ホスト認証を使用する理由
このページの全文を参照するには、ここをクリックしてください

ホスト認証を使用する理由

ホスト認証(信頼できるスキャン)を使用すると、スキャン中に各対象システムへのログインができるようになります。そのため、より詳細なセキュリティ評価を実行できるようになり、各システムのセキュリティ状態の可視化が向上します。認証スキャンを実行すると、誤検出が少なくなり、最も正確な結果を得ることができます。

ヒント

認証を使用する必要性の有無:
脆弱性スキャンでは、認証はオプションですが、使用が推奨されます。コンプライアンススキャンでは必須です。

資格情報の安全性について
資格情報は、読み取り(READ)専用としてシステムへのアクセスに使用されます。資格情報は安全性を確保した状態で扱われ、スキャンの実行中にのみ使用されます。

多くの場合、ユーザがオプションのスキャン機能の「Dissolvable Agent」と「Agentless Tracking」を有効にして、使用条件に関する契約を承認しない限り、デバイスが修正されたりデバイスへの書き込みが行われたりすることはありません。
UNIX では場合によって、スキャン中に一時データが書き込まれることがあります。詳細詳細

UNIX の例外: デバイスに一時ファイルが書き込まれ、スキャンの終了時に削除されます。コマンドの実行により別の影響が出る可能性もあり、それにはブラウザなどのアプリケーションも含まれます。

Dissolvable Agent(Windows): これを有効にすると、Dissolvable Agent ファイルがデバイスに書き込まれ、スキャンの終了時に削除されます。詳細

Agentless Tracking(Windows、Unix): これを有効にすると、最初のスキャン時にホスト ID ファイルがデバイスに書き込まれます。注記 - サブスクリプションの一次連絡先となるマネージャは、クリーンアップ操作を実行して、ホストからホスト ID ファイルをいつでも削除できます。詳細

クリーンアップ時の問題(Windows、Unix): まれに、一時ファイルまたは Dissolvable Agent をクリーンアップする前にスキャンが終了すると、ファイルが残る場合があります。これは、通常は発生しません。

認証レコード

認証テクノロジのマトリックス

A10(Unix レコードを使用) | Apache Web ServerAzure MS SQLCisco | Cisco CUCM | Checkpoint Firewall | Docker | HTTP | IBM DB2 | IBM VIOS(Unix レコードを使用) | IBM WebSphere App Server | Infoblox | InformixDB | JBoss | Kubernetes | MariaDB | Microsoft SharePoint | MongoDB| MS Exchange Server | MS IIS | MS SQL | MySQL | Neo4jNetScaler(Unix レコードを使用) | Network SSHNginx | Oracle | Oracle CDB/PDBs | Oracle HTTP Server | Oracle Listener | Oracle システムレコードテンプレート | Oracle WebLogic Server | Palo Alto Networks Firewall | Pivotal Greenplum | PostgreSQL | SAP HANA | SAP IQ | SNMP | Sybase | Tomcat Server | Unix | Unix ベースのシステム | vCenter | VMware ESXi | Windows

パスワード Vault

ARCON PAM | Azure Key | BeyondTrust PBPS | CA Access Control | CA PAM | CyberArk AIM | CyberArk PIM Suite | HashiCorp | Hitachi ID PAM | Lieberman ERPM | Quest Vault | Thycotic Secret Server | Wallix AdminBastion(WAB)

Vault を使用する方法 | Vault のサポートマトリックス

 

操作手順

1 - 認証の設定1 - 認証の設定

1 - ホストテクノロジの認証レコードを追加します。「Scans」->「Authentication」を選択し、「New」メニューから新規のレコードを作成します。各レコードに対して、スキャン時に各ホストへのログインで使用されるログイン資格情報を入力します。各レコードは、Windows、Unix、Oracle といったテクノロジ別に定義されおり、テクノロジごとに複数のレコードを設定することができます。

ヒント複数のサーバアプリケーションの場合、認証レコードが自動的に作成されます。インスタンス検出とシステム認証レコードについて

2 - 該当する場合、Authentication Vault を追加します。複数のサードパーティのパスワード Vault との統合がサポートされています。Vault システムを設定するには、「Scans」->「Authentication」->「Vaults」を選択します。次に、レコードの「Authentication Vault」を選択します。スキャン時に、Vault から取得した資格情報を使用してホスト認証が行われます。

アカウント要件の確認アカウント要件の確認

レコードを定義するときには、各テクノロジのアカウント要件を確認する必要があります。レコードの「Launch Help」リンクをクリックして、詳細を確認します。

レコードを作成できるユーザレコードを作成できるユーザ

マネージャはレコードを作成できます。ユニットマネージャおよびスキャナは、アカウント設定で「Create/edit authentication records/vaults」パーミッションが付与されている場合にレコードを作成できます。

