される可能性があったとしても、ターゲットが 192.168.0.1 として設定されているスキャンを、Tenable Vulnerability Management がそのスキャナーグループに割り当てることはありません。

オプション

アクション

スキャナー

[自動選択] オプションを選択します。

このオプションを選択すると、[ネットワーク] ボックスが表示されます。

ネットワーク

次のいずれかを行います。

スキャンが重複する IP 範囲を持つ別々の環境に関係する場合、スキャンのルーティング用に設定したスキャナーグループを含むネットワークを選択します。
スキャンが重複する IP 範囲を持つ別々の環境に関係しない場合は、[デフォルト] ネットワークのままにします。

ターゲット / ターゲットのアップロード / タグ

次のいずれかのオプションを使用して、スキャンのターゲットを指定します。

[ターゲット] ボックスで、ターゲットの一覧を入力します。
[ターゲットのアップロード] ボックスで、ターゲットのファイルをアップロードします。
[タグ] ボックスで、ターゲットをタグで指定します。

スキャンターゲットを指定する際は、次に注意してください。

スキャンターゲットが、スキャナーグループで指定したスキャンのルーティングのターゲットと一致するようにしてください。
スキャンターゲットをスキャナーグループのターゲットの範囲外に指定した場合、Tenable Vulnerability Management はスキャナーグループの範囲内のホストのみをスキャンし、スキャンされなかったホストを警告する一覧とともに、不完全な結果を返します。
スキャンのルーティングのターゲットとスキャンターゲットを照合する際、Tenable Vulnerability Management は FQDN を IP アドレスに解決しません。
たとえば、*.example.com をスキャンのルーティングのターゲットとして指定した場合、Tenable Vulnerability Management はスキャンターゲットが www.example.com として設定されているスキャンを、そのスキャナーグループに割り当てることができます。しかし、たとえ www.example.com が 192.168.0.1 に解決される可能性があったとしても、ターゲットが 192.168.0.1 として設定されているスキャンを、Tenable Vulnerability Management がそのスキャナーグループに割り当てることはありません。

[保存] をクリックします。
Tenable Vulnerability Managementによりスキャン設定に対する変更が保存されます。