Frictionless Assessment 用の AWS コネクタを作成する

Frictionless Assessment のプロビジョニングは終了し (2023 年 5 月 15 日以降)、新しいユーザーは Frictionless Assessment コネクタをデプロイできなくなります。2023 年 12 月 31 日に Frictionless Assessment はサポート終了となり、サポートを受けたり更新を受け取ったりできなくなります。ただし、既存の Frictionless Assessment コネクタは、2024 年 12 月 31 日にサポートが終了するまで引き続きお使いいただけます。Tenable では、クラウドリソースのスキャン用に、エージェントなしの評価を含む Tenable Cloud Security に移行することを推奨しています。詳細については、Tenable Vulnerability Management リリースノートを参照してください。

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。

必要なユーザーロール: 管理者

Frictionless Assessment 用のキーレス認証を使用して Amazon Web Services (AWS) クラウドコネクタを設定した場合、Tenable Vulnerability Management は Cloud Formation テンプレート (CFT) を使用して、ユーザーの AWS アカウントに必要なロールとポリシーを自動的に設定します。この設定は、通常のクラウドコネクタと Frictionless Assessment をセットアップします。

AWS コネクタを Frictionless Assessment で使用するには、AWS タグキーを入力して、Frictionless Assessment が評価するホストを特定する必要があります。タグキーを入力しない場合、コネクタは検出のみとして機能し、資産の脆弱性は評価されません。

注意: Frictionless Assessment について評価するホストを所有する AWS アカウントごとに個別のクラウドコネクタを作成します。

始める前に

  • AWS 設定が、Frictionless Assessment に記載されている Frictionless Assessment の要件を満たしていることを確認してください。

  • 最善の結果を得るには、これが新しい AWS クラウドコネクタのセットアップであることを確認してください。既存の AWS クラウドコネクタが設定済みの場合は、新しい AWS クラウドコネクタを作成する前に既存の [tenableio-connector] IAM ロールを削除します。

    注意: レガシー Tenable Cloud Security プレビューまたは レガシー Tenable Cloud Security を使用するには、レガシー Tenable Cloud Security をサポートする新しいロールを更新または作成する必要があります。Tenable Vulnerability Management クラウドコネクタロールでは、Agentless Assessment をサポートしていません。

  • Tenable Vulnerability Management へのアクセスに使用している同じブラウザの別のウィンドウまたはタブで、Frictionless Assessment でターゲットにする AWS アカウントを使用して AWS コンソールにログインします。

AWS Frictionless Assessment コネクタと CFT を作成

  1. 左側のナビゲーションで [設定] をクリックします。

    [設定] ページが表示されます。

  2. [クラウドコネクタ] タイルをクリックします。

    [クラウドコネクタ] ページが表示され、設定済みのコネクタの表が表示されます。

  3. [クラウドコネクタの作成] をクリックします。

    [クラウドコネクタの選択] パネルが表示されます。

  4. [クラウドコネクタ] リストで、[Frictionless Assessment] を選択します。

    [コネクタのセットアップ] ポップアップが表示されます。

  5. [クラウドプロバイダー] の手順で、[AWS] を選択して [コネクタ名] を入力します。

    [次へ] をクリックします。

  6. [機能の有効化] の手順で、[Frictionless Assessment を使用して脆弱性を特定する] チェックボックスがオンになっていることを確認します。

    [次へ] をクリックします。

  7. [設定] の手順で、ターゲットパラメーターを選択します。

    1. ターゲットにするアカウント ID を入力します。

    2. タグキーと値を入力してタグを選択します。

      1. [タグキー] ボックスに AWS タグキーを入力します。

        たとえば、AWS タグの場合は Tenable:FA で、タグ値は Tenable です。

      2. [タグ値] ボックスで次のいずれかを実行します。

        たとえば、AWS タグの場合は Tenable:FA で、タグ値は FA です。

      ヒント: AWS Frictionless Assessment に対して指定できるタグは 1 つだけです。

      注意: タグのキーと値では大文字と小文字が区別され、AWS にあるものと正確に一致する必要があります。

      注意: AWS コネクタを Frictionless Assessment で使用するには、AWS タグキーを入力して、Frictionless Assessment が評価するホストを特定する必要があります。タグキーを入力しない場合、コネクタは検出のみとして機能し、資産の脆弱性は評価されません。

    3. ターゲットにする [ネットワーク] を選択します。[ネットワーク] ドロップダウンメニューを使用して、既存のネットワークを選択するか、新しいネットワークを作成できます。ネットワークを指定しない場合、デフォルトのネットワークが選択されます。

    [次へ] をクリックします。

  8. [選択を適用] の手順で、[ダウンロードして終了] をクリックします。

    CFT が .yml 形式でダウンロードされ、新しいコネクタが [クラウドコネクタ] ページに表示されます。

CFT を使用してコネクタをデプロイメント

前のセクションでダウンロードした CFT を AWS アカウントにデプロイします。(詳細については、AWS のドキュメントを参照してください)。

複数のリージョンにデプロイする必要がある場合は、テンプレートをスタックセットとしてデプロイすることをお勧めします。(詳細については、AWS スタックセットのドキュメントを参照してください)。

次の手順

  • AWS アカウントをお持ちでない場合は、検出専用のキーレス認証を使用した AWS コネクタの作成 を使用してください。資産のステータスと資産の終了を追跡するには、AWS アカウントに Tenable Vulnerability Management のキーレスコネクタが必要です。

    注意: キーレスコネクタは、AWS Frictionless Assessment が設定されているのと同じアカウントに設定する必要があります。

  • 必要に応じて、AWS Frictionless Assessment コネクタのタグを編集します。詳細は、AWS Frictionless Assessment コネクタの編集を参照してください。

  • 資産を表示し、コネクタによって検出されたホストを表示します。AWS コネクタが Frictionless Assessment を使用して検出したホストがソースの SSM とともに表示されます。

  • 検出結果を表示し、Frictionless Assessment によって特定された脆弱性を表示します。