ユニットマネージャおよびスキャナには、PC のレコードを作成するパーミッションも付与される必要があります。

2 - 認証の有効化とテスト(VM スキャン)2 - 認証の有効化とテスト(VM スキャン)

脆弱性スキャンでは、オプションプロファイルで認証を有効化してから、スキャン時にこのプロファイルを選択する必要があります。「Scans」->「Option Profiles」を選択します。オプションプロファイルを編集し(または新しいプロファイルを作成し)、「Scan」項で使用する認証のタイプを選択します。

認証をテストするには、オプションプロファイルで「Enable authentication testing」を選択します。このプロファイルを使用してスキャンを実行すると、完全スキャンを実行する前に認証資格情報に関する問題を特定することができます。

3 - スキャンの開始3 - スキャンの開始

スキャンを開始する前に、スキャンを行う IP がレコードで定義済みであることを確認します。

スキャンを開始するには、「Scans」->「New」->「Scan」(または「Scheduled Scan」)を選択して、スキャン設定を入力します。

脆弱性スキャンの場合は、認証を有効化しているオプションプロファイルが選択されていることを確認します。

4 - 認証が動作していることの検証4 - 認証が動作していることの検証

認証スキャンが完了した後、認証に成功していたことを確認することをお勧めします。認証エラーは、次回のスキャンを行う前に解決してください。

スキャンの認証を確認する方法

認証レポートを実行する方法

 

認証ダッシュボード

「Credentials Breakdown」フィルタでは、過去 30 日間にスキャンされたホストのみが対象となります。レコードの詳細を表示すると、各ホストの最終認証スキャン日時を確認できます。

レコードリストのフィルタリング(「Unused」、「Failing」、「Problematic」など)レコードリストのフィルタリング(「Unused」、「Failing」、「Problematic」など)

「Credentials Breakdown」を使用し、レコードリストにフィルタを適用して以下を表示します。

- 過去 30 日間使用されていない資格情報(「Unused」)

- 期間中 100% 合格している資格情報(「Passing」)

- レコードにある一部のホストで認証に成功していない資格情報(「Problematic」)

- レコードにある 50% 以上のホストで認証に成功していない資格情報(「Failing」)

- パスワード Vault 内に保存されている資格情報(「In Vault」)

ヒント - レコードをタイプ、ネットワーク、タイトル、IP アドレス、Vault タイプごとに検索することもできます。

各ホストの認証ステータス各ホストの認証ステータス

レコードの詳細をドリルダウンして、スキャン済みホストの認証ステータス(「Pass」/「Fail」)を確認します。「Updated」カラムには、各ホストの最終認証スキャン日時が表示されます。これはステータスの最終更新日時です。

「Pass」 - ホストでの認証に成功しました。

「Fail」 - ホストでの認証に失敗しました。認証の試行で使用される資格情報など、詳細については、「Cause」カラムを参照してください。

「Not Attempted」 - ホストでの認証は行われませんでした(「Pass」、「Fail」のどちらにもカウントされません)。この場合、認証を使用したホストのスキャンが行われなかったか、または認証スキャンは行ったが、ホストのスキャンデータがパージされたと考えられます。次の点に注意してください。VM を使用している場合、参照しているのは脆弱性スキャンデータです。PC を使用している場合、参照しているのはコンプライアンススキャンデータです。PC で認証を使用してホストをスキャンしても、VM で認証を使用してホストをスキャンしたことにはなりません。この場合、PC で「Pass」/「Fail」のステータスが表示されても、VM では「Not Attempted」と表示されます。

認証レコードの検索認証レコードの検索

「Authentication」ページの上部にある「Search」オプションを使用すると、タイトル、ネットワーク、レコードタイプ、IP アドレス、変更日など、さまざまな条件で認証レコードを簡単に検索できます。 

検索 をクリックすると、使用できる検索オプションが表示されるので、選択して、もう一度「Search」をクリックします。「Search」フィールドに入力を開始して、検索カテゴリを見つけ、検索値を指定することもできます。

検索のクリア をクリックすると、「Search」フィールドがクリアされ、すべてのレコードが表示されます。

「Search」フィールド

「Modified」の日付で検索する場合、検索では、入力された日付より前の変更日を持つレコードが検索されますので注意してください。入力された日付と同じレコードが検索されるわけではありません。例えば、「Modified」で「11/10/2021」を選択した場合、この日付より前に変更されたレコードが返されます。この日付に変更されたレコードが返されるわけではありません。 

認証リストのダウンロード認証リストのダウンロード

UI 内のデータリストをダウンロードして、製品以外の場所で設定を表示できます。詳細