Tenable データストリームのベストプラクティス

Tenable データストリームを設定する場合、Tenable では以下を推奨しています。

IAM ロールの設定

AWS バケットにアクセスするために、Tenable システムは AWS Identity and Access Management (IAM) ロールを引き受けますが、そのためには信頼関係が必要です。このロールを引き受ける際、システムは 1 時間に 1 回再生成される一時的なセッショントークンを採用します。詳細については、AWS ドキュメントの IAM ロールを参照してください。

ヒント: Tenable では、AWS バケットとロールを設定する際に、最小限の権限のアクセス許可を使用することを推奨しています。

S3 バケットの設定

S3 バケットを設定する場合は、次のガイドラインに従ってください。

  • IAM ポリシー - ポリシーを適用して、Tenable システムのアクセス許可を定義します。詳細については、AWS ドキュメントの AWS Identity and Access Management でのポリシーとアクセス許可を参照してください。

  • AWS リージョン - スピードを最優先するなら、Tenable コンテナと同じ AWS リージョンの S3 バケットを使用してください。

  • サーバー側の暗号化 - デフォルトでは、AWS は Amazon S3 が管理するキーを使用したサーバー側の暗号化を使用します。Tenable は、SSE-S3 のデフォルトの暗号化モードのみをサポートします。SSE-KMS などの他のモードはサポートしません。詳細については、AWS ドキュメントのサーバー側の暗号化によるデータの保護を参照してください。

  • バケットへの書き込み - Tenable システムは、データの送信時のみ S3 バケットに書き込むことができます。

  • ファイルの削除 - ファイルを削除するまたはスペースを解放するには、オブジェクトの有効期限を使用してください。詳細については、AWS ドキュメントのオブジェクトの有効期限を参照してください。

  • AWS ストレージ - Tenable が実行するスキャンの回数が多いほど、多くのデータが送信されます。これは、AWS のストレージコストに影響を与えます。

  • 通知イベント - 受信データをシステムに取り込むプロセスを開始する通知またはトリガーを手動で設定する必要があります。

Tenable データストリームのトラブルシューティング

[設定] > [Tenable データストリーム] で、ストリームのステータスを確認します。

ヒント: ストリームのステータスに関するメールを受け取るには、新しいストリームを設定する際にメール通知を有効にします。

ストリームには次の 3 つの状態があります。

状態 説明
OK

ストリームデータが正常に送信されています。

再試行

システムで設定エラーが発生しました。3 日間ストリームを再試行します。エラーが修正されると、ストリームはデータを失うことなく最後のチェックポイントから再開します。

失敗

ストリームは中断され、システムは再試行しません。データが失われました。設定エラーに対処すると、システムはそのストリームを新しいストリームとして扱います。

ストリームエラーについて

ストリームは、次の理由で失敗する場合があります。

  • IAM ロールの設定ミス - AWS アカウントからロールを削除するか、信頼関係を変更します。

  • S3 バケットの問題 - バケットポリシーの変更 (アクセス許可の削除など)、バケットの削除、不適切なプロビジョニング、または AWS ストレージの問題。

Tenable データストリームのデータの消費

Tenable データストリームは、観察された順序でデータを書き込みます (たとえば、一連のスキャンの順序)。AWS でファイルを名前でソートして、順番に並べることができます。ストリームが 60 分以内に正常に完了したときに送信されるマニフェストファイルでも、この順序を使用することができます。