Azure 用の Frictionless Assessment

Frictionless Assessment のプロビジョニングは終了し (2023 年 5 月 15 日以降)、新しいユーザーは Frictionless Assessment コネクタをデプロイできなくなります。2023 年 12 月 31 日に Frictionless Assessment はサポート終了となり、サポートを受けたり更新を受け取ったりできなくなります。ただし、既存の Frictionless Assessment コネクタは、2024 年 12 月 31 日にサポートが終了するまで引き続きお使いいただけます。Tenable では、クラウドリソースのスキャン用に、エージェントなしの評価を含む Tenable Cloud Security に移行することを推奨しています。詳細については、Tenable Vulnerability Management リリースノートを参照してください。

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。

Frictionless Assessment を使用すると、Tenable Vulnerability Management は、Azure 仮想マシン (VM) インスタンスと VM スケールセットのインスタンス上にあるデータポイントのインベントリを検出して収集します。次に、Frictionless Assessment に指定したインスタンスに関して、Tenable Vulnerability Management はホスト上でローカルにプラグインを実行するのではなく、クラウド上でホストの脆弱性を評価します。

Frictionless Assessment は、カスタムのオートメーションランブックを使用して、選択されたリソースグループの VM および VM スケールセットから必要なデータを収集します。Frictionless Assessment でホストを評価するために、Microsoft Azure 検出コネクタ、スキャナー、Tenable Nessus Agents、スキャン、またはスキャンのスケジュールを設定する必要はありません。

Azure のFrictionless Assessment ランブックは、基本的なコマンドで各 VM からデータを収集し、インストールされているパッケージや特定のファイルの存在などの情報を収集します。この情報は、Azure の Public Blob Resource API を使用して安全に Tenable に送信されます。この接続は、定期的に循環する顧客固有の共有アクセス署名 (SAS) トークンを使用して行われます。ランブックが VM から収集するデータの詳細については、Azure ランブック情報を参照してください。

注意: Azure Frictionless Assessment によってスキャンされた仮想マシンは、情報を Azure の Public Blob Resource API にプッシュするために送信ネットワークアクセス権を必要とします。これは、「Storage」サービスタグを使用して送信セキュリティルールを追加することで実現できます。このアクセス権がない場合は、Runbook コレクションの結果が Tenable によって受信されず、資産や脆弱性が評価されません。

オペレーティングシステムのカバレッジ

Frictionless Assessment には、以下の脆弱性カバレッジがあります。

Amazon Linux 1 / 2
CentOS 6 / 7 / 8
Red Hat 6 / 7 / 8
SUSE Linux Enterprise Server (SLES) 11.4-15.2
SUSE Linux Enterprise Desktop (SLED) 12-15.2
Ubuntu 16.04./ 18.04 / 20.04 / 20.10
Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022
Windows 7、Windows 8、Windows 10、Windows 11

ライセンスの考慮事項

一般に、Tenable Vulnerability Management の資産は脆弱性が評価されるとライセンスに対してカウントされます。そのため、Frictionless Assessment によって評価されたホストは、ライセンスに対してカウントされます。詳細は、Tenable Vulnerability Management のライセンスを参照してください。

Frictionless Assessment によって評価されるホストの Azure タグを選択するときには、そのタグのいずれかを持つホストがすべてライセンスにカウントされることに注意してください。コネクタによって検出されただけで、Frictionless Assessment によって評価されないホスト (たとえば、Frictionless Assessment に選択したタグを持っていないホスト) は、ライセンスの数としてカウントされません。

制限

Frictionless Assessment は、情報プラグインの実行、リモート脆弱性プラグインの実行、コンプライアンスデータの収集を行いません。
Azure の Frictionless Assessment は、カスタムの暗号化ディスクをサポートしていません。
Frictionless Assessment で設定されたコネクタは、1 つの Azure サブスクリプションだけをサポートします。複数の Azure サブスクリプションのホストを評価する場合は、サブスクリプションごとに個別のコネクタを設定する必要があります。
ARM テンプレートのデプロイ先となる Azure サブスクリプションごとに、Microsoft.ContainerInstance リソースプロバイダーを登録する必要があります。
Frictionless Assessment スキャンの制限は 1 日あたり 1 回ですが、2023 年 5 月 1 日より前に作成された既存の Frictionless Assessment コネクタは、インベントリデータをより頻繁に送信します。Frictionless Assessment では、この頻度制限を超えるデータはドロップされ、スキャンされません。

注意: この制限は、Tenable Container Security、エージェントなしの評価、および Tenable Nessus エージェントベースのインベントリスキャンには適用されません。

はじめる

Frictionless Assessment 用の Azure コネクタを作成する.

注意: Frictionless Assessment Azure コネクタを削除する場合は、Azure 用の Frictionless Assessment からコネクタアーティファクトを手動で削除するの説明に従って残りの Azure Artifacts を手動で削除します。
Frictionless Assessment Azure に使用される自動アカウントの Runbook が正常に完了したかどうかを確認します。正常に完了していない場合は、Azure 管理者またはサポート担当者に連絡して問題を解決してください。

ランブックは、[Microsoft Azure] > [自動化アカウント] > [Tenable FA 自動化アカウント] > [プロセスの自動化] > [ランブック/ジョブ] にあります。

詳細については、以下のトピックを参照してください